CloudTrail コンソールで最近の CloudTrail 管理イベントを確認する - AWS CloudTrail

CloudTrail コンソールで最近の CloudTrail 管理イベントを確認する

CloudTrail コンソールの [イベント履歴] ページで、AWS リージョン における過去 90 日間の管理イベントを表示できます。その情報を使用してファイルをダウンロードしたり、選択したフィルターおよび時間範囲に基づいて情報のサブセットをダウンロードしたりできます。各ページに表示するイベントの数を選択し、コンソールに表示する列を選択することで、[イベント履歴] の表示をカスタマイズできます。特定のサービスで利用できるリソースタイプにより、イベントを検索し、フィルタリングすることもできます。また、[イベント履歴] で最大 5 つのイベントを選択し、詳細を並べて比較することができます。

[イベント履歴] はデータイベントを表示しません。データイベントを表示するには、イベントデータストアまたは証跡を作成します。

90 日経過すると、イベントは [イベント履歴] に表示されなくなります。[イベント履歴] からイベントを手動で削除することはできません。

CloudTrail が特定のサービスのイベントを記録する方法については、そのサービスのドキュメントを参照してください。詳細については、「CloudTrail の AWS サービストピック 」を参照してください。

注記

進行中のアクティビティやイベントのレコードについては、イベントデータストアまたは証跡を作成します。

イベントデータストアを作成すると、次の機能を利用できます。

  • イベントデータストアを作成して、CloudTrail の管理およびデータイベント、AWS Config 設定項目、AWS Audit Manager エビデンス、または統合からの AWS 以外のイベントを収集することができます。イベントデータは、イベントデータストアに最大 7 年間 (2557 日) 保持できます。デフォルトで、イベントデータは最大 2557 日間保持されます。詳細については、AWS CloudTrail Lake の使用 および イベントデータストアを作成する を参照してください。

  • AWS サービスのアクティビティを CloudTrail Lake クエリを使用して分析します。CloudTrail Lake のクエリは、[Event history] (イベント履歴) での単純なキーと値のルックアップ、または LookupEvents の実行よりも、さらに詳細でカスタマイズ可能なイベントのビューを提供します。[Event history] (イベント履歴) 検索は単一の AWS アカウント に制限されており、単一の AWS リージョン からのイベントのみを返し、複数の属性をクエリすることはできません。対照的に、CloudTrail Lake ユーザーは、複数のイベントフィールドに対して複雑な SQL クエリを実行できます。詳細については、クエリを作成または編集する および CloudWatch コンソールでのサンプルクエリの表示 を参照してください。

  • CloudTrail Lake ダッシュボードを閲覧して、イベントデータストアのデータを視覚化します。詳細については、「Lake ダッシュボードを表示する 」を参照してください。

  • イベントデータストアで、AWS Key Management Service (AWS KMS) または Amazon Relational Database Service データ API イベントを除外できます。一般に、EncryptDecryptGenerateDataKey などの AWS KMS アクションは、大量のイベント (99% 以上) を生成します。[イベント履歴] からイベントを除外できません。

証跡を作成すると、次の統合を活用することもできます。

  • 証跡を使用すると、CloudTrail Insights イベントを記録できます。これは、write 管理 API コールに関連する異常なアクティビティを特定して応答するのに役立ちます。詳細については、「証跡の Insights イベントの記録 」を参照してください。

  • AWS のサービスアクティビティを Amazon Athena でクエリを使用して分析します。詳細については、Amazon Athena ユーザーガイドの「CloudTrail コンソールで CloudTrail ログのテーブルを作成する」か、または CloudTrail コンソールの [イベント履歴] からテーブルを直接作成するオプションを選択します。

  • 証跡ログをモニタリングし、Amazon CloudWatch Logs での特定の特定のアクティビティの発生時に通知を受けることができます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする 」を参照してください。

  • 証跡を使用すると、AWS Key Management Service (AWS KMS) または Amazon Relational Database Service データ API イベントを除外できまmす。Encrypt などの AWS KMS アクション、Decrypt、および GenerateDataKey は通常、イベントの大半 (99% 以上) を生成します。[イベント履歴] からイベントを除外できません。

CloudTrail コンソールで最近のイベントを確認するには
  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/home/)

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

    フィルタリングされたイベントのリストは、最新のイベントから先にコンテンツペインに表示されます。下にスクロールすると、さらにイベントが表示されます。

  3. イベントを比較するには、[イベント履歴] テーブルの左余白のチェックボックスをオンにして、最大 5 つのイベントを選択します。選択したイベントの詳細を [イベントの詳細を比較する] テーブルに並べて比較できます。

[イベント履歴] のイベントのデフォルトの表示では、属性フィルターを使用して、表示されるイベントのリストから読み取り専用イベントを除外します。このフィルターを削除するか、他のフィルターを適用するには、フィルター設定を変更します。詳細については、「CloudTrail イベントのフィルタリング 」を参照してください。

表示したいページを選択することで、[イベント履歴] のページ間を移動できます。[イベント履歴] の次のページと前のページも表示できます。

< を選択すると、[イベント履歴] の前のページが表示されます。

< を選択すると、[イベント履歴] の次のページが表示されます。

表示をカスタマイズする

CloudTrail コンソールで [イベント履歴] の表示をカスタマイズするには、次の設定を選択します。

  • ページサイズ - 各ページに表示するイベントの数を 10、25、50 から選択します。

  • 行を折り返す - 各イベントのすべてのテキストが表示されるようにテキストを折り返します。

  • 行のストライプ化 - テーブルの 1 行おきにシェーディングを行います。

  • イベント時間表示 - イベント時間を UTC で表示するか、ローカルタイムゾーンで表示するかを選択します。

  • 表示する列の選択 - 表示する列を選択します。デフォルトでは、次の列が表示されます。

    • イベント名

    • イベント時間

    • [User name] (ユーザー名)

    • [イベントソース]

    • リソースタイプ

    • リソース名

    注記

    列の順序を変更したり、[イベント履歴] から手動でイベントを削除したりすることはできません。

表示をカスタマイズするには
  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/)。

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

  3. 歯車アイコンを選択します。

  4. [ページサイズ] では、1 ページに表示するイベントの数を選択します。

  5. [行を折り返す] を選択すると、各イベントのすべてのテキストが表示されます。

  6. [行のストライプ化] を選択すると、テーブルの 1 行おきにシェーディングを行います。

  7. [イベント時間表示] では、イベント時間を UTC で表示するか、ローカルタイムゾーンで表示するかを選択します。デフォルトでは、[UTC] が選択されています。

  8. [Select visible columns] で、表示する列を選択します。非表示にする列の選択を解除します。

  9. 変更が完了したら、[確認] を選択します。

CloudTrail イベントのフィルタリング

[イベント履歴] のイベントのデフォルトの表示では、属性フィルターを使用して、表示されるイベントのリストから読み取り専用イベントを除外します。この属性フィルターは [読み取り専用] という名前で、false に設定されます。このフィルターを削除すると、読み取りと書き込みの両方のイベントを表示できます。[読み取り] イベントのみを表示するには、フィルターの値を true に変更できます。他の属性でイベントをフィルタリングすることもできます。さらに、時間範囲でフィルタリングすることができます。

注記

1 つの属性フィルターおよび時間範囲フィルターのみを適用できます。複数の属性フィルターを適用することはできません。

AWS アクセスキー

リクエストに署名するために使用された AWS アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。

イベント ID

イベントの CloudTrail ID。各イベントには一意の ID があります。

イベント名

イベントの名前。例えば、CreatePolicy などの IAM イベントや、RunInstances などの Amazon EC2 イベントでフィルタリングできます。

[イベントソース]

リクエスト先の AWS サービス (iam.amazonaws.coms3.amazonaws.com など)。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

読み取り専用

イベントの読み取りタイプ。イベントは、読み取りイベントまたは書き込みイベントとして分類されます。false に設定すると、読み取りイベントは表示されるイベントのリストに含まれません。デフォルトでは、この属性フィルターが適用され、値は false に設定されます。

リソース名

イベントによって参照されるリソースの名前または ID。例えば、リソース名は、Auto Scaling グループの場合は、「auto-scaling-test-group」、EC2 インスタンスの場合は、「i-12345678910」となります。

リソースタイプ

イベントによって参照されるリソースのタイプ。たとえば、リソースタイプは、EC2 の場合は、Instance、RDS の場合は、DBInstance となります。リソースタイプは、AWS のサービスごとに異なります。

[Time range] (時間範囲)

イベントをフィルタリングする時間範囲。[相対範囲] または[絶対範囲] を選択することができます。過去 90 日間のイベントをフィルタリングすることができます。

[User name] (ユーザー名)

イベントによって参照される ID。例えば、これは、 ユーザー、 ロール名、またはサービスロールとすることができます。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには
  1. 属性で結果をフィルタリングするには、[ルックアップ属性] ドロップダウンリストをクリックし、テキストボックスに属性の値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには
  1. 表示したいイベントの時間範囲を絞り込むには、タイムレンジバーの時間範囲を選択します。[相対範囲] または[絶対範囲] を選択することができます。

    事前定義済みの値またはカスタム範囲を選択するには、[相対範囲] を選択します。プリセット値は、30 分、1 時間、12 時間、または 1 日です。カスタムの時間範囲を指定するには、[Custom] を選択します。

    [絶対範囲] を選択して開始時刻と終了時刻を指定します。ローカルタイムゾーンと UTC を切り替えることもできます。

  2. 時間範囲フィルターを削除するには、時間範囲バーで [クリアして閉じる] を選択します。

イベントの詳細の表示

  1. 結果リストでイベントを選択して、詳細を表示します。

  2. イベントで参照されるリソースは、[Resources referenced] テーブルでイベントの詳細ページに移動します。

  3. 一部の参照されているリソースのリンクがあります。リンクを選択すると、そのリソースのコンソールが開きます。

  4. 詳細ページの [Event record] までスクロールして、JSON イベントレコードや、呼び出したイベントペイロードも確認できます。

  5. ページパンくずの [イベント履歴] を選択してイベントの詳細ページを閉じ、[イベント履歴] に戻ります。

イベントのダウンロード

記録されたイベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。システムの安全性を維持するため、このコンテンツの無効化を選択してください。ダウンロードしたイベント履歴ファイルでは、リンクまたはマクロを常に無効にします。

  1. ダウンロードするイベントのフィルターと時間範囲を [イベント履歴] に追加します。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. [Download events] 選択し、その後 [Download as CSV] または [Download as JSON] を選択します。ダウンロードがすぐに開始されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。ダウンロードはキャンセルできます。ダウンロードをキャンセルすると、一部のイベントデータのみを含む部分的なダウンロードがローカルコンピュータにある可能性があります。すべてのイベント履歴をダウンロードするには、ダウンロードを再起動します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルするには、[Cancel] を選択し、[Cancel download] を選択して確認します。ダウンロードを再開する必要がある場合は、1 つ前のダウンロードのキャンセルが完了するまで待ちます。

AWS Config で参照されたリソースの表示

AWS Config は、設定の詳細、関係、AWS リソースへの変更を記録します。

[参照されたリソース] ペインで、[AWS Config リソースのタイムライン] 列の  
                    AWS Config timeline icon
                 を選択し、AWS Config コンソールでリソースを表示します。


                    AWS Config timeline
                アイコンがグレーの場合、AWS Config が有効になっていないか、リソースタイプが記録されていません。このアイコンを選択すると、AWS Config コンソールに移動してサービスを有効にするか、そのリソースタイプの記録を開始します。詳細については、AWS Config デベロッパーガイドの「コンソールを使用した AWS Config のセットアップ」を参照してください。

列に [Link not available] が表示された場合、次のいずれかの理由でリソースを表示できません。

  • AWS Config はリソースタイプをサポートしていません。詳細については、AWS Config デベロッパーガイドの「サポートされたリソース、項目の設定、関係」を参照してください。

  • AWS Config は、最近、リソースタイプのサポートを追加しましたが、CloudTrail コンソールからは、まだ利用できません。AWS Config コンソールでリソースを検索して、リソースのタイムラインを表示することができます。

  • リソースは、別の AWS アカウントによって所有されます。

  • このリソースは、管理 IAM ポリシーなどの別の AWS サービスによって所有されます。

  • リソースが作成され、すぐに削除されました。

  • リソースは、最近作成または更新されました。

  1. IAM リソースを記録するために AWS Config を設定します。

  2. IAM ユーザー、Bob-userを作成します。[イベント履歴] ページには、CreateUser イベントと Bob-user が、IAM リソースとして表示されます。AWS Config アイコンを選択すると、AWS Config タイムラインで、この IAM リソースを表示できます。

  3. ユーザー名を Bob-admin に更新します。

  4. [イベント履歴] ページには、UpdateUser イベントと Bob-admin が、更新された IAM リソースとして表示されます。

  5. このアイコンを選択すると、タイムラインで、この Bob-admin IAM リソースを表示できます。ただし、リソース名が変更されたため、Bob-user のアイコンを選択することはできません。AWS Config は更新されたリソースを記録できるようになりました。

ユーザーに読み取り専用アクセス権限を付与するために AWS Config コンソールでリソースを表示するには、「CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する」を参照してください。

AWS Config の詳細については、AWS Config デベロッパーガイドを参照してください。