CloudTrail コンソールで CloudTrail イベントを表示する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail コンソールで CloudTrail イベントを表示する

CloudTrail コンソールを使用して、過去 90 日間に記録された API アクティビティ (管理イベント) をAWSリージョン。その情報を使用してファイルをダウンロードしたり、選択したフィルターおよび時間範囲に基づいて情報のサブセットをダウンロードしたりできます。[イベント履歴] の表示をカスタマイズするには、表示する列をコンソールで選択します。特定のサービスで利用できるリソースタイプにより、イベントを検索し、フィルタリングすることもできます。最大 5 つのイベントを選択できます。イベント履歴詳細を並べて比較します。

イベント履歴は、データイベントを表示しません。データイベントを表示するには証跡を作成するには

90 日経過すると、イベントは [イベント履歴] に表示されなくなります。[イベント履歴] からイベントを手動で削除することはできません。証跡を作成すると、証跡設定で設定された S3 バケットに保存している限り、証跡に記録されたイベントを表示できます。

CloudTrail ログ記録はAWSのサービス。ほとんどのAWSのサービスでは、すべてのイベントの CloudTrail ログ記録がサポートされますが、一部のサービスでは API およびイベントのサブセットのログ記録のみがサポートされ、いくつかのサービスがサポートされません。CloudTrail が特定のサービスのイベントを記録する方法については、そのサービスのドキュメントを参照してください。詳細については、「CloudTrail のサポート対象サービスと統合」を参照してください。

注記

実行されているアクティビティおよびイベントの記録については、「証跡を作成する」を参照してください。証跡を作成すると、次の統合を活用することもできます。

  • 証跡を使用すると、CloudTrail インサイトイベントを記録できます。これはwrite管理 API コールです。詳細については、「証跡のインサイトイベントの記録」を参照してください。

  • 分析するAWSAmazon Athena でのクエリでのサービスアクティビティ。詳細については、「」を参照してください。CloudTrail コンソールで CloudTrail ログのテーブルを作成する()Amazon Athena ユーザーガイドからテーブルを直接作成するオプションを選択するか、イベント履歴CloudTrail コンソールで。

  • 証跡ログを監視し、Amazon CloudWatch Logs での特定のアクティビティの発生時に通知を受けることができます。詳細については、「Amazon CloudWatch Logs を使用した CloudTrail ログファイルのモニタリング」を参照してください。

  • トレイルを使用すると、AWS Key Management Service(AWS KMS)、または Amazon Relational Database Service データ API イベントです。AWS KMSなどのアクションEncrypt,Decrypt, およびGenerateDataKey通常、大容量イベント (99% 以上) を生成します。イベントは除外できませんイベント履歴です。管理イベントのログを記録する記録を作成または更新する場合にのみ、イベントを除外できます。

CloudTrail イベントを表示するには

  1. にサインインします。AWS Management Consoleに移動し、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/home/

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

    フィルタリングされたイベントのリストは、最新のイベントから先にコンテンツペインに表示されます。下にスクロールすると、さらにイベントが表示されます。

  3. イベントを比較するには、イベントの左余白にチェックボックスを入力して、最大 5 つのイベントを選択します。イベント履歴テーブル。選択したイベントの詳細をイベントの詳細を比較するテーブル。

[イベント履歴] のイベントのデフォルトビューにはフィルターが適用されるため、読み取り専用イベントは表示されません。このフィルターを削除するか、他のフィルターを適用するには、フィルター設定を変更します。詳細については、「CloudTrail イベントのフィルタリング」を参照してください。

CloudTrail イベントの表示

表示をカスタマイズできます。イベント履歴CloudTrail コンソールで表示する列を選択します。デフォルトでは、次の列が表示されます。

  • イベント名

  • イベント時間

  • ユーザー名

  • イベントソース

  • リソースタイプ

  • リソース名

注記

列の順序を変更したり、[イベント履歴] から手動でイベントを削除したりすることはできません。

[イベント履歴] に表示される列をカスタマイズするには

  1. にサインインします。AWS Management Consoleに移動し、CloudTrail コンソールをhttps://console.aws.amazon.com/cloudtrail/home/

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

  3. 歯車アイコンを選択します。

  4. Eclipse表示される列を選択表示したい列を選択します。非表示にする列の選択を解除します。完了したら、[確認する

CloudTrail イベントのフィルタリング

[イベント履歴] のイベントのデフォルトの表示では、属性フィルターを使用して、表示されるイベントのリストから読み取り専用イベントを除外します。この属性フィルタは[Read-only]に設定されており、false。このフィルターを削除すると、読み取りと書き込みの両方のイベントを表示できます。表示のみを表示するにはReadイベントの場合、フィルター値をtrue。他の属性でイベントをフィルタリングすることもできます。さらに、時間範囲でフィルタリングすることができます。

注記

1 つの属性フィルターおよび時間範囲フィルターのみを適用できます。複数の属性フィルターを適用することはできません。

AWS アクセスキー

リクエストに署名するために使用された AWS アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。

イベント ID

イベントの CloudTrail ID。各イベントには一意の ID があります。

イベント名

グループの名前。たとえば、IAM イベントでフィルタリングできます。CreatePolicy、または Amazon EC2 イベント(RunInstances

イベントソース

リクエスト先の AWS サービス (iam.amazonaws.coms3.amazonaws.com など)。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

読み取り専用

イベントの読み取りタイプ。イベントは、読み取りイベントまたは書き込みイベントとして分類されます。false に設定すると、読み取りイベントは表示されるイベントのリストに含まれません。デフォルトでは、この属性フィルターが適用され、値は false に設定されます。

リソース名

イベントによって参照されるリソースの名前または ID。たとえば、リソース名は、Auto Scaling グループの場合は、「auto-scaling-test-group」、EC2 インスタンスの場合は、「i-12345678910」となります。

リソースタイプ

イベントによって参照されるリソースのタイプ。たとえば、リソースタイプは、EC2 の場合は、Instance、RDS の場合は、DBInstance となります。リソースタイプは、AWS のサービスごとに異なります。

時間範囲

イベントをフィルタリングする時間範囲。過去 90 日間のイベントをフィルタリングすることができます。

ユーザー名

イベントによって参照されるユーザーの ID。たとえば、IAM ユーザー、IAM ロール名、またはサービスロールとすることができます。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、[]ルックアップ属性ドロップダウンリストをクリックし、テキストボックスに属性の値を入力するか、または選択します。

  2. 属性フィルタを削除するには、[] を選択します。X属性フィルタボックスの右側にある。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 表示するイベントの時間範囲を絞り込むには、時間範囲バーで時間範囲を選択します。プリセット値は、30 分、1 時間、3 時間、または 12 時間です。カスタムの時間範囲を指定するには、[] メニューからCustom

  2. 時間範囲フィルターを削除するには、[] ツールバーからクリア時間範囲バーに入力します。

イベントの詳細の表示

  1. 結果リストでイベントを選択して、詳細を表示します。

  2. イベントで参照されるリソースは、参照されるリソーステーブルに移動します。

  3. 一部の参照されているリソースのリンクがあります。リンクを選択すると、そのリソースのコンソールが開きます。

  4. にスクロールイベントレコードをクリックすると、JSON イベントレコード (イベント) が表示されます。payload

  5. 選択イベント履歴をクリックしてイベントの詳細ページを閉じ、イベント履歴

イベントのダウンロード

記録されたイベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。たとえば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。システムの安全性を維持するため、このコンテンツの無効化を選択してください。ダウンロードしたイベント履歴ファイルでは、リンクまたはマクロを常に無効にします。

  1. イベント用のフィルターと時間範囲を追加します。イベント履歴ダウンロードする。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. 選択イベントのダウンロード] を選択してから、[CSV 形式でダウンロードまたはJSON としてダウンロード。ダウンロードがすぐに開始されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。ダウンロードをキャンセルできます。ダウンロードをキャンセルすると、一部のイベントデータのみを含む部分的なダウンロードがローカルコンピューターにある可能性があります。すべてのイベント履歴をダウンロードするには、ダウンロードを再起動します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルする場合は、[] を選択します。キャンセルを選択して、[] を選択します。ダウンロードをキャンセルする。ダウンロードを再開する必要がある場合は、以前のダウンロードのキャンセルが完了するまで待ちます。

で参照されるリソースの表示AWS Config

AWS Config は、設定の詳細、関係、AWS リソースへの変更を記録します。

[Resources Referenced (参照されたリソース)] ペインで、 
                    AWS Config timeline icon
                を [Config のタイムライン] 列で選択し、AWS Config コンソールでリソースを表示します。


                    AWS Config timeline
                アイコンがグレーの場合、AWS Config が有効になっていないか、リソースタイプが記録されていません。このアイコンを選択すると、AWS Config コンソールに移動してサービスを有効にするか、そのリソースタイプの記録を開始します。詳細については、「」を参照してください。のセットアップAWS Configコンソールを使用する() AWS Config 開発者ガイド

列に [Link not available] が表示された場合、次のいずれかの理由でリソースを表示できません。

  • AWS Config はリソースタイプをサポートしていません。詳細については、「」を参照してください。サポートされているリソース、設定項目、および関係() AWS Config 開発者ガイド

  • AWS Configは、最近、リソースタイプのサポートを追加しましたが、CloudTrail コンソールからは、まだ利用できません。AWS Config コンソールでリソースを検索して、リソースのタイムラインを表示することができます。

  • リソースは、別の AWS アカウントによって所有されます。

  • リソースは、別のAWSサービス(管理対象 IAM ポリシーなど)。

  • リソースが作成され、すぐに削除されました。

  • リソースは、最近作成または更新されました。

  1. あなたが設定するAWS Configを使用して IAM リソースを記録します。

  2. IAM ユーザーを作成するにはBob-user。-イベント履歴ページには、CreateUserイベントとBob-userを IAM リソースとして使用します。以下を選択することができます。AWS Configアイコンをクリックして、この IAM リソースをAWS Configタイムライン。

  3. ユーザー名を更新します。Bob-admin

  4. -イベント履歴ページには、UpdateUserイベントとBob-adminを更新した IAM リソースとして使用します。

  5. アイコンを選択すると、Bob-adminタイムラインの IAM リソース。ただし、[] アイコンを選択することはできません。Bob-userリソース名が変更されたためです。AWS Configは更新されたリソースを記録できるようになりました。

ユーザーに読み取り専用アクセス権限を付与するために AWS Config コンソールでリソースを表示するには、「表示するアクセス許可を付与するAWS ConfigCloudTrail コンソールに関する情報」を参照してください。

AWS Config の詳細については、 AWS Config 開発者ガイドを参照してください。