CloudTrail コンソールでの CloudTrail イベントの表示 - AWS CloudTrail

CloudTrail コンソールでの CloudTrail イベントの表示

CloudTrail コンソールを使用して、AWS リージョンの過去 90 日間に記録された API アクティビティ (管理イベント) を表示できます。その情報を使用してファイルをダウンロードしたり、選択したフィルターおよび時間範囲に基づいて情報のサブセットをダウンロードしたりできます。[イベント履歴] の表示をカスタマイズするには、表示する列をコンソールで選択します。特定のサービスで利用できるリソースタイプにより、イベントを検索し、フィルタリングすることもできます。また、[イベント履歴] で最大 5 つのイベントを選択し、詳細を並べて比較することができます。

[イベント履歴] はデータイベントを表示しません。データイベント表示するには、[create a trail] を行います。

90 日経過すると、イベントは [イベント履歴] に表示されなくなります。[イベント履歴] からイベントを手動で削除することはできません。証跡を作成すると、証跡設定で設定された S3 バケットに保存している限り、証跡に記録されたイベントを表示できます。

CloudTrail のログ記録は、AWS のサービスによって異なります。ほとんどの AWS のサービスでは、すべてのイベントの CloudTrail ログ記録がサポートされますが、一部のサービスでは API およびイベントのサブセットのログ記録のみがサポートされ、いくつかのサービスがサポートされません。CloudTrail が特定のサービスのイベントを記録する方法については、そのサービスのドキュメントを参照してください。詳細については、「CloudTrail がサポートされているサービスと統合」を参照してください。

注記

実行されているアクティビティおよびイベントの記録については、「証跡を作成する」を参照してください。証跡を作成すると、次の統合を活用することもできます。

  • 証跡を使用すると、CloudTrail Insights イベントを記録できます。これは、write 管理 API コールに関連する異常なアクティビティを特定して応答するのに役立ちます。詳細については、「証跡の Insights イベントの記録」を参照してください。

  • AWS のサービスアクティビティを Amazon Athena でクエリを使用して分析します。詳細については、Amazon Athena ユーザーガイドの「CloudTrail コンソールで CloudTrail ログのテーブルを作成する」か、または CloudTrail コンソールの [イベント履歴] からテーブルを直接作成するオプションを選択します。

  • 証跡ログをモニタリングし、Amazon CloudWatch Logs での特定の特定のアクティビティの発生時に通知を受けることができます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

  • 証跡を使用すると、AWS Key Management Service (AWS KMS) または Amazon Relational Database Service データ API イベントを除外できまmす。Encrypt などの AWS KMS アクション、Decrypt、および GenerateDataKey は通常、イベントの大半 (99% 以上) を生成します。イベントはイベント履歴から除外できません。管理イベントのログを記録する証跡を作成または更新する場合にのみ、イベントを除外できます。

CloudTrail イベントを表示するには

  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/home/)

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

    フィルタリングされたイベントのリストは、最新のイベントから先にコンテンツペインに表示されます。下にスクロールすると、さらにイベントが表示されます。

  3. イベントを比較するには、[イベント履歴] テーブルの左余白のチェックボックスをオンにして、最大 5 つのイベントを選択します。選択したイベントの詳細を [イベントの詳細を比較する] テーブルに並べて比較できます。

[イベント履歴] のイベントのデフォルトビューにはフィルターが適用されるため、読み取り専用イベントは表示されません。このフィルターを削除するか、他のフィルターを適用するには、フィルター設定を変更します。詳細については、「CloudTrail イベントのフィルタリング」を参照してください。

CloudTrail イベントの表示

[イベント履歴] の表示をカスタマイズするには、表示する列を CloudTrail コンソールで選択します。デフォルトでは、次の列が表示されます。

  • イベント名

  • イベント時間

  • User name -

  • イベントソース

  • リソースタイプ

  • リソース名

注記

列の順序を変更したり、[イベント履歴] から手動でイベントを削除したりすることはできません。

[イベント履歴] に表示される列をカスタマイズするには

  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/home/)

  2. ナビゲーションペインで [Event history (イベント履歴)] を選択します。

  3. 歯車アイコンを選択します。

  4. [Select visible columns] で、表示する列を選択します。非表示にする列の選択を解除します。完了したら [確認] を選択します。

CloudTrail イベントのフィルタリング

[イベント履歴] のイベントのデフォルトの表示では、属性フィルターを使用して、表示されるイベントのリストから読み取り専用イベントを除外します。この属性フィルターは [読み取り専用] という名前で、false に設定されます。このフィルターを削除すると、読み取りと書き込みの両方のイベントを表示できます。[読み取り] イベントのみを表示するには、フィルターの値を true に変更できます。他の属性でイベントをフィルタリングすることもできます。さらに、時間範囲でフィルタリングすることができます。

注記

1 つの属性フィルターおよび時間範囲フィルターのみを適用できます。複数の属性フィルターを適用することはできません。

AWS アクセスキー

リクエストに署名するために使用された AWS アクセスキー ID。リクエストが、一時的セキュリティ認証情報で行われた場合、これは、一時的認証情報のアクセスキー IDです。

イベント ID

イベントの CloudTrail ID。各イベントには一意の ID があります。

イベント名

グループの名前。例えば、CreatePolicy などの IAM イベントや、RunInstances などの Amazon EC2 イベントでフィルタリングできます。

イベントソース

リクエスト先の AWS サービス (iam.amazonaws.coms3.amazonaws.com など)。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

読み取り専用

イベントの読み取りタイプ。イベントは、読み取りイベントまたは書き込みイベントとして分類されます。false に設定すると、読み取りイベントは表示されるイベントのリストに含まれません。デフォルトでは、この属性フィルターが適用され、値は false に設定されます。

リソース名

イベントによって参照されるリソースの名前または ID。例えば、リソース名は、Auto Scaling グループの場合は、「auto-scaling-test-group」、EC2 インスタンスの場合は、「i-12345678910」となります。

リソースタイプ

イベントによって参照されるリソースのタイプ。たとえば、リソースタイプは、EC2 の場合は、Instance、RDS の場合は、DBInstance となります。リソースタイプは、AWS のサービスごとに異なります。

時間範囲

イベントをフィルタリングする時間範囲。過去 90 日間のイベントをフィルタリングすることができます。

ユーザー名

イベントによって参照されるユーザーの ID。たとえば、これは、IAM ユーザー、IAM ロール名、またはサービスロールとすることができます。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、[ルックアップ属性] ドロップダウンリストをクリックし、テキストボックスに属性の値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 表示したいイベントの時間範囲を絞り込むには、タイムレンジバーの時間範囲を選択します。プリセット値は、30 分、1 時間、3 時間、または 12 時間です。カスタムの時間範囲を指定するには、[Custom] を選択します。

  2. 時間範囲フィルターを削除するには、タイムレンジバーの [クリア] を選択します。

イベントの詳細の表示

  1. 結果リストでイベントを選択して、詳細を表示します。

  2. イベントで参照されるリソースは、[Resources referenced] テーブルでイベントの詳細ページに移動します。

  3. 一部の参照されているリソースのリンクがあります。リンクを選択すると、そのリソースのコンソールが開きます。

  4. 詳細ページの [Event record] までスクロールして、JSON イベントレコードや、呼び出したイベントペイロードも確認できます。

  5. ページパンくずの [イベント履歴] を選択してイベントの詳細ページを閉じ、[イベント履歴] に戻ります。

イベントのダウンロード

記録されたイベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。システムの安全性を維持するため、このコンテンツの無効化を選択してください。ダウンロードしたイベント履歴ファイルでは、リンクまたはマクロを常に無効にします。

  1. ダウンロードするイベントのフィルターと時間範囲を [イベント履歴] に追加します。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. [Download events] 選択し、その後 [Download as CSV] または [Download as JSON] を選択します。ダウンロードがすぐに開始されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。ダウンロードはキャンセルできます。ダウンロードをキャンセルすると、一部のイベントデータのみを含む部分的なダウンロードがローカルコンピュータにある可能性があります。すべてのイベント履歴をダウンロードするには、ダウンロードを再起動します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルするには、[Cancel] を選択し、[Cancel download] を選択して確認します。ダウンロードを再開する必要がある場合は、1 つ前のダウンロードのキャンセルが完了するまで待ちます。

AWS Config で参照されたリソースの表示

AWS Config は、設定の詳細、関係、AWS リソースへの変更を記録します。

[Resources Referenced (参照されたリソース)] ペインで、 
                    AWS Config timeline icon
                を [Config のタイムライン] 列で選択し、AWS Config コンソールでリソースを表示します。


                    AWS Config timeline
                アイコンがグレーの場合、AWS Config が有効になっていないか、リソースタイプが記録されていません。このアイコンを選択すると、AWS Config コンソールに移動してサービスを有効にするか、そのリソースタイプの記録を開始します。詳細については、AWS Config デベロッパーガイドの「コンソールを使用した AWS Config のセットアップ」を参照してください。

列に [Link not available] が表示された場合、次のいずれかの理由でリソースを表示できません。

  • AWS Config はリソースタイプをサポートしていません。詳細については、AWS Config デベロッパーガイドの「サポートされたリソース、項目の設定、関係」を参照してください。

  • AWS Config は、最近、リソースタイプのサポートを追加しましたが、CloudTrail コンソールからは、まだ利用できません。AWS Config コンソールでリソースを検索して、リソースのタイムラインを表示することができます。

  • リソースは、別の AWS アカウントによって所有されます。

  • このリソースは、管理 IAM ポリシーなどの別の AWS サービスによって所有されます。

  • リソースが作成され、すぐに削除されました。

  • リソースは、最近作成または更新されました。

  1. IAM リソースを記録するために AWS Config を設定します。

  2. IAM ユーザー、Bob-userを作成します。[イベント履歴] ページには、CreateUser イベントと Bob-user が、IAM リソースとして表示されます。AWS Config アイコンを選択すると、AWS Config タイムラインで、この IAM リソースを表示できます。

  3. ユーザー名を Bob-admin に更新します。

  4. [イベント履歴] ページには、UpdateUser イベントと Bob-admin が、更新された IAM リソースとして表示されます。

  5. このアイコンを選択すると、タイムラインで、この Bob-admin IAM リソースを表示できます。ただし、リソース名が変更されたため、Bob-user のアイコンを選択することはできません。AWS Config は更新されたリソースを記録できるようになりました。

ユーザーに読み取り専用アクセス権限を付与するために AWS Config コンソールでリソースを表示するには、「CloudTrail コンソールで AWS Config 情報を表示するアクセス許可を付与する」を参照してください。

AWS Config の詳細については、AWS Config デベロッパーガイドを参照してください。