CloudTrail イベント履歴の操作 - AWS CloudTrail

CloudTrail イベント履歴の操作

AWS では、CloudTrail はデフォルトで有効になっています。CloudTrail の [イベント履歴] へのアクセスは、自動的に有効になっています。[イベント履歴] では、AWS リージョン で過去 90 日間に記録された管理イベントに関する表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。これらのイベントは、AWS Management Console、AWS Command Line Interface、AWS の SDK および API を通じて行われたアクティビティをキャプチャします。[イベント履歴] には、イベントが発生した AWS リージョン におけるイベントが記録されます。[イベント履歴] の閲覧には CloudTrail の料金はかかりません。

[イベント履歴] ページを閲覧すると、CloudTrail コンソールで、AWS アカウント におけるリソース (IAM ユーザー、Amazon EC2 インスタンスなど) の作成、変更、削除に関連するイベントを、リージョン単位で検索できます。aws cloudtrail lookup-events コマンドを実行するか、LookupEvents API を使用してこれらのイベントを調べることもできます。

CloudTrail コンソールの [イベント履歴] ページで、AWS インフラストラクチャ全般のアカウントアクティビティについて、閲覧、検索、ダウンロード、アーカイブ、分析、対応を行えます。各ページに表示するイベントの数を選択し、コンソールに表示する列を選択することで、[イベント履歴] の表示をカスタマイズできます。また、[イベント履歴] でイベントの詳細を並べて比較することができます。AWS SDK または AWS Command Line Interface を使用してプログラムでイベントを検索できます。

注記

今後、AWS のサービス でイベントが追加される可能性があります。CloudTrail は [イベント履歴] にこれらのイベントを記録しますが、追加されたイベントを含むアクティビティの完全な 90 日の記録は、イベントの追加後 90 日を経過するまでは利用できません。

[イベント履歴] は、作成した証跡やイベントデータとは独立したものです。イベントデータストアまたは証跡を変更しても、[イベント履歴] には影響しません。

以下のセクションでは、CloudTrail コンソールと AWS CLI を使用して最近の管理イベントを調べる方法、およびイベントのファイルをダウンロードする方法を説明します。LookupEvents API を使用して CloudTrail イベントから情報を取得する方法については、「AWS CloudTrail API リファレンス」の「LookupEvents」を参照してください。

トピック

イベント履歴の制限

[イベント履歴] には次の制限が適用されます。

  • CloudTrail コンソールの [イベント履歴] ページには、管理イベントのみが表示されます。データイベント、Insights イベントあるいはネットワークアクティビティイベントは表示されません。

  • [イベント履歴] では過去 90 日間のイベントのみを表示します。AWS アカウント 内の進行中イベントを記録するには、イベントデータストアまたは証跡を作成します。

  • CloudTrail コンソールの [イベント履歴] ページからイベントをダウンロードする場合、1 つのファイルで最大 200,000 個のイベントをダウンロードできます。イベントの上限が 200,000 に達すると、CloudTrail コンソールに追加のファイルをダウンロードするオプションが表示されます。

  • [イベント履歴] では、組織レベルのイベント集約は表示できません。組織全体のイベントを記録するには、組織イベントのデータストアまたは証跡を作成します。

  • [Event history] (イベント履歴) 検索は単一の AWS アカウント に制限されており、単一の AWS リージョン からのイベントのみを返し、複数の属性をクエリすることはできません。1 つの属性フィルターおよび時間範囲フィルターのみを適用できます。

    CloudTrail Lake イベントデータストアを作成すると、複数の属性と AWS リージョン に対してクエリを実行できます。AWS Organizations 組織内の、複数の AWS アカウント にわたってクエリを実行することもできます。CloudTrail Lake では、管理イベント、データイベント、Insights イベント、AWS Config の構成項目、Audit Manager の証拠、AWS 以外のイベントなど、さまざまなイベントタイプに対しクエリを実行できます。CloudTrail Lake のクエリは、[Event history] (イベント履歴) での単純なキーと値のルックアップ、または LookupEvents の実行よりも、さらに詳細でカスタマイズ可能なイベントのビューを提供します。詳細については、AWS CloudTrail Lake の使用およびコンソールを使用して CloudTrail イベント用にイベントデータストアを作成するを参照してください。

  • [イベント履歴] から AWS KMS または Amazon RDS Data API イベントを除外することはできません。証跡またはイベントデータストアに適用する設定は [イベント履歴] には適用されません。