翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このセクションでは、 CloudTrail コンソールの Insights ページから、証跡の過去 90 日間の Insights イベントを表示、検索、およびダウンロードする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「」を参照してくださいイベントデータストアの Insights ダッシュボードの表示。
証跡の Insights イベントがログに記録されると、イベントは Insights ページに 90 日間表示されます。[インサイト] ページからイベントを手動で削除することはできません。証跡に対して有効になっている Insights イベントは、その証跡用に設定された Amazon S3 バケットに保存されるため、バケットから Insights イベントを削除すると、それらのイベントが削除されます。
ログを有効にすると、証跡ログをモニタリングし、特定の Insights イベントが発生したときに通知を受け取ることができます CloudWatch 。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。
注記
CloudTrail コンソールで Insights イベントを表示するには、証跡で Insights イベントを有効にする必要があります。その間に異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかります。
API コールレートで Insights イベントをログに記録するには、証跡がwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、証跡が readまたは write管理イベントをログに記録する必要があります。
Insights イベントを表示するには
-
にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/home/
で CloudTrail コンソールを開きます。 -
ナビゲーションペインで、Insights を選択すると、過去 90 日間にアカウントに記録されたすべての Insights イベントが表示されます。ダッシュボードページから最新の 5 つの Insights イベントを表示することもできます。
-
Insights ページで、Insights イベントをイベントソース、イベント名、またはイベント ID でフィルタリングできます。Insights イベントのフィルタリングの詳細については、「Insights イベントのフィルタリング」を参照してください。
-
さらに、リストを相対範囲または絶対範囲に制限できます。
Insights イベントのフィルタリング
デフォルトでは、Insights ページのイベントは、イベント開始時刻順に時系列で表示されます。
次の 3 つの属性のいずれかを選択して、リストをフィルタリングできます。
- イベント名
-
イベントの名前。通常は AWS API、異常なレベルのアクティビティが記録されている です。
- イベントソース
-
iam.amazonaws.comや など、リクエストが行われた AWS サービスs3.amazonaws.com。イベントソースでフィルタリングすることを選択した場合は、イベントソースのリストをスクロールできます。 - Event ID
-
Insights イベントの ID。イベントIDsはインサイトページテーブルには表示されませんが、インサイトイベントをフィルタリングできる属性です。Insights イベントを生成するために分析されるIDs管理イベントのイベントは、IDsInsights イベントのイベントとは異なります。
次のリストでは、フィルタリングできないイベントの属性について説明します。
- Insight タイプ
-
CloudTrail Insights イベントのタイプ。API呼び出しレートまたはAPIエラーレートのいずれかです。API コールレートインサイトタイプは、ベースラインAPIコールボリュームに対して 1 分ごとに集計された書き込み専用管理APIコールを分析します。API エラー率インサイトタイプは、エラーコードが発生する管理API呼び出しを分析します。API 呼び出しが失敗した場合、エラーが表示されます。
- イベント開始時間
-
Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[Insights] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。
- ベースライン平均
-
ベースラインは、毎日計算されるAPIコールレートまたはエラーレートアクティビティの通常のパターンを表します。ベースライン平均は、Insights イベントの開始前の 7 日間におけるこれらの毎日のベースラインの平均です。この期間は一般的に 7 日間ですが、 は計算期間を整数に CloudTrail 丸めるため、正確なベースライン期間はわずかに異なる場合があります。
- インサイト平均
-
Insights イベントをAPIトリガーした への呼び出しの平均数API、または への呼び出しで返された特定のエラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした出現率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。
- レートの変化
-
測定されたベースライン平均とインサイト平均の値 (割合) の差分。例えば、発生する
AccessDeniedエラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、[Rate change] (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。
選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。
次のステップでは、属性でフィルタリングする方法について説明します。
属性でフィルタリングするには
-
属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、ルックアップ値の入力ボックスに値を入力または選択します。
-
属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。
次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。
開始と終了の日時ででフィルタリングするには
-
日付と時刻でフィルタリングから、次のいずれかを選択します。
-
絶対範囲 - 特定の時間を選択できます。次のステップに進みます。
-
相対範囲 - デフォルトで選択されます。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 3 に進みます。
-
-
絶対範囲を設定するには、次の手順を実行します。
-
時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、
yyyy/mm/ddの形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値はhh:mm:ssの形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、18:30:00を入力します。 -
カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。[Apply] を選択します。
-
-
相対範囲を設定するには、次の手順を実行します。
-
Insights イベントの開始時刻を基準としたプリセット期間を選択します。事前設定の時間範囲には、30 分、1 時間、12 時間、または 1 日が含まれます。カスタムの時間範囲を指定するには、[Custom] を選択します。
-
相対時間を設定したら、[適用] を選択します。
-
-
時間範囲フィルターを削除するには、日付と時刻でフィルタリングボックスの右側にあるカレンダーアイコンを選択し、クリアと却下を選択します。
Insights イベントの詳細の表示
-
結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。
-
強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。
では、次の情報が示されています。追加情報グラフの面積:
-
Insights タイプ。これは、API通話率またはAPIエラー率です。
-
[トリガー] (トリガー) これは、[Cloudtrail イベント] タブが表示されます。このタブには、異常なアクティビティが発生したと判断するために分析された管理イベントが一覧表示されます。
-
1 API分あたりの呼び出し数または 1 分あたりのエラー数
-
ベースライン平均 - アカウントの特定のリージョンで、過去約 7 日以内に測定された Insights イベントが記録された API での 1 分あたりの一般的な発生率。
-
Insights 平均 - Insights イベントをトリガーAPIした、この の 1 分あたりの出現率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーAPIした の 1 分あたりの呼び出しまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントの Insights 平均は、開始 Insights イベントと終了 Insights イベントの間の、異常なアクティビティの期間中の 1 分あたりのAPI呼び出しまたはエラーの割合です。
-
-
イベントソース 異常な数のAPI呼び出しまたはエラーがログに記録された AWS サービスエンドポイント。前のイメージでは、ソースは です。
ec2.amazonaws.comこれは Amazon のサービスエンドポイントですEC2。 -
Start event ID (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。
-
End event ID (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。
-
共有イベント ID - Insights イベントでは、共有イベント ID GUID は CloudTrail Insights イベントの開始ペアと終了ペアを一意に識別するために Insights によって生成される です。共有イベント ID は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。
-
-
属性タブを選択すると、ユーザー ID、ユーザーエージェント、およびAPI通話レート Insights イベント、異常およびベースラインアクティビティに関連するエラーコードに関する情報が表示されます。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [属性] タブのテーブルに表示されます。
-
[CloudTrail イベント] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトでは、Insights イベント名にフィルターがすでに適用されています。これは関連する の名前でもありますAPI。CloudTrail イベントタブには、Insights イベントの開始時刻 (マイナス 1 分) から終了時刻 (プラス 1 分) の間にAPI発生した件名に関連する CloudTrail 管理イベントが表示されます。
グラフで他のインサイトイベントを選択すると、[CloudTrail イベント] テーブルに表示されるイベントが変わります。これらのイベントは、より詳細な分析を実行して、Insights イベントの考えられる原因と異常なAPIアクティビティの理由を判断するのに役立ちます。
Insights CloudTrail イベント期間中にログに記録されたすべてのイベントを、関連する のイベントだけでなく表示するにはAPI、フィルターをオフにします。
-
Insights イベントレコードタブを選択すると、Insights の開始イベントと終了イベントが JSON形式で表示されます。
-
リンクされた [イベントソース] を選択すると、そのイベントソースによってフィルタリングされた [インサイト] ページに戻ります。
グラフのズーム、パン、ダウンロード
右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。
グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。
-
プロットを としてダウンロードPNGする - 詳細ページに表示されるグラフイメージをダウンロードし、 PNG 形式で保存します。
-
ズーム - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。
-
パン - グラフをシフトして、隣接する日付または時刻を表示します。
-
軸のリセット - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。
グラフの期間設定の変更
グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (X 軸上に示される選択したイベントの継続時間) を変更できます。
Insights イベントのダウンロード
記録された Insights イベント履歴は、 CSVまたは JSON形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。
注記
CloudTrail イベント履歴ファイルは、個々のユーザーが設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータの読み取りと分析に使用されるプログラム (CSVインジェクション) でコマンドとして解釈される可能性があります。例えば、 CloudTrail イベントが にエクスポートCSVされ、スプレッドシートプログラムにインポートされると、そのプログラムはセキュリティ上の懸念について警告することがあります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。
-
ダウンロードするイベントのフィルタと時間範囲を指定します。例えば、イベント名 を指定し
StartInstances、過去 12 時間のアクティビティの時間範囲を指定できます。 -
イベントのダウンロード を選択し、 としてダウンロード CSV または としてダウンロード JSONを選択します。ファイルを保存する場所を選択するプロンプトが表示されます。
注記
ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。
-
ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。
-
ダウンロードをキャンセルするには、キャンセルを選択します。ダウンロードが完了する前にキャンセルした場合、ローカルコンピュータの CSVまたは JSON ファイルには、イベントの一部のみが含まれる場合があります。
