コンソールを使用した証跡の CloudTrail Insights イベントの表示 - AWS CloudTrail
Insights イベントのフィルタリングInsights イベントの詳細の表示グラフのズーム、パン、ダウンロードグラフの期間設定の変更Insights イベントのダウンロード

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用した証跡の CloudTrail Insights イベントの表示

証跡で CloudTrail Insights イベントを有効にすると、 が異常APIまたはエラー率のアクティビティ CloudTrail を検出すると、 は Insights イベント CloudTrail を生成し、 の Dashboard ページと Insights ページに表示します AWS Management Console。コンソールで Insights イベントを表示して、異常なアクティビティのトラブルシューティングを行うことができます。直近 90 日間の Insights イベントがコンソールに表示されます。 AWS CloudTrail コンソールを使用して Insights イベントをダウンロードすることもできます。または を使用して AWS SDKs、プログラムでイベントを検索できます AWS Command Line Interface。 CloudTrail Insights イベントの詳細については、このガイドInsights イベントのログ記録の「」を参照してください。

注記

API コールボリュームの Insights イベントをログに記録するには、証跡がwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、証跡が readまたは write 管理イベントをログに記録する必要があります。

Insights イベントが記録されると、それらのイベントは [インサイト] ページに 90 日間表示されます。[インサイト] ページからイベントを手動で削除することはできません。 CloudTrail Insights を有効にする前に証跡を作成する必要があるため、証跡設定で設定された S3 バケットに保存されている限り、証跡に記録された Insights イベントを表示できます。

証跡ログをモニタリングし、Amazon CloudWatch Logs で特定の Insights イベントアクティビティが発生したときに通知を受け取ります。詳細については、「Amazon CloudWatch Logs CloudTrail によるログファイルのモニタリング」を参照してください。

Insights イベントを表示するには

CloudTrail コンソールで Insights イベントを表示するには、証跡で Insights イベントを有効にする必要があります。異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかります。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ホーム/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインで、[ダッシュボード] を選択して最新の Insights イベント 5 つを表示するか、[Insights] を選択して過去 90 日間にアカウントにログインしたすべての Insights イベントを表示します。

    Insights ページでは、イベントAPIソース、イベント名、イベント ID などの基準で Insights イベントをフィルタリングし、表示されるイベントを特定の時間範囲内で発生するイベントに制限できます。Insights イベントのフィルタリングの詳細については、「Insights イベントのフィルタリング」を参照してください。

Insights イベントのフィルタリング

[インサイト] におけるイベントのデフォルト表示では、イベントが日付の逆順に表示されます。イベント開始時刻でソートされた最新の Insights イベントが一番上に表示されます。次のリストでは、使用可能な属性について説明します。最初の 3 つの属性 Event nameEvent sourceEvent ID でフィルタリングできます。

CloudTrail Insights イベントリストフィルター。
イベント名

イベントの名前。通常 AWS API、異常なレベルのアクティビティが記録された です。

Insight タイプ

CloudTrail Insights イベントのタイプ。API呼び出しレート またはAPIエラーレート のいずれかです。API コールレートインサイトタイプは、ベースラインAPIコールボリュームに対して 1 分ごとに集計される書き込み専用管理APIコールを分析します。API エラー率インサイトタイプは、エラーコードにつながる管理API呼び出しを分析します。API 呼び出しが失敗した場合、エラーが表示されます。

[イベントソース]

iam.amazonaws.com や など、リクエストが行われた AWS サービスs3.amazonaws.com。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

イベント ID

Insights イベントの ID。イベントIDsは Insights ページテーブルには表示されませんが、Insights イベントをフィルタリングできる属性です。Insights イベントを生成するために分析されるIDs管理イベントのイベントは、IDsInsights イベントのイベントとは異なります。

イベント開始時間

Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[Insights] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。

ベースライン平均

API コールレートまたはエラーレートアクティビティの通常のパターン。ベースライン平均は、Insights イベントの開始前の 7 日間にわたって計算されます。ベースライン期間の値、つまり が CloudTrail通常のアクティビティを分析する期間は約 7 APIs日ですが、 CloudTrail はベースライン期間を整数の日に丸めるため、正確なベースライン期間は異なる場合があります。

インサイト平均

Insights イベントをAPIトリガーした への呼び出しの平均数API、または への呼び出しで返された特定のエラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした出現率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。

レートの変化

測定されたベースライン平均インサイト平均の値 (割合) の差分。例えば、発生する AccessDenied エラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、[Rate change] (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、[Enter lookup value] ボックスに値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 表示するイベントの時間範囲を絞り込むには、テーブル上部のタイムスパンバーで期間を選択します。プリセットされた時間範囲は、30 分、1 時間、3 時間、または 12 時間です。カスタムの時間範囲を指定するには、[Custom] を選択します。

  2. 次のいずれかのテーブルを選択します。

    • [Absolute] - 特定の時間を選択できます。次のステップに進みます。

    • [Relative to value] - デフォルトで選択されています。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 4 に進みます。

  3. [Absolute] の時間範囲を設定するには、次の操作を行います。

    1. [Absolute] タブで、時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、yyyy/mm/dd の形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値は hh:mm:ss の形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、18:30:00 を入力します。

    2. カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。[適用] を選択します。

  4. [Relative to selected event] の時間範囲を設定するには、次の操作を行います。

    1. Insights イベントの開始時刻を基準としたプリセット期間を選択します。プリセット値は、分、時間、日数、週数で使用できます。最大相対期間は 12 週間です。

    2. 必要に応じて、プリセットの下のボックスでプリセット値をカスタマイズします。[Clear] を選択して、必要に応じて変更をリセットします。相対時間を設定したら、[適用] を選択します。

  5. [終了] で、日付を選択し、時間範囲の終了時刻を指定します。[適用] を選択します。

  6. 時間範囲フィルタを削除するには、[時間範囲] ボックスの右側にあるカレンダーアイコンを選択し、[削除] を選択します。

Insights イベントの詳細の表示

  1. 結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。

    異常なAPIアクティビティを示す CloudTrail Insights の詳細ページ。

  2. 強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。

    Insights イベントにマウスカーソルを合わせると表示される Insights イベントの統計情報。

    では、次の情報が示されています。追加情報グラフの面積:

    • Insights タイプ。これは、API呼び出しレートまたはAPIエラーレートです。

    • [トリガー] (トリガー) これは、[Cloudtrail イベント] タブが表示されます。このタブには、異常なアクティビティが発生したと判断するために分析された管理イベントが一覧表示されます。

    • API 1 分あたりの呼び出し数

      • ベースライン平均 - アカウント内の特定のリージョンで、過去約 7 日以内に測定された Insights イベントAPIが記録された での 1 分あたりの一般的な出現率。

      • Insights average - Insights イベントをトリガーAPIした、この での 1 分あたりの出現率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーAPIした での 1 分あたりの呼び出しまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントの Insights 平均は、Insights の開始イベントと終了 Insights イベントの間の、異常なアクティビティの期間中の 1 分あたりのAPI呼び出しまたはエラーのレートです。

    • イベントソース 異常な数のAPI呼び出しまたはエラーがログに記録された AWS サービスエンドポイント。前のイメージでは、ソースは です。ec2.amazonaws.comこれは Amazon のサービスエンドポイントですEC2。

    • イベント IDs

      • Start event ID (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。

      • End event ID (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。

      • 共有イベント ID - Insights イベントでは、共有イベント ID は、 CloudTrail Insights GUIDイベントの開始ペアと終了ペアを一意に識別するために Insights によって生成される です。共有イベント ID は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。

  3. 属性タブを選択すると、ユーザー ID、ユーザーエージェント、APIオンコールレート Insights イベント、異常アクティビティとベースラインアクティビティに関連するエラーコードに関する情報が表示されます。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [属性] タブのテーブルに表示されます。

  4. CloudTrail イベントタブで、異常なアクティビティが発生したかどうかを判断するために分析した CloudTrail関連イベントを表示します。デフォルトでは、Insights イベント名にフィルターがすでに適用されています。これは関連する の名前でもありますAPI。CloudTrail イベントタブには、Insights イベントの開始時間 (マイナス 1 分) から終了時間 (プラス 1 分) の間にAPI発生した件名に関連する CloudTrail 管理イベントが表示されます。

    グラフで他の Insights イベントを選択すると、イベントテーブルに表示されるCloudTrail イベントが変更されます。これらのイベントは、より詳細な分析を実行して、Insights イベントの考えられる原因と異常なAPIアクティビティの理由を判断するのに役立ちます。

    Insights CloudTrail イベント期間中にログに記録されたすべてのイベントを、関連する のイベントだけでなく表示するにはAPI、フィルターをオフにします。

  5. Insights イベントレコードタブを選択すると、Insights の開始イベントと終了イベントが JSON 形式で表示されます。

  6. リンクされた [イベントソース] を選択すると、そのイベントソースによってフィルタリングされた [インサイト] ページに戻ります。

グラフのズーム、パン、ダウンロード

右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。

軸のコマンドツールバーを PNG、ズーム、パン、ズームイン、ズームアウト、リセットとしてダウンロードします。

グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。

  • プロットを としてダウンロード PNG - 詳細ページに表示されるグラフイメージをダウンロードし、 PNG 形式で保存します。

  • ズーム - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。

  • パン - グラフをシフトして、隣接する日付または時刻を表示します。

  • 軸のリセット - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。

グラフの期間設定の変更

グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (X 軸上に示される選択したイベントの継続時間) を変更できます。

Insights イベントのタイムスパンコントロール。

グラフに表示されるデフォルトの期間は、選択した Insights イベントの期間によって異なります。

Insights イベントの期間 デフォルトの期間

4 時間未満

3h (3 時間)

4~12 時間

12h(12 時間)

12~24 時間

1d (1 日)

24~72 時間

3d (3 日)

72 時間超

1w (1 週間)

プリセットは、5 分、30 分、1 時間、3 時間、12 時間、または [Custom] から選択できます。次の画像は、選択したイベントの相対期間 ([Custom] で選択できます) を示しています。相対期間は、Insights イベントの詳細ページに表示される、選択した Insights イベントの開始と終了が収まるおおよその期間です。

Insights グラフ、期間、カスタム設定、[相対] 時間

選択したプリセットをカスタマイズするには、プリセットの下のボックスに数値と時間単位を指定します。

正確な日付と時刻の範囲を指定するには、[絶対] タブを選択します。日付と時刻の絶対範囲を設定する場合は、開始時刻と終了時刻が必要です。時間を設定する方法の詳細については、このトピックの Insights イベントのフィルタリング を参照してください。

Insights グラフ、期間、カスタム設定、[絶対]時間

Insights イベントのダウンロード

記録された Insights イベント履歴は、 CSVまたは JSON形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーが設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータの読み取りと分析に使用されるプログラム (CSVインジェクション) でコマンドとして解釈される可能性があります。例えば、 CloudTrail イベントが にエクスポートCSVされ、スプレッドシートプログラムにインポートされると、そのプログラムはセキュリティ上の懸念について警告する場合があります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。

  1. ダウンロードするイベントのフィルタと時間範囲を指定します。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. イベントのダウンロード を選択し、ダウンロードCSVまたはダウンロード JSONを選択します。ファイルを保存する場所を選択するプロンプトが表示されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルする場合は、[ダウンロードのキャンセル] を選択します。ダウンロードが完了する前にキャンセルすると、ローカルコンピュータの CSVまたは JSON ファイルにはイベントの一部のみが含まれる場合があります。