Amazon CloudSearch
開発者ガイド (API バージョン 2013-01-01)

AWS CloudTrail を使用した Amazon CloudSearch​ 設定 API 呼び出しのログ記録

Amazon CloudSearch は、ユーザー、ロール、または Amazon CloudSearch の AWS サービスによって実行されるアクションを記録するサービス AWS CloudTrail と統合されています。CloudTrail では、イベントとして Amazon CloudSearch に対するすべての設定 API 呼び出しをキャプチャします。

注記

CloudTrail​ は、CreateDomain​ や UpdateServiceAccessPolicies​ などの 設定 API​ への呼び出しのみをキャプチャします。ドキュメントサービス API、および検索 API はキャプチャされません。

キャプチャされる呼び出しには、Amazon CloudSearch コンソール、CLI、または SDK からの呼び出しが含まれます証跡を作成する場合は、Amazon CloudSearch のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、Amazon CloudSearch に対してどのようなリクエストが行われたかを判断できます。

CloudTrail の詳細については、「AWS CloudTrail User Guide」を参照してください。

CloudTrail 内の Amazon CloudSearch 情報

CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon CloudSearch でアクティビティが発生すると、そのアクティビティは [Event history (イベント履歴)] の AWS の他のサービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Amazon CloudSearch のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、以下を参照してください。

すべての Amazon CloudSearch 設定 API アクションは CloudTrail が記録し、Amazon CloudSearch の設定 API リファレンス に文書化されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は以下のことを確認するのに役立ちます。

  • リクエストが、ルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたかどうか。

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか.

  • リクエストが、別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

Amazon CloudSearch ログファイルエントリの概要

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、CreateDomain アクションの CloudTrail ログエントリを示しています。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/test-user", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "test-user", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-08-21T23:31:33Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2018-08-21T23:32:15Z", "eventSource": "cloudsearch.amazonaws.com", "eventName": "CreateDomain", "awsRegion": "us-west-1", "sourceIPAddress": "123.123.123.123", "userAgent": "signin.amazonaws.com", "requestParameters": { "domainName": "test-domain" }, "responseElements": { "domainStatus": { "aRN": "arn:aws:cloudsearch:us-west-1:123456789012:domain/test-domain", "searchInstanceCount": 0, "docService": {}, "requiresIndexDocuments": false, "deleted": false, "searchService": {}, "domainId": "123456789012/test-domain", "processing": false, "created": true, "searchPartitionCount": 0, "domainName": "test-domain" } }, "requestID": "12345678-1234-1234-1234-987654321098", "eventID": "87654321-4321-4321-4321-987654321098", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }