AWS DataSync による AWS CloudTrail API コールのログ記録

AWS DataSync ユーザーAWS CloudTrail、ロール、AWS サービスまたはユーザーによって実行されたアクションの記録を提供するサービスと統合されています DataSync。 CloudTrail すべての API DataSync 呼び出しをイベントとしてキャプチャします。キャプチャされる呼び出しには、 DataSync コンソールからの呼び出しと DataSync API オペレーションへのコード呼び出しが含まれます。

証跡を作成すると、Amazon S3 CloudTrail バケットへのイベント (のイベントを含む) の継続的な配信を有効にできますAWS DataSync。証跡を設定しなくても、 CloudTrail コンソールの [イベント履歴] で最新のイベントを確認できます。によって収集された情報を使用して CloudTrail、要求の送信元 IP アドレスAWS DataSync、要求の実行者、実行日時、その他の詳細情報を確認できます。

詳細については CloudTrail、『AWS CloudTrailユーザーガイド』を参照してください。

DataSync での情報の取り扱い CloudTrail

CloudTrail AWS アカウントアカウントを作成すると、で有効になります。でアクティビティが発生するとAWS DataSync、 CloudTrail AWS サービスそのアクティビティはイベント履歴の他のイベントとともにイベントに記録されます。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「 CloudTrail イベント履歴によるイベントの表示」を参照してください。

AWS DataSync に関するイベントを含めた AWS アカウント内でのイベントの継続的な記録については、証跡を作成します。トレイルを使用すると CloudTrail 、Amazon S3 バケットにログファイルを配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョン に適用されます。トレイルは、AWS リージョンAWSすべて同じパーティションのイベントを記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、AWS サービス CloudTrail ログに収集されたイベントデータをさらに分析して処理するように other を設定できます。詳細については、次を参照してください。

• 「追跡を作成するための概要」

• CloudTrail サポート対象のサービスとインテグレーション

• の Amazon SNS 通知の設定 CloudTrail

• CloudTrail 複数のリージョンからのログファイルの受信、 CloudTrail および複数のアカウントからのログファイルの受信

DataSync すべてのアクションはによって記録されます CloudTrail。(詳細については、 DataSync API リファレンスをご覧ください)。

たとえば、、ListLocationsオペレーションを呼び出すとCreateAgentCreateTask、 CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。同一性情報は次の判断に役立ちます。

• リクエストが、ルートと AWS Identity and Access Management (IAM) 認証情報のどちらを使用して送信されたか

• リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。

• リクエストが、別の AWS サービス によって送信されたかどうか。

詳細については、『AWS CloudTrailユーザーガイド』の「CloudTrailuserIdentity要素」を参照してください。

DataSync ログファイルエントリについて

トレイルは、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序で表示されることはありません。

次の例は、 CloudTrail CreateTask操作を示すログエントリを示しています。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "1234567890abcdef0",
        "arn": "arn:aws:iam::123456789012:user/user1",
        "accountId": "123456789012",
        "accessKeyId": "access key",
        "userName": "user1",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-12-13T14:56:46Z"
            }
        },
        "invokedBy": "signin.amazonaws.com"
    },
    "eventTime": "2018-12-13T14:57:02Z",
    "eventSource": "datasync.amazonaws.com",
    "eventName": "CreateTask",
    "awsRegion": "ap-southeast-1",
    "sourceIPAddress": "192.0.2.1",
    "userAgent": "signin.amazonaws.com",
    "requestParameters": {
        "cloudWatchLogGroupArn": "arn:aws:logs:ap-southeast-1:123456789012:log-group:MyLogGroup",
        "name": "MyTask-NTIzMzY1",
        "tags": [],
        "destinationLocationArn": "arn:aws:datasync:ap-southeast-1:123456789012:location/loc-abcdef01234567890",
        "options": {
            "bytesPerSecond": -1,
            "verifyMode": "POINT_IN_TIME_CONSISTENT",
            "uid": "INT_VALUE",
            "posixPermissions": "PRESERVE",
            "mtime": "PRESERVE",
            "gid": "INT_VALUE",
            "preserveDevices": "NONE",
            "preserveDeletedFiles": "REMOVE",
            "atime": "BEST_EFFORT"
        },
        "sourceLocationArn": "arn:aws:datasync:ap-southeast-1:123456789012:location/loc-021345abcdef6789"
    },
    "responseElements": {
        "taskArn": "arn:aws:datasync:ap-southeast-1:123456789012:task/task-1234567890abcdef0"
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}