ファイルアクセス監査によるエンドユーザーアクセスのログ記録 - Amazon FSx for Windows File Server

ファイルアクセス監査によるエンドユーザーアクセスのログ記録

Amazon FSx for Windows File Server は、ファイル、フォルダ、およびファイル共有へのエンドユーザーアクセスの監査をサポートしています。ファイルシステムの監査イベントログを、豊富な機能を提供する他の AWS サービスに送信することを選択できます。これには、ログのクエリ、処理、保存、アーカイブの有効化、通知の発行、セキュリティとコンプライアンスの目標をさらに前進させるためのアクションのトリガーが含まれます。

ファイルアクセス監査を使用してアクセスパターンを把握し、エンドユーザーのアクティビティに関するセキュリティ通知を実装する方法の詳細については、「File storage access patterns insights」と「Implementing security notifications for end user activity」を参照してください。

注記

ファイルアクセス監査は、32 MBps 以上のスループットキャパシティを持つ FSx for Windows のファイルシステムでのみサポートされます。既存のファイルシステムのスループットキャパシティを変更できるようになりました。詳細については、「FSx for Windows File Server ファイルシステムのスループットキャパシティの管理」を参照してください。

ファイルアクセス監査を使用すると、ユーザーが定義した監査管理に基づいて、個々のファイル、フォルダ、およびファイル共有のエンドユーザーアクセスをレコードできます。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。既存のファイルデータに監査コントロールがすでに設定されている場合は、ファイルアクセス監査を利用して新しい Amazon FSx for Windows File Server のファイルシステムを作成したり、データを移行することができます。

Amazon FSx は、ファイル、フォルダー、およびファイル共有アクセスのために次の Windows 監査イベントをサポートしています。

  • ファイルアクセスに関しては、次がサポートされます: すべて、フォルダのスキャン / ファイルの実行、フォルダ一覧 / データの読み取り、属性の読み取り、ファイルの作成 / データの書き込み、フォルダの作成 / データの追加、属性の書き込み、サブフォルダとファイルの削除、削除、許可の読み取り、許可の変更、および所有権の取得。

  • ファイル共有アクセスに関しては、次がサポートされます: ファイル共有に接続。

Amazon FSx は、ファイル、フォルダー、およびファイル共有へのアクセス全体で、成功した試行 (ファイルまたはファイル共有に正常にアクセスするための十分なアクセス許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートします。

アクセス監査をファイルとフォルダでのみ行うか、ファイル共有のみ、またはその両方で行うかを設定できます。ログに記録するアクセスの種類 (成功した試行のみ、失敗した試行のみ、またはその両方) を設定することもできます。また、ファイルアクセス監査はいつでも無効にできます。

注記

ファイルアクセスの監査では、有効化される時点からのエンドユーザーアクセスデータのみが記録されます。つまり、ファイルアクセスの監査では、ファイルアクセスの監査が有効化される前に発生したエンドユーザーのファイル、フォルダ、ファイル共有アクセスアクティビティの監査イベントログは生成されません。

サポートされるアクセス監査イベントの最大レートは、1 秒あたり 5,000 イベントです。アクセス監査イベントは、ファイルの読み取りおよび書き込みオペレーションごとに生成されるのではなく、ユーザーがファイルを作成したり、開いたり、削除したときなどの、ファイルメタデータオペレーションごとに 1 回生成されます。

監査イベントログの宛先

ファイルアクセス監査機能を有効にすると、Amazon FSx の監査イベントログの宛先となる、AWS サービスを設定する必要があります。この監査イベントログを、CloudWatch Logs ロググループ内の Amazon CloudWatch Logs ログストリーミングか、Amazon Data Firehose 配信ストリームのいずれかに送信することができます。Amazon FSx for Windows File Server のファイルシステムを作成する際、または既存のファイルシステムを更新する際に、監査イベントログの宛先を選択できます。詳細については、「ファイルアクセス監査の管理」を参照してください。

以下は、選択する監査イベントログの宛先を決定するのに役立つ推奨事項になります。

  • Amazon CloudWatch コンソールで監査イベントログを保存、表示、検索し、CloudWatch Logs インサイトを使用してログに対してクエリを実行し、CloudWatch アラームまたは Lambda 関数をトリガーする場合は、CloudWatch Logs を選択します。

  • Simple Storage Service (Amazon S3) のストレージ、Amazon Redshift のデータベース、Amazon OpenSearch Service、またはさらなる分析のために、Splunk や Datadog などの AWS パートナーソリューションに継続的にイベントをストリーミングしたい場合は、「Amazon Data Firehose」を選択します。

デフォルトでは、Amazon FSx はアカウントにデフォルトの CloudWatch Logs ロググループを作成し、監査イベントログの宛先として使用します。監査イベントログの宛先としてカスタム CloudWatch Logs ロググループ、または Firehose を使用する場合、監査イベントログの宛先の名前と場所の要件は次のとおりです。

  • CloudWatch Logs ロググループの名前は、/aws/fsx/ プレフィックスで始まる必要があります。コンソールでファイルシステムを作成または更新する際に既存の CloudWatch Logs ロググループがない場合、Amazon FSx は CloudWatch Logs /aws/fsx/windows ロググループでデフォルトのログストリーミングを作成して使用します。デフォルトのロググループを使用しない場合は、コンソールでファイルシステムを作成または更新する際に、設定 UI を使用して CloudWatch Logs ロググループを作成できます。

  • Firehose の配信ストリーム名は、aws-fsx- プレフィックスで始まる必要があります。既存の Firehose 配信ストリームがない場合は、コンソールでファイルシステムを作成または更新する際に作成できます。

  • Firehose の配信ストリームは、Direct PUT を出典として使用するように設定する必要があります。既存の Kinesis Data Stream を配信ストリームのデータソースとして使用することはできません。

  • 宛先 (CloudWatch Logs ロググループまたは Firehose 配信ストリームのいずれか) は、Amazon FSx ファイルシステムと同じ AWS パーティション、AWS リージョン、および AWS アカウント に存在する必要があります。

監査イベントログの宛先はいつでも変更できます (例えば CloudWatch Logs から Firehose)。これを実行すると、新しい監査イベントログは新たな宛先にのみ送信されます。

ベストエフォート監査イベントログ配信

通常、監査イベントログレコードは宛先に数分で配信されますが、時間がかかることもあります。ごく稀に、監査イベントログレコードが失われることがあります。ユーザーのユースケースで特定のセマンティクスが必要になる場合 (例えば、監査イベントを必ず見逃さないなど)、ワークフローを設計する際に見逃したイベントを考慮することをお勧めします。ファイルシステム上のファイルおよびフォルダ構造をスキャンして、見逃したイベントを監査できます。

監査コントロールの移行

既存のファイルデータに監査コントロール (SACL) がすでに設定されている場合は、Amazon FSx ファイルシステムを作成し、データを新しいファイルシステムに移行できます。データおよび関連する SACL を Amazon FSx ファイルシステムに転送するには、 AWS DataSync を使用することをお勧めします。別の解決策として、Robocopy (ロバストファイルコピー) を使用できます。詳細については、「既存のファイルストレージを Amazon FSx に移行する」を参照してください。

イベントログの表示

Amazon FSx が監査イベントログの発行を開始した後、それらを表示できます。ログの表示場所と方法は、監査イベントログの宛先によって異なります。

  • CloudWatch Logs を表示するには、CloudWatch コンソールに移動し、監査イベントログの宛先となるロググループとログストリーミングを選択します。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「CloudWatch Logs に送信されたログデータを表示する」を参照してください。

    CloudWatch Logs Insights を使用してログデータをインタラクティブに検索および分析できます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「[Analyzing Log Data with CloudWatch Logs Insights]」(CloudWatch Logs Insights でログデータを分析) を参照してください。

    監査イベントログを Simple Storage Service (Amazon S3) にエクスポートすることもできます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「[Exporting Log Data to Amazon S3]」(Simple Storage Service (Amazon S3) にログデーターをエキスポート) を参照してください。

  • Firehose では、監査イベントログを表示できません。ただし、読み取り可能な宛先にログを転送するように Firehose を設定できます。目的地には Simple Storage Service (Amazon S3)、Amazon Redshift、Amazon OpenSearch Service、および Splunk や Datadog などのパートナーソリューションが含まれます。詳細については、「Amazon Data Firehose デベロッパーガイド」の「[Choose destination]」(宛先を選択) を参照してください。

監査イベントフィールド

このセクションでは、監査イベントログの情報と、監査イベントの例について説明します。

以下は Windows 監査イベントの顕著なフィールドについての説明になります。

  • EventID は、Microsoft 定義の Windows イベントのログイベント ID を指します。ファイルシステムイベント および ファイル共有イベント の情報については、Microsoft のドキュメントを参照してください。

  • [subjectUsername] (サブジェクトユーザー名) は、アクセスを実行しているユーザーを指します。

  • [objectName] (オブジェクト名) は、アクセスされたターゲットファイル、フォルダ、またはファイル共有を指します。

  • [shareName] (共有名) は、ファイル共有アクセス用に生成されたイベントで使用できます。例えば、EventID 5140 はネットワーク共有オブジェクトにアクセスしたときに生成されます。

  • [IpAddress] (IP アドレス) は、ファイル共有イベントのイベントを開始したクライアントを指します。

  • [Keywords] (キーワード) は、使用可能な場合に、ファイルアクセスが成功したか障害だったかを指します。成功したアクセスの場合、値は 0x8020000000000000 です。失敗したアクセスの場合、値は 0x8010000000000000 です。

  • [TimeCreated SystemTime] (作成時刻 システム時間) は、システム内でイベントが生成さた時刻を指し、<YYYY-MM-DDThh:mm:ss.s>Z 形式で表示されます。

  • [Computer] (コンピュータ) は、ファイルシステムの Windows リモート PowerShell エンドポイントの DNS 名を参照し、ファイルシステムを識別するために使用できます。

  • [AccessMask] (アクセスマスク) は、使用可能な場合、実行されたファイルアクセスの種類 (例えば readData、WriteData など) を指します。

  • [AccessList] (アクセスリスト) は、オブジェクトに対してリクエストされた、または許可されたアクセスを指します。詳細については、下記の表および Microsoft のドキュメント (「イベント 4556」など) を参照してください。

アクセスタイプ アクセスマスク

データまたはリストディレクトリの読み取り

0x1

%%4416

データの書き込みまたはファイルの追加

0x2

%%4417

データの付加またはサブディレクトリの追加

0x4

%%4418

拡張属性の読み取り

0x8

%%4419

拡張属性の書き込み

0x10

%%4420

実行 / トラバース

0x20

%%4421

子の削除

0x40

%%4422

属性の読み取り

0x80

%%4423

属性の書き込み

0x100

%%4424

削除

0x10000

%%1537

ACL の読み取り

0x20000

%%1538

ACL の書き込み

0x40000

%%1539

所有者の書き込み

0x80000

%%1540

同期

0x100000

%%1541

セキュリティ ACL にアクセスする

0x1000000

%%1542

以下は、実例を挙げたいくつかのキーイベントです。XML は読みやすさい形式にフォーマットされていることに注意してください。

イベント ID 4660 は、オブジェクトが削除されたときにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

イベント ID 4659 は、ファイルの削除リクエストでログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>

イベント ID 4663 は、オブジェクトに対して特定の操作が実行されたときにログに記録されます。次の例はファイルからのデータの読み取りを示しており、これは AccessList %%4416 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>

次の例はファイルからのデータの書き込み/付加を示しており、これは AccessList %%4417 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

イベント ID 4656 は、オブジェクトに対して特定のアクセスがリクエストされたことを示します。次の例では、0x8010000000000000 の Keywords 値で確認できる通り、ObjectName「permtest」に対して読み取りリクエストが開始され、失敗した試行となっています。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>

イベント ID 4670 は、オブジェクトの許可が変更された際にログに記録されます。次の例は、ユーザー「admin」が ObjectName「permtest」に対する許可を変更して、SID「S-1-5-21-658495921-4185342820-3824891517-1113」にアクセス許可を追加したことを示しています。アクセス許可の解釈方法の詳細については、Microsoft のドキュメントを参照してください。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>

イベント ID 5140 は、ファイル共有にアクセスするたびにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>

イベント ID 5145 は、ファイル共有レベルでアクセスが拒否されたときにログに記録されます。次の例は、ShareName「demosshare01」へのアクセスが拒否されたことを示しています。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

CloudWatch Logs Insights を使用してログデータを検索する場合は、次の例に示すように、イベントフィールドに対してクエリを実行できます。

  • 特定のイベント ID をクエリするには。

    fields @message | filter @message like /4660/
  • 特定のファイル名と一致するすべてのイベントをクエリするには。

    fields @message | filter @message like /event.txt/

CloudWatch Logs Insights の問い合わせ言語の詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「[Analyzing Log Data with CloudWatch Logs Insights]」(CloudWatch Logs Insights によるログデータ分析) を参照してください。