を使用して AWS IoT API 呼び出しをロギングする AWS CloudTrail

AWS IoT 内のユーザ AWS CloudTrail、ロール、 AWS またはサービスが実行したアクションの記録を提供するサービスと統合されている AWS IoT。 CloudTrail AWS IoT コンソールからの呼び出しや API へのコード呼び出しを含め、すべての AWS IoT API AWS IoT 呼び出しをイベントとしてキャプチャします。証跡を作成すると、Amazon S3 CloudTrail バケットへのイベント (のイベントを含む) の継続的な配信を有効にできます AWS IoT。証跡を設定しなくても、 CloudTrail コンソールの [イベント履歴] で最新のイベントを確認できます。によって収集された情報を使用して CloudTrail、要求の宛先 AWS IoT、要求が行われた IP アドレス、要求の実行者、実行日時などの詳細を判断できます。

詳細については CloudTrail、『AWS CloudTrail ユーザーガイド』を参照してください。

AWS IoT の情報 CloudTrail

CloudTrail AWS アカウント アカウントを作成すると、ユーザ側で有効になります。でアクティビティが発生すると AWS IoT、 CloudTrail AWS そのアクティビティはイベント履歴の他のサービスイベントとともにイベントに記録されます。で最近のイベントを表示、検索、ダウンロードすることができます AWS アカウント。詳細については、「 CloudTrail イベント履歴によるイベントの表示」を参照してください。

AWS IoTのイベントなど、 AWS アカウントのイベントの継続的な記録に対して、追跡を作成します。トレイルを使用すると CloudTrail 、Amazon S3 バケットにログファイルを配信できます。デフォルトでは、コンソールで証跡を作成すると、 AWS リージョンその証跡はすべてに適用されます。トレイルは、 AWS リージョン AWS パーティション内のすべてのイベントを記録し、指定した Amazon S3 バケットにログファイルを配信します。 AWS CloudTrail ログに収集されたイベントデータをさらに分析して処理するように他のサービスを設定できます。詳細については、以下をご覧ください。

• 証跡を作成するための概要

• CloudTrail サポート対象のサービスとインテグレーション

• の Amazon SNS 通知の設定 CloudTrail

• CloudTrail 複数のリージョンからのログファイルの受信、 CloudTrail複数のアカウントからのログファイルの受信

注記

AWS IoT データプレーンのアクション (デバイス側) はログに記録されません CloudTrail。 CloudWatch を使用してこれらのアクションを監視します。

一般的に、 AWS IoT 変更を加えるコントロールプレーンのアクションはによって記録されます CloudTrail。CreateThing、CreateKeysAndCertificate、UpdateCertificate CloudTrail などの呼び出しはエントリを残しますが、や、ListThingsListTopicRulesなどの呼び出しはエントリを残しません。

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。同一性情報は次の判断に役立ちます。

• リクエストが、ルートと IAM ユーザー認証情報のどちらを使用して送信されたか。

• リクエストがロールまたはフェデレーションユーザーの一時的なセキュリティ認証情報を使用して行われたかどうか。

• AWS リクエストが別のサービスによって行われたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

AWS IoT アクションは AWS IoT API リファレンスに記載されています。 AWS IoT ワイヤレスアクションはワイヤレス API AWS IoT リファレンスに記載されています。

AWS IoT ログファイルエントリについて

トレイルは、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントはあらゆるソースからの単一のリクエストを表し、リクエストされたアクションに関する情報、アクションの日時、リクエストパラメータなどが含まれます。 CloudTrail ログファイルはパブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序で表示されることはありません。

次の例は、 CloudTrail AttachPolicyアクションを示すログエントリを示しています。

{
    "timestamp":"1460159496",
    "AdditionalEventData":"",
    "Annotation":"",
    "ApiVersion":"",
    "ErrorCode":"",
    "ErrorMessage":"",
    "EventID":"8bff4fed-c229-4d2d-8264-4ab28a487505",
    "EventName":"AttachPolicy",
    "EventTime":"2016-04-08T23:51:36Z",
    "EventType":"AwsApiCall",
    "ReadOnly":"",
    "RecipientAccountList":"",
    "RequestID":"d4875df2-fde4-11e5-b829-23bf9b56cbcd",
    "RequestParamters":{
        "principal":"arn:aws:iot:us-east-1:123456789012:cert/528ce36e8047f6a75ee51ab7beddb4eb268ad41d2ea881a10b67e8e76924d894",
        "policyName":"ExamplePolicyForIoT"
    },
    "Resources":"",
    "ResponseElements":"",
    "SourceIpAddress":"52.90.213.26",
    "UserAgent":"aws-internal/3",
    "UserIdentity":{
        "type":"AssumedRole",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:sts::12345678912:assumed-role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT/i-35d0a4b6",
        "accountId":"222222222222",
        "accessKeyId":"access-key-id",
        "sessionContext":{
            "attributes":{
                "mfaAuthenticated":"false",
                "creationDate":"Fri Apr 08 23:51:10 UTC 2016"
            },
            "sessionIssuer":{
                "type":"Role",
                "principalId":"AKIAI44QH8DHBEXAMPLE",
                "arn":"arn:aws:iam::123456789012:role/executionServiceEC2Role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT",
                "accountId":"222222222222",
                "userName":"iotmonitor-us-east-1-InstanceRole-1C5T1YCYMHPYT"
            }
        },
        "invokedBy":{
            "serviceAccountId":"111111111111"
        }
    },
    "VpcEndpointId":""
}