管理イベントデータイベントネットワークアクティビティイベント Insights イベント

CloudTrail イベントについて

のイベント CloudTrail は、 AWS アカウントのアクティビティの記録です。このアクティビティは、IAMアイデンティティによって実行されるアクション、またはによってモニタリング可能なサービスにすることができます CloudTrail。 CloudTrail イベントは AWS Management Console、、、 AWS SDKsコマンドラインツールなどを通じて行われたアカウントアクティビティAPIと非APIアカウントアクティビティの両方の履歴を提供します AWS のサービス。

CloudTrail ログファイルはパブリックAPI呼び出しの順序付けられたスタックトレースではないため、イベントは特定の順序では表示されません。

CloudTrail イベントには 4 つのタイプがあります。

管理イベント
データイベント
ネットワークアクティビティイベント

注記
ネットワークアクティビティイベントはのプレビューリリースであり CloudTrail 、変更される可能性があります。
Insights イベント

デフォルトでは、証跡とイベントデータストアによって管理イベントがログに記録されますが、データイベント、ネットワークアクティビティイベント、Insights イベントは記録されません。

すべてのイベントタイプは CloudTrail JSONログ形式を使用します。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records の配列で囲まれています。

CloudTrail イベントレコードフィールドの詳細については、「」を参照してくださいCloudTrail レコードの内容。

管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。

管理イベントには、次のようなものがあります。

セキュリティの設定 (オペレーションなど AWS Identity and Access Management AttachRolePolicyAPI）。
デバイスの登録 (Amazon EC2CreateDefaultVpcAPIオペレーションなど）。
データをルーティングするためのルールの設定 (Amazon EC2CreateSubnetAPIオペレーションなど）。
ログ記録の設定 ( APIオペレーションなど AWS CloudTrail CreateTrail）。

管理イベントには、アカウントで発生する API以外のイベントを含めることもできます。たとえば、ユーザーがアカウントにサインインすると、はConsoleLoginイベントを CloudTrail ログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

デフォルトでは、 CloudTrail 証跡と CloudTrail Lake イベントデータストアは管理イベントをログに記録します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。

次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、という名前Mary_Majorの IAMユーザーが aws cloudtrail start-logging コマンドを実行してアクションを CloudTrail StartLogging呼び出し、という名前の証跡でログ記録プロセスを開始しますmyTrail。


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

次の例では、という名前Paulo_Santosの IAM ユーザーユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行して StartEventDataStoreIngestionアクションを呼び出し、イベントデータストアでの取り込みを開始します。


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

データイベント

データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。

データイベントには、次のようなものがあります。

S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、DeleteObject、 GetObjectPutObjectAPIオペレーションなど）。 S3
AWS Lambda 関数実行アクティビティ (InvokeAPI）。
CloudTrail PutAuditEvents 外部からイベントをログに記録するために使用される CloudTrail Lake チャネルでのアクティビティ AWS。
トピックに対する Amazon SNSPublishおよび PublishBatchAPIオペレーション。

次の表は、証跡とイベントデータストアで使用できるリソースタイプを示しています。リソースタイプ (コンソール） 列には、コンソールで適切な選択が表示されます。resources.type 値の列には、 AWS CLI またはを使用して、証跡またはイベントデータストアにそのタイプのデータイベントを含めるように指定するresources.type値が表示されます CloudTrail APIs。

証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。

イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。

AWS のサービス	説明	リソースタイプ (コンソール）	resources.type 値
Amazon DynamoDB	テーブルに対する Amazon DynamoDB 項目レベルのAPIアクティビティ (、`DeleteItem`、 `UpdateItem`APIオペレーションなど）。 `PutItem` 注記ストリームが有効になっているテーブルの場合、データイベントの `resources` フィールドには `AWS::DynamoDB::Stream` と `AWS::DynamoDB::Table` の両方が含まれます。`resources.type` に `AWS::DynamoDB::Table` を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベントを除外するには、`eventName` フィールドにフィルタを追加します。	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda 関数実行アクティビティ (`Invoke`API）。	Lambda	`AWS::Lambda::Function`
Amazon S3	汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、`GetObjectDeleteObject`、 `PutObject`APIオペレーションなど）。	S3	`AWS::S3::Object`
AWS AppConfig	`StartConfigurationSession` およびの呼び出しなどの設定オペレーションの AWS AppConfig APIアクティビティ`GetLatestConfiguration`。	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS AppSync	AWS AppSync API アクティビティ on AppSync GraphQL APIs。	AppSync GraphQL	`AWS::AppSync::GraphQL`
AWS B2B データ交換	`GetTransformerJob` やへの呼び出しなどの Transformer オペレーションの B2B データ交換APIアクティビティ`StartTransformerJob`。	B2B データ交換	`AWS::B2BI::Transformer`
Amazon Bedrock	エージェントエイリアスの Amazon Bedrock APIアクティビティ。	Bedrock エージェントエイリアス	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	非同期呼び出しに対する Amazon Bedrock APIアクティビティ。	Bedrock 非同期呼び出し	`AWS::Bedrock::AsyncInvoke`
Amazon Bedrock	フローエイリアスの Amazon Bedrock APIアクティビティ。	[Bedrock フローエイリアス]	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	ガードレールでの Amazon Bedrock APIアクティビティ。	[Bedrock ガードレール]	`AWS::Bedrock::Guardrail`
Amazon Bedrock	インラインエージェントの Amazon Bedrock APIアクティビティ。	Bedrock Invoke Inline-Agent	`AWS::Bedrock::InlineAgent`
Amazon Bedrock	ナレッジベースの Amazon Bedrock APIアクティビティ。	Bedrock ナレッジベース	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	モデルの Amazon Bedrock APIアクティビティ。	[Bedrock モデル]	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront API でのアクティビティ KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	名前空間での AWS Cloud Map APIアクティビティ。	AWS Cloud Map 名前空間	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	サービスでの AWS Cloud Map APIアクティビティ。	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents` 外部からのイベントをログに記録するために使用される CloudTrail Lake チャネルでのアクティビティ AWS。	CloudTrail チャネル	`AWS::CloudTrail::Channel`
Amazon CloudWatch	メトリクスに対する Amazon CloudWatch API アクティビティ。	CloudWatch メトリクス	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	アプリモニターでの Amazon CloudWatch RUM APIアクティビティ。	RUM アプリモニター	`AWS::RUM::AppMonitor`
Amazon CodeGuru Profiler	CodeGuru プロファイリンググループのプロファイラーAPIアクティビティ。	CodeGuru プロファイラープロファイリンググループ	`AWS::CodeGuruProfiler::ProfilingGroup`
Amazon CodeWhisperer	カスタマイズに対する Amazon CodeWhisperer API アクティビティ。	CodeWhisperer カスタマイズ	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	プロファイルでの Amazon CodeWhisperer API アクティビティ。	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Amazon Cognito ID プールでの Amazon Cognito APIアクティビティ。	Cognito アイデンティティプール	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange API アセットに対するアクティビティ。	[Data Exchange アセット]	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud API フリートでのアクティビティ。	Deadline Cloud フリート	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud API ジョブのアクティビティ。	Deadline Cloud ジョブ	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud API キューでのアクティビティ。	Deadline Cloud キュー	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud API ワーカーに対するアクティビティ。	Deadline Cloud ワーカー	`AWS::Deadline::Worker`
Amazon DynamoDB	ストリームでの Amazon DynamoDB APIアクティビティ。	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS エンドユーザーメッセージング SMS	発信元 ID に対するAWS エンドユーザーメッセージングSMSAPIアクティビティ。	SMS 音声発信 ID	`AWS::SMSVoice::OriginationIdentity`
AWS エンドユーザーメッセージング SMS	メッセージに対するAWS エンドユーザーメッセージングSMSAPIアクティビティ。	SMS 音声メッセージ	`AWS::SMSVoice::Message`
AWS エンドユーザーメッセージングソーシャル	電話番号でのAWS エンドユーザーメッセージングソーシャルAPIアクティビティIDs。	[ソーシャルメッセージ電話番号 ID]	`AWS::SocialMessaging::PhoneNumberId`
AWS エンドユーザーメッセージングソーシャル	AWS Waba でのエンドユーザーメッセージングソーシャルAPIアクティビティIDs。	ソーシャルメッセージング Waba ID	`AWS::SocialMessaging::WabaId`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS）はAPIs、、`PutSnapshotBlock`、`GetSnapshotBlock`およびなどのを Amazon EBSスナップショット`ListChangedBlocks`に直接配置します。	Amazon EBS direct APIs	`AWS::EC2::Snapshot`
Amazon EMR	ログ先行書き込みワークスペースでの Amazon EMRAPIアクティビティ。	EMR ログ先行書き込みワークスペース	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpace API 環境でのアクティビティ。	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue API Lake Formation によって作成されたテーブルに対するアクティビティ。	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	ディテクターの Amazon GuardDuty API アクティビティ。	GuardDuty ディテクター	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging API データストアでのアクティビティ。	MedicalImaging データストア	`AWS::MedicalImaging::Datastore`
AWS IoT	証明書の AWS IoT APIアクティビティ。	IoT 証明書	`AWS::IoT::Certificate`
AWS IoT	モノに対する AWS IoT APIアクティビティ。	[IoT モノ]	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	コンポーネントバージョンの Greengrass コアデバイスからの Greengrass APIアクティビティ。注記 Greengrass はアクセス拒否イベントのログを記録しません。	[IoT Greengrass コンポーネントバージョン]	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	デプロイ上の Greengrass コアデバイスからの Greengrass APIアクティビティ。注記 Greengrass はアクセス拒否イベントのログを記録しません。	[IoT Greengrass デプロイ]	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	アセットに対する IoT SiteWise API アクティビティ。	IoT SiteWise アセット	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	時系列での IoT SiteWise API アクティビティ。	IoT SiteWise 時系列	`AWS::IoTSiteWise::TimeSeries`
AWS IoT SiteWise アシスタント	会話に関する Sitewise Assistant のAPIアクティビティ。	Sitewise Assistant の会話	`AWS::SitewiseAssistant::Conversation`
AWS IoT TwinMaker	エンティティでの IoT TwinMaker API アクティビティ。	IoT TwinMaker エンティティ	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	ワークスペースでの IoT TwinMaker API アクティビティ。	IoT TwinMaker ワークスペース	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra インテリジェントランキング	再スコア実行プランに対する Amazon Kendra Intelligent Ranking APIアクティビティ。	Kendra ランキング	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (Apache Cassandra 向け)	テーブルに対する Amazon Keyspaces APIアクティビティ。	[Cassandra テーブル]	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	ストリームでの Kinesis Data Streams APIアクティビティ。	[Kinesis ストリーム]	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	ストリームコンシューマーでの Kinesis Data Streams APIアクティビティ。	[Kinesis ストリームコンシューマー]	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Kinesis Video Streams は、 `GetMedia`やへの呼び出しなど、ビデオストリームでのAPIアクティビティをストリーミングします`PutMedia`。	Kinesis ビデオストリーム	`AWS::KinesisVideo::Stream`
Amazon Location Maps	Amazon Location Maps APIアクティビティ。	地理マップ	`AWS::GeoMaps::Provider`
Amazon Location の場所	Amazon Location Places APIアクティビティ。	地理的場所	`AWS::GeoPlaces::Provider`
Amazon Location Routes	Amazon Location Routes APIアクティビティ。	地域ルート	`AWS::GeoRoutes::Provider`
Amazon Machine Learning	ML モデルでのMachine LearningAPIアクティビティ。	Maching Learning MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	ネットワーク上の Amazon Managed Blockchain APIアクティビティ。	Managed Blockchain ネットワーク	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON-RPC `eth_getBalance`やなどの Ethereum ノードでの呼び出し`eth_getBlockByNumber`。	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Managed Workflows for Apache Airflow	環境での Amazon MWAAAPIアクティビティ。	マネージド Apache Airflow	`AWS::MWAA::Environment`
Amazon Neptune Graph	Neptune グラフでのクエリ、アルゴリズム、ベクトル検索などのデータAPIアクティビティ。	Neptune Graph	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	での Amazon One Enterprise APIアクティビティUKey。	Amazon One UKey	`AWS::One::UKey`
Amazon One Enterprise	ユーザーに対する Amazon One Enterprise APIアクティビティ。	[Amazon One User]	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography API エイリアスのアクティビティ。	[Payment Cryptography Alias]	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography API キーに対するアクティビティ。	[Payment Cryptography Key]	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Connector for Active Directory APIアクティビティ。	AWS Private CA Connector for Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA SCEPAPIアクティビティ用のコネクタ。	AWS Private CA 用のコネクタ SCEP	`AWS::PCAConnectorSCEP::Connector`
[Amazon Q Apps]	Amazon Q Apps のデータAPIアクティビティ。	[Amazon Q Apps]	`AWS::QApps::QApp`
[Amazon Q Apps]	Amazon Q App セッションのデータAPIアクティビティ。	Amazon Q アプリセッション	`AWS::QApps::QAppSession`
Amazon Q Business	アプリケーションの Amazon Q Business APIアクティビティ。	Amazon Q Business アプリケーション	`AWS::QBusiness::Application`
Amazon Q Business	データソースでの Amazon Q Business APIアクティビティ。	Amazon Q Business データソース	`AWS::QBusiness::DataSource`
Amazon Q Business	インデックスに対する Amazon Q Business APIアクティビティ。	Amazon Q Business インデックス	`AWS::QBusiness::Index`
Amazon Q Business	ウェブエクスペリエンスでの Amazon Q Business APIアクティビティ。	Amazon Q Business ウェブエクスペリエンス	`AWS::QBusiness::WebExperience`
Amazon Q Developer	統合での Amazon Q Developer APIアクティビティ。	Q 開発者統合	`AWS::QDeveloper::Integration`
Amazon Q Developer	運用調査に関する Amazon Q Developer のAPIアクティビティ。	AIOps 調査グループ	`AWS::AIOps::InvestigationGroup`
Amazon RDS	DB クラスターでの Amazon RDSAPIアクティビティ。	RDS データ API - DB クラスター	`AWS::RDS::DBCluster`
AWS Resource Explorer	マネージドビューでの Resource Explorer APIアクティビティ。	AWS Resource Explorer マネージドビュー	`AWS::ResourceExplorer2::ManagedView`
AWS Resource Explorer	ビューでの Resource Explorer APIアクティビティ。	AWS Resource Explorer view (表示)	`AWS::ResourceExplorer2::View`
Amazon S3	アクセスポイントでの Amazon S3 APIアクティビティ。	S3 アクセスポイント	`AWS::S3::AccessPoint`
Amazon S3	ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルのAPIアクティビティ (、`DeleteObject`、 `GetObjectPutObject`APIオペレーションなど）。	[S3 Express]	`AWS::S3Express::Object`
Amazon S3	Amazon S3 Object Lambda アクセスポイントのAPIアクティビティ。 `CompleteMultipartUpload`やへの呼び出しなど`GetObject`。	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 テーブル	テーブルに対する Amazon S3 APIアクティビティ。	S3 テーブル	`AWS::S3Tables::Table`
Amazon S3 テーブル	テーブルバケットでの Amazon S3 APIアクティビティ。	S3 テーブルバケット	`AWS::S3Tables::TableBucket`
Amazon S3 on Outposts	Amazon S3 on Outposts のオブジェクトレベルのAPIアクティビティ。	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker AI	エンドポイントでの Amazon SageMaker AI `InvokeEndpointWithResponseStream`アクティビティ。	SageMaker AI エンドポイント	`AWS::SageMaker::Endpoint`
Amazon SageMaker AI	特徴量ストアでの Amazon SageMaker AI APIアクティビティ。	SageMaker AI 特徴量ストア	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker AI	実験トライアルコンポーネントに対する Amazon SageMaker AI APIアクティビティ。	SageMaker AI メトリクス実験トライアルコンポーネント	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SimpleDB	ドメインでの Amazon SimpleDB APIアクティビティ。	SimpleDB ドメイン	`AWS::SDB::Domain`
Amazon SNS	プラットフォームエンドポイントでの Amazon SNS`Publish`APIオペレーション。	SNS プラットフォームエンドポイント	`AWS::SNS::PlatformEndpoint`
Amazon SNS	トピックに対する Amazon SNS`Publish`および `PublishBatch`APIオペレーション。	SNS トピック	`AWS::SNS::Topic`
Amazon SQS	メッセージに対する Amazon SQSAPIアクティビティ。	SQS	`AWS::SQS::Queue`
AWS Step Functions	ステートマシンでの Step Functions APIアクティビティ。	Step Functions ステートマシン	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain API インスタンスでのアクティビティ。	[Supply Chain]	`AWS::SCN::Instance`
Amazon SWF	ドメインでの Amazon SWFAPIアクティビティ。	SWF ドメイン	`AWS::SWF::Domain`
AWS Systems Manager	コントロールチャネルでの Systems Manager APIアクティビティ。	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	マネージドノードでの Systems Manager APIアクティビティ。	Systems Manager マネージドノード	`AWS::SSM::ManagedNode`
Amazon Timestream	データベースに対する Amazon Timestream `Query`APIアクティビティ。	Timestream データベース	`AWS::Timestream::Database`
Amazon Timestream	テーブルに対する Amazon Timestream `Query`APIアクティビティ。	Timestream テーブル	`AWS::Timestream::Table`
Amazon Verified Permissions	ポリシーストアでの Amazon Verified Permissions APIアクティビティ。	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces シンクライアント	WorkSpaces デバイス上のシンクライアントAPIアクティビティ。	シンクライアントデバイス	`AWS::ThinClient::Device`
Amazon WorkSpaces シンクライアント	WorkSpaces 環境でのシンクライアントAPIアクティビティ。	シンクライアント環境	`AWS::ThinClient::Environment`
AWS X-Ray	トレースでの X-Ray APIアクティビティ。	[X-Ray トレース]	`AWS::XRay::Trace`

証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。 CloudTrail データイベントを記録するには、アクティビティを収集するサポートされているリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、 CloudTrail コンソールを使用した証跡の作成およびコンソールを使用してイベントのイベントデータストア CloudTrailを作成するを参照してください。

データイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「の料金」を参照してください。

次の例は、Amazon SNSPublishアクションのデータイベントの単一のログレコードを示しています。


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

次の例は、Amazon Cognito GetCredentialsForIdentity アクションのデータイベントの単一のログレコードを示しています。


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

ネットワークアクティビティイベント

注記

ネットワークアクティビティイベントはのプレビューリリースであり CloudTrail 、変更される可能性があります。

CloudTrail ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者はVPC、エンドポイントを使用して行われた呼び出しをプライベートから VPCに記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントは、内で実行されるリソースオペレーションを可視化しますVPC。

次のサービスのネットワークアクティビティイベントを記録できます。

AWS CloudTrail
Amazon EC2
AWS KMS
AWS Secrets Manager

証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。ネットワークアクティビティイベントを記録する CloudTrail には、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金」を参照してください。

次の例は、VPCエンドポイントを経由した成功 AWS KMS ListKeysしたイベントを示しています。vpcEndpointId フィールドには、VPCエンドポイントの ID が表示されます。vpcEndpointAccountId フィールドには、VPCエンドポイント所有者のアカウント ID が表示されます。この例では、リクエストはVPCエンドポイント所有者によって行われました。


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

次の例は、VPCエンドポイントポリシー違反で失敗した AWS KMS ListKeysイベントを示しています。VPC ポリシー違反が発生したため、フィールドerrorCodeと errorMessageフィールドの両方があります。フィールドrecipientAccountIdと vpcEndpointAccountIdフィールドのアカウント ID は同じで、イベントがVPCエンドポイント所有者に送信されたことを示します。userIdentity 要素accountIdのはではありません。これはvpcEndpointAccountId、リクエストを行うユーザーがVPCエンドポイント所有者ではないことを示します。


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Insights イベント

CloudTrail Insights イベントは、 CloudTrail 管理アクティビティを分析することで、アカウント内の異常なAPI通話率またはエラー率のアクティビティをキャプチャします AWS 。Insights イベントは、関連する、エラーコードAPI、インシデント時間、統計などの関連情報を提供し、異常なアクティビティの理解と対処に役立ちます。 CloudTrail 証跡またはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、がアカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用またはエラー率ログ記録の変更 CloudTrail を検出した場合にのみログに記録されます。

Insights イベントを生成する可能性のあるアクティビティの例を次に示します。

通常、アカウントは 1 分あたり 20 件以下の Amazon S3 deleteBucketAPI呼び出しを記録しますが、アカウントは 1 分あたり平均 100 件のdeleteBucketAPI呼び出しを記録し始めます。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常、アカウントは Amazon への 1 分あたり 20 EC2 AuthorizeSecurityGroupIngress 回の呼び出しをログに記録しますがAPI、アカウントはへの呼び出しをログに記録し始めますAuthorizeSecurityGroupIngress。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。
通常、アカウントは AWS Identity and Access Management API、で 7 日間に 1 つ未満のAccessDeniedExceptionエラーを記録しますDeleteInstanceProfile。アカウントは、DeleteInstanceProfileAPI通話に対して 1 分あたり平均 12 AccessDeniedException エラーのログ記録を開始します。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。

これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。

CloudTrail Insights イベントをログに記録するには、新規または既存の証跡またはイベントデータストアで Insights イベントを明示的に有効にする必要があります。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。

Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金」を参照してください。

CloudTrail Insights で異常なアクティビティを表示するためにログに記録されるイベントは、開始イベントと終了イベントの 2 つです。次の例は、Application Auto Scaling が異常な回数呼び出APICompleteLifecycleActionされたときに発生した開始 Insights イベントの 1 つのログレコードを示しています。インサイトイベントの場合、eventCategory の値は Insight です。insightDetails ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails ブロックの詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスにリンクされたチャネル

管理イベント