コンソールで組織の証跡を作成する

を使用して組織の証跡を作成するには AWS Management Console

1. にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/。

   組織の証跡を作成するのに十分なアクセス許可を持つ管理アカウントまたは委任された管理者アカウントの IAM ID を使用してサインインする必要があります。

2. [Trails] (証跡) を選択し、[Create trail] (証跡の作成) を選択します。

3. [Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「 CloudTrail リソース、S3 バケット、およびKMSキーの命名要件」を参照してください。

4. [組織内のすべてのアカウントに対して有効にする] を選択します。管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインした場合にのみ、このオプションが表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。

5. [ストレージの場所] の [S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 は必要なバケットポリシー CloudTrail を作成して適用します。

   注記

   [Use existing S3 bucket] を選択した場合、[Trail log bucket name] のバケットを指定するか、[Browse] を選択してバケットを選択します。任意のアカウントに属するバケットを選択できますが、バケットポリシーは、そのアカウントに書き込むアクセス許可を付与 CloudTrailする必要があります。バケットポリシーを手動で編集する方法については、の Amazon S3 バケットポリシー CloudTrail を参照してください。

   ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックス とも呼ばれます) を作成して CloudTrail ログを保存します。プレフィックスを [プレフィックス] に入力します。

6. ログファイル SSE-KMS 暗号化 では、-SSE-S3 暗号化の代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、有効 を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE暗号化KMSの詳細については、「 でのサーバー側の暗号化の使用」を参照してください。 AWS Key Management Service （SSE-KMS）。SSE-S3 暗号化の詳細については、S3-Managed暗号化キーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。

   SSE-KMS 暗号化を有効にする場合は、新規または既存の を選択します。 AWS KMS key。 で AWS KMS エイリアス 、エイリアスを 形式で指定します。 alias/MyAliasName。 詳細については、「」を参照してくださいコンソールでKMSキーを使用するようにリソースを更新する。

   注記

   別のアカウントからキーARNの を入力することもできます。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。キーポリシーでは CloudTrail 、 が キーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、の AWS KMS キーポリシーを設定する CloudTrail を参照してください。

7. [Additional settings] で、次の操作を行います。

   1. [ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、 CloudTrail 配信後にログファイルが変更されていないことを確認できます。詳細については、「 CloudTrail ログファイルの整合性の検証」を参照してください。

   2. SNS 通知配信 では、ログがバケットに配信されるたびに通知されるように有効化 を選択します。 は複数のイベントをログファイルに CloudTrail 保存します。SNS 通知は、すべてのイベントではなく、すべてのログファイルに対して送信されます。詳細については、「の Amazon SNS通知の設定 CloudTrail」を参照してください。

      SNS 通知を有効にする場合は、「新しいSNSトピックを作成する」で「新規」を選択してトピックを作成するか、「既存」を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成する場合、すべてのリージョンからのログファイル配信SNSの通知は、作成する 1 つのSNSトピックに送信されます。

      新しい を選択した場合、 は新しいトピックの名前 CloudTrail を指定するか、名前を入力できます。既存の を選択した場合は、ドロップダウンリストからSNSトピックを選択します。別のリージョンまたは適切なアクセス許可を持つアカウントからトピックARNの を入力することもできます。詳細については、「の Amazon SNSトピックポリシー CloudTrail」を参照してください。

      トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。Amazon SNSコンソールからサブスクライブできます。通知の頻度が高いため、Amazon SQSキューを使用して通知をプログラムで処理するようにサブスクリプションを設定することをお勧めします。詳細については、「Amazon Simple Notification Service デベロッパーガイド」のSNS「Amazon の開始方法」を参照してください。

8. オプションで、 CloudWatch ログ で有効 を選択してログファイルをCloudWatch ログに送信する CloudTrail ように を設定します。詳細については、「 CloudWatch ログへのイベントの送信」を参照してください。

   注記

   管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 を使用して CloudWatch Logs ロググループを設定できます。 AWS CLI または CloudTrail CreateTrail または UpdateTrailAPIオペレーション。

   1. CloudWatch ログとの統合を有効にする場合は、新規 を選択して新しいロググループを作成するか、既存 を選択して既存のロググループを使用します。新しい を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。

   2. [Existing] を選択した場合、ドロップダウンリストからロググループを選択します。

   3. 新規 を選択して、ログを CloudWatch ログに送信するアクセス許可の新しいIAMロールを作成します。既存の を選択して、ドロップダウンリストから既存のIAMロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント」を参照してください。

      注記

      証跡を設定するときは、別のアカウントに属する S3 バケットと Amazon SNSトピックを選択できます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。

9. タグ では、最大 50 個のタグキーペアを追加して、証跡へのアクセスを識別、ソート、制御できます。タグは、証 CloudTrail 跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、リソースに CloudTrail リソースグループを使用できます。詳細については、「」を参照してくださいAWS Resource Groups および タグ。

10. [Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。

    1. API アクティビティ では、証跡に読み取りイベント、書き込みイベント、またはその両方を記録するかどうかを選択します。詳細については、「管理イベント」を参照してください。

    2. 除外を選択する AWS KMS フィルタリングするイベント AWS Key Management Service (AWS KMS) 証跡外のイベント。デフォルト設定では、すべての AWS KMS イベント。

       ログ記録または除外するオプション AWS KMS イベントは、証跡に管理イベントをログに記録する場合にのみ使用できます。管理イベントを記録しない場合は、 AWS KMS イベントはログに記録されず、変更できません AWS KMS イベントログ記録設定。

       AWS KMS Encrypt、、 などの アクションはDecrypt、GenerateDataKey通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。少量、関連あり AWS KMS Disable、、DeleteScheduleKeyおよび (通常は の 0.5% 未満を占める AWS KMS イベントボリューム) は書き込みイベントとして記録されます。

       Encrypt、Decrypt、 などの大量のイベントを除外してもGenerateDataKey、、Disable、 などの関連イベントをログに記録するにはScheduleKey、書き込み管理イベントをログに記録し、Exclude Delete のチェックボックスをオフにします。 AWS KMS イベント。

    3. Amazon RDS データAPIイベントを除外 を選択して、証跡から Amazon Relational Database Service データAPIイベントをフィルタリングします。デフォルト設定では、すべての Amazon RDS Data APIイベントが含まれます。Amazon RDS Data APIイベントの詳細については、「 を使用したデータAPI呼び出しのログ記録」を参照してください。 AWS CloudTrail 「Aurora 用 Amazon RDSユーザーガイド」の「」。

11. データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「」を参照してくださいAWS CloudTrail 料金

12. 重要

    ステップ 12 ～ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くのデータイベントタイプを設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。

    [データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。使用可能なデータイベントタイプの詳細については、「データイベント」を参照してください。

    注記

    のデータイベントをログに記録するには AWS Glue Lake Formation によって作成されたテーブルで、Lake Formation を選択します。

13. ログセレクタテンプレートを選択します。 には、リソースタイプのすべてのデータイベントをログに記録する事前定義されたテンプレート CloudTrail が含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。

    注記

    S3 バケット用に事前定義されたテンプレートを選択すると、 で現在使用しているすべてのバケットのデータイベントログ記録が有効になります。 AWS アカウントと、証跡の作成が完了した後に作成するバケット。また、 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします。 AWS 別の に属するバケットでそのアクティビティが実行された場合でも、 アカウント AWS アカウント。

    証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。の他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。 AWS アカウント。

    すべてのリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 で現在使用されているすべての関数のデータイベントログ記録が有効になります。 AWS アカウント、および証跡の作成が完了した後に任意のリージョンで作成できる Lambda 関数。1 つのリージョンの証跡を作成する場合 ( AWS CLI) この選択により、 のそのリージョンで現在実行されているすべての関数のデータイベントログ記録が有効になります。 AWS アカウント、および証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。

    すべての関数のデータイベントをログに記録すると、 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能になります。 AWS 別の に属する関数でそのアクティビティが実行された場合でも、 アカウント AWS アカウント。

14. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタNameに としてリストされ、JSONビュー を展開すると表示できます。

15. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

    1. 次のフィールドから選択します。

       • readOnly - readOnly は、 または の値と等しくなるように設定できますfalse。 true読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

       • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 にログ記録されたデータイベントを含めたり除外PutBucketGetItemしたりできますGetSnapshotBlock。

       • resources.ARN - 任意の演算子を で使用できますがresources.ARN、等号または不等号を使用する場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type。

         次の表は、各 の有効なARN形式を示していますresources.type。

         注記

         resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

         resources.type	リソース。ARN
         AWS::DynamoDB::Table1	arn:partition:dynamodb:region:account_ID:table/table_name
         AWS::Lambda::Function	arn:partition:lambda:region:account_ID:function:function_name
         AWS::S3::Object2	arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
         AWS::AppConfig::Configuration	arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
         AWS::B2BI::Transformer	arn:partition:b2bi:region:account_ID:transformer/transformer_ID
         AWS::Bedrock::AgentAlias	arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
         AWS::Bedrock::FlowAlias	arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
         AWS::Bedrock::Guardrail	arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
         AWS::Bedrock::KnowledgeBase	arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
         AWS::Cassandra::Table	arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
         AWS::CloudFront::KeyValueStore	arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
         AWS::CloudTrail::Channel	arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
         AWS::CodeWhisperer::Customization	arn:partition:codewhisperer:region:account_ID:customization/customization_ID
         AWS::CodeWhisperer::Profile	arn:partition:codewhisperer:region:account_ID:profile/profile_ID
         AWS::Cognito::IdentityPool	arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
         AWS::DynamoDB::Stream	arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
         AWS::EC2::Snapshot	arn:partition:ec2:region::snapshot/snapshot_ID
         AWS::EMRWAL::Workspace	arn:partition:emrwal:region:account_ID:workspace/workspace_name
         AWS::FinSpace::Environment	arn:partition:finspace:region:account_ID:environment/environment_ID
         AWS::Glue::Table	arn:partition:glue:region:account_ID:table/database_name/table_name
         AWS::GreengrassV2::ComponentVersion	arn:partition:greengrass:region:account_ID:components/component_name
         AWS::GreengrassV2::Deployment	arn:partition:greengrass:region:account_ID:deployments/deployment_ID
         AWS::GuardDuty::Detector	arn:partition:guardduty:region:account_ID:detector/detector_ID
         AWS::IoT::Certificate	arn:partition:iot:region:account_ID:cert/certificate_ID
         AWS::IoT::Thing	arn:partition:iot:region:account_ID:thing/thing_ID
         AWS::IoTSiteWise::Asset	arn:partition:iotsitewise:region:account_ID:asset/asset_ID
         AWS::IoTSiteWise::TimeSeries	arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
         AWS::IoTTwinMaker::Entity	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
         AWS::IoTTwinMaker::Workspace	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
         AWS::KendraRanking::ExecutionPlan	arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
         AWS::Kinesis::Stream	arn:partition:kinesis:region:account_ID:stream/stream_name
         AWS::Kinesis::StreamConsumer	arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
         AWS::KinesisVideo::Stream	arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
         AWS::MachineLearning::MlModel	arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
         AWS::ManagedBlockchain::Network	arn:partition:managedblockchain:::networks/network_name
         AWS::ManagedBlockchain::Node	arn:partition:managedblockchain:region:account_ID:nodes/node_ID
         AWS::MedicalImaging::Datastore	arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
         AWS::NeptuneGraph::Graph	arn:partition:neptune-graph:region:account_ID:graph/graph_ID
         AWS::One::UKey	arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
         AWS::One::User	arn:partition:one:region:account_ID:user/user_ID
         AWS::PaymentCryptography::Alias	arn:partition:payment-cryptography:region:account_ID:alias/alias
         AWS::PaymentCryptography::Key	arn:partition:payment-cryptography:region:account_ID:key/key_ID
         AWS::PCAConnectorAD::Connector	arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
         AWS::PCAConnectorSCEP::Connector	arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
         AWS::QApps:QApp	arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
         AWS::QBusiness::Application	arn:partition:qbusiness:region:account_ID:application/application_ID
         AWS::QBusiness::DataSource	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
         AWS::QBusiness::Index	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
         AWS::QBusiness::WebExperience	arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
         AWS::RDS::DBCluster	arn:partition:rds:region:account_ID:cluster/cluster_name
         AWS::RUM::AppMonitor	arn:partition:rum:region:account_ID:appmonitor/app_monitor_name
         AWS::S3::AccessPoint3	arn:partition:s3:region:account_ID:accesspoint/access_point_name
         AWS::S3Express::Object	arn:partition:s3express:region:account_ID:bucket/bucket_name
         AWS::S3ObjectLambda::AccessPoint	arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
         AWS::S3Outposts::Object	arn:partition:s3-outposts:region:account_ID:object_path
         AWS::SageMaker::Endpoint	arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
         AWS::SageMaker::ExperimentTrialComponent	arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
         AWS::SageMaker::FeatureGroup	arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
         AWS::SCN::Instance	arn:partition:scn:region:account_ID:instance/instance_ID
         AWS::ServiceDiscovery::Namespace	arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
         AWS::ServiceDiscovery::Service	arn:partition:servicediscovery:region:account_ID:service/service_ID
         AWS::SNS::PlatformEndpoint	arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
         AWS::SNS::Topic	arn:partition:sns:region:account_ID:topic_name
         AWS::SQS::Queue	arn:partition:sqs:region:account_ID:queue_name
         AWS::SSM::ManagedNode	は、次のいずれかの形式ARNである必要があります。 arn:partition:ssm:region:account_ID:managed-instance/instance_ID arn:partition:ec2:region:account_ID:instance/instance_ID
         AWS::SSMMessages::ControlChannel	arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
         AWS::StepFunctions::StateMachine	は、次のいずれかの形式ARNである必要があります。 arn:partition:states:region:account_ID:stateMachine:stateMachine_name arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
         AWS::SWF::Domain	arn:partition:swf:region:account_ID:/domain/domain_name
         AWS::ThinClient::Device	arn:partition:thinclient:region:account_ID:device/device_ID
         AWS::ThinClient::Environment	arn:partition:thinclient:region:account_ID:environment/environment_ID
         AWS::Timestream::Database	arn:partition:timestream:region:account_ID:database/database_name
         AWS::Timestream::Table	arn:partition:timestream:region:account_ID:database/database_name/table/table_name
         AWS::VerifiedPermissions::PolicyStore	arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

         ¹ ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::Stream と AWS::DynamoDB::Table の両方が含まれます。resources.type に AWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、 eventNameフィールドにフィルターを追加します。

         ² 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、 StartsWith演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。

         ³ S3 アクセスポイント内のすべてのオブジェクトのイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、 StartsWithまたは NotStartsWith演算子を使用することをお勧めします。

       データイベントリソースのARN形式の詳細については、「」の「アクション、リソース、および条件キー」を参照してください。 AWS Identity and Access Management ユーザーガイド 。

    2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドをリソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録したくない S3 バケットを参照します。

       2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN に貼り付けるか、別のバケットを参照します。

       が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいがフィールドの複数の条件 CloudTrail を評価する方法。

       注記

       イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

    3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しくするように指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。

16. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 12 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。

17. 証跡で Insights イベントをログ CloudTrailに記録する場合は、Insights イベントを選択します。

    [Event type] で、[Insights events] を選択します。Insights イベント で、APIコールレート 、APIエラーレート 、またはその両方を選択します。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率 の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

    CloudTrail Insights は管理イベントを分析して異常なアクティビティがないか確認し、異常が検出されるとイベントを記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「Insights イベントのログ記録」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「」を参照してください。 AWS CloudTrail 料金

    Insights イベントは、証跡の詳細ページのストレージロケーションエリアで指定されているのと同じ S3 バケット/CloudTrail-Insightの という名前の別のフォルダに配信されます。 CloudTrail は新しいプレフィックスを作成します。たとえば、現在の送信先 S3 バケットの名前が amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/ の場合、新しいプレフィックスが付いた S3 バケットの名前は amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/ になります。

18. ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。

19. [Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。

20. 新しい証跡が [Trails] (証跡) ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべてのリージョンで作成されるまでに、最大で 24 時間かかることがあります。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 5 分で、 は を示すログファイル CloudTrail を発行します。 AWS API 組織内で行われた 呼び出し。ユーザーは、指定した Amazon S3 バケット内のログファイルを確認することができます。