翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールで組織の証跡を作成する
CloudTrail コンソールから組織の証跡を作成するには、十分なアクセス許可を持つ管理アカウントまたは委任管理者アカウントのユーザーまたはロールとしてコンソールにサインインする必要があります。管理アカウントまたは委任管理者アカウントでサインインしない場合、コンソールから CloudTrail証跡を作成または編集するときに、組織に証跡を適用するオプションは表示されません。
を使用して組織の証跡を作成するには AWS Management Console
にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
。 組織の証跡を作成するのに十分なアクセス許可を持つ管理アカウントまたは委任された管理者アカウントの IAM ID を使用してサインインする必要があります。
-
[Trails] (証跡) を選択し、[Create trail] (証跡の作成) を選択します。
-
[Create Trail] (証跡の作成) ページの [Trail name] (証跡名) に証跡の名前を入力します。詳細については、「 CloudTrail リソース、S3 バケット、およびKMSキーの命名要件」を参照してください。
-
[組織内のすべてのアカウントに対して有効にする] を選択します。管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインした場合にのみ、このオプションが表示されます。組織の証跡を正しく作成するには、ユーザーまたはロールに十分なアクセス許可があることを確認してください。
-
[ストレージの場所] の [S3 バケットを作成する] を選択すると、新しいバケットが作成されます。バケットを作成すると、 は必要なバケットポリシー CloudTrail を作成して適用します。
注記
[Use existing S3 bucket] を選択した場合、[Trail log bucket name] のバケットを指定するか、[Browse] を選択してバケットを選択します。任意のアカウントに属するバケットを選択できますが、バケットポリシーは、そのアカウントに書き込むアクセス許可を付与 CloudTrailする必要があります。バケットポリシーを手動で編集する方法については、の Amazon S3 バケットポリシー CloudTrail を参照してください。
ログを見つけやすくするには、既存のバケットに新しいフォルダ (プレフィックス とも呼ばれます) を作成して CloudTrail ログを保存します。プレフィックスを [プレフィックス] に入力します。
-
ログファイル SSE-KMS 暗号化 では、-SSE-S3 暗号化の代わりに SSE-KMS 暗号化を使用してログファイルを暗号化する場合は、有効 を選択します。デフォルトは [Enabled] です。SSE-KMS 暗号化を有効にしない場合、ログは SSE-S3 暗号化を使用して暗号化されます。SSE暗号化KMSの詳細については、「 でのサーバー側の暗号化の使用」を参照してください。 AWS Key Management Service (SSE-KMS)。SSE-S3 暗号化の詳細については、S3-Managed暗号化キーによるサーバー側の暗号化の使用 (SSE-S3)」を参照してください。
SSE-KMS 暗号化を有効にする場合は、新規または既存の を選択します。 AWS KMS key。 で AWS KMS エイリアス 、エイリアスを 形式で指定します。
alias/
MyAliasName
。 詳細については、「」を参照してくださいコンソールでKMSキーを使用するようにリソースを更新する。注記
別のアカウントからキーARNの を入力することもできます。詳細については、「コンソールでKMSキーを使用するようにリソースを更新する」を参照してください。キーポリシーでは CloudTrail 、 が キーを使用してログファイルを暗号化し、指定したユーザーが暗号化されていない形式でログファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、の AWS KMS キーポリシーを設定する CloudTrail を参照してください。
-
[Additional settings] で、次の操作を行います。
-
[ログファイル検証を有効にする] で [Enabled] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルを使用して、 CloudTrail 配信後にログファイルが変更されていないことを確認できます。詳細については、「 CloudTrail ログファイルの整合性の検証」を参照してください。
-
SNS 通知配信 では、ログがバケットに配信されるたびに通知されるように有効化 を選択します。 は複数のイベントをログファイルに CloudTrail 保存します。SNS 通知は、すべてのイベントではなく、すべてのログファイルに対して送信されます。詳細については、「の Amazon SNS通知の設定 CloudTrail」を参照してください。
SNS 通知を有効にする場合は、「新しいSNSトピックを作成する」で「新規」を選択してトピックを作成するか、「既存」を選択して既存のトピックを使用します。すべてのリージョンに適用される証跡を作成する場合、すべてのリージョンからのログファイル配信SNSの通知は、作成する 1 つのSNSトピックに送信されます。
新しい を選択した場合、 は新しいトピックの名前 CloudTrail を指定するか、名前を入力できます。既存の を選択した場合は、ドロップダウンリストからSNSトピックを選択します。別のリージョンまたは適切なアクセス許可を持つアカウントからトピックARNの を入力することもできます。詳細については、「の Amazon SNSトピックポリシー CloudTrail」を参照してください。
トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。Amazon SNSコンソールからサブスクライブできます。通知の頻度が高いため、Amazon SQSキューを使用して通知をプログラムで処理するようにサブスクリプションを設定することをお勧めします。詳細については、「Amazon Simple Notification Service デベロッパーガイド」のSNS「Amazon の開始方法」を参照してください。
-
-
オプションで、 CloudWatch ログ で有効 を選択してログファイルをCloudWatch ログに送信する CloudTrail ように を設定します。詳細については、「 CloudWatch ログへのイベントの送信」を参照してください。
注記
管理アカウントのみが、 コンソールを使用して組織の証跡の CloudWatch ロググループを設定できます。委任管理者は、 を使用して CloudWatch Logs ロググループを設定できます。 AWS CLI または CloudTrail
CreateTrail
またはUpdateTrail
APIオペレーション。-
CloudWatch ログとの統合を有効にする場合は、新規 を選択して新しいロググループを作成するか、既存 を選択して既存のロググループを使用します。新しい を選択した場合、 は新しいロググループの名前 CloudTrail を指定するか、名前を入力できます。
-
[Existing] を選択した場合、ドロップダウンリストからロググループを選択します。
-
新規 を選択して、ログを CloudWatch ログに送信するアクセス許可の新しいIAMロールを作成します。既存の を選択して、ドロップダウンリストから既存のIAMロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[ポリシードキュメント] を展開すると表示されます。このロールの詳細については、「が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント」を参照してください。
注記
証跡を設定するときは、別のアカウントに属する S3 バケットと Amazon SNSトピックを選択できます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。
-
-
タグ では、最大 50 個のタグキーペアを追加して、証跡へのアクセスを識別、ソート、制御できます。タグは、証 CloudTrail 跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのに役立ちます。その後、リソースに CloudTrail リソースグループを使用できます。詳細については、「」を参照してくださいAWS Resource Groups および タグ。
-
[Choose log events] ページで、ログに記録するイベントタイプを選択します。[管理イベント] で、次の操作を行います。
-
API アクティビティ では、証跡に読み取りイベント、書き込みイベント、またはその両方を記録するかどうかを選択します。詳細については、「管理イベント」を参照してください。
-
除外を選択する AWS KMS フィルタリングするイベント AWS Key Management Service (AWS KMS) 証跡外のイベント。デフォルト設定では、すべての AWS KMS イベント。
ログ記録または除外するオプション AWS KMS イベントは、証跡に管理イベントをログに記録する場合にのみ使用できます。管理イベントを記録しない場合は、 AWS KMS イベントはログに記録されず、変更できません AWS KMS イベントログ記録設定。
AWS KMS
Encrypt
、、 などの アクションはDecrypt
、GenerateDataKey
通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。少量、関連あり AWS KMSDisable
、、Delete
ScheduleKey
および (通常は の 0.5% 未満を占める AWS KMS イベントボリューム) は書き込みイベントとして記録されます。Encrypt
、Decrypt
、 などの大量のイベントを除外してもGenerateDataKey
、、Disable
、 などの関連イベントをログに記録するにはScheduleKey
、書き込み管理イベントをログに記録し、ExcludeDelete
のチェックボックスをオフにします。 AWS KMS イベント。 -
Amazon RDS データAPIイベントを除外 を選択して、証跡から Amazon Relational Database Service データAPIイベントをフィルタリングします。デフォルト設定では、すべての Amazon RDS Data APIイベントが含まれます。Amazon RDS Data APIイベントの詳細については、「 を使用したデータAPI呼び出しのログ記録」を参照してください。 AWS CloudTrail 「Aurora 用 Amazon RDSユーザーガイド」の「」。
-
-
データイベントをログに記録するには、[データイベント] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「」を参照してくださいAWS CloudTrail 料金
-
重要
ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くのデータイベントタイプを設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、基本的なイベントセレクターを使用してデータイベント設定を構成する のステップを完了してから、この手順のステップ 17 に戻ってください。
[データイベントタイプ] で、データイベントをログ記録するリソースのタイプを選択します。使用可能なデータイベントタイプの詳細については、「データイベント」を参照してください。
注記
のデータイベントをログに記録するには AWS Glue Lake Formation によって作成されたテーブルで、Lake Formation を選択します。
-
ログセレクタテンプレートを選択します。 には、リソースタイプのすべてのデータイベントをログに記録する事前定義されたテンプレート CloudTrail が含まれています。カスタムログセレクタテンプレートを構築するには、[Custom] を選択します。
注記
S3 バケット用に事前定義されたテンプレートを選択すると、 で現在使用しているすべてのバケットのデータイベントログ記録が有効になります。 AWS アカウントと、証跡の作成が完了した後に作成するバケット。また、 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします。 AWS 別の に属するバケットでそのアクティビティが実行された場合でも、 アカウント AWS アカウント。
証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。の他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。 AWS アカウント。
すべてのリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 で現在使用されているすべての関数のデータイベントログ記録が有効になります。 AWS アカウント、および証跡の作成が完了した後に任意のリージョンで作成できる Lambda 関数。1 つのリージョンの証跡を作成する場合 ( AWS CLI) この選択により、 のそのリージョンで現在実行されているすべての関数のデータイベントログ記録が有効になります。 AWS アカウント、および証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。
すべての関数のデータイベントをログに記録すると、 内の任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能になります。 AWS 別の に属する関数でそのアクティビティが実行された場合でも、 アカウント AWS アカウント。
-
(オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタ
Name
に としてリストされ、JSONビュー を展開すると表示できます。 -
[Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
-
次のフィールドから選択します。
-
readOnly
-readOnly
は、 または の値と等しくなるように設定できますfalse
。true
読み取り専用データイベントは、Get*
またはDescribe*
イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*
、Delete*
、またはWrite*
イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read
およびwrite
イベントの両方を記録するには、readOnly
セレクタを追加しないでください。 -
eventName
-eventName
は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 にログ記録されたデータイベントを含めたり除外PutBucket
GetItem
したりできますGetSnapshotBlock
。 -
resources.ARN
- 任意の演算子を で使用できますがresources.ARN
、等号または不等号を使用する場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type
。次の表は、各 の有効なARN形式を示しています
resources.type
。注記
resources.ARN
フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。resources.type リソース。ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
は、次のいずれかの形式ARNである必要があります。
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
は、次のいずれかの形式ARNである必要があります。
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 ストリームが有効になっているテーブルの場合、データイベントの
resources
フィールドにはAWS::DynamoDB::Stream
とAWS::DynamoDB::Table
の両方が含まれます。resources.type
にAWS::DynamoDB::Table
を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、eventName
フィールドにフィルターを追加します。2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、
StartsWith
演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。3 S3 アクセスポイント内のすべてのオブジェクトのイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、
StartsWith
またはNotStartsWith
演算子を使用することをお勧めします。 -
データイベントリソースのARN形式の詳細については、「」の「アクション、リソース、および条件キー」を参照してください。 AWS Identity and Access Management ユーザーガイド 。
-
-
各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドをリソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録したくない S3 バケットを参照します。
2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN に貼り付けるか、別のバケットを参照します。
が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいがフィールドの複数の条件 CloudTrail を評価する方法。
注記
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、
eventName
などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。 -
[+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しくするように指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。
-
-
データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。ステップ 12 からこのステップを繰り返し、データイベントタイプのアドバンストイベントセレクタを設定します。
-
証跡で Insights イベントをログ CloudTrailに記録する場合は、Insights イベントを選択します。
[Event type] で、[Insights events] を選択します。Insights イベント で、APIコールレート 、APIエラーレート 、またはその両方を選択します。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率 の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。
CloudTrail Insights は管理イベントを分析して異常なアクティビティがないか確認し、異常が検出されるとイベントを記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「Insights イベントのログ記録」を参照してください。Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「」を参照してください。 AWS CloudTrail 料金
Insights イベントは、証跡の詳細ページのストレージロケーションエリアで指定されているのと同じ S3 バケット
/CloudTrail-Insight
の という名前の別のフォルダに配信されます。 CloudTrail は新しいプレフィックスを作成します。たとえば、現在の送信先 S3 バケットの名前がamzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/
の場合、新しいプレフィックスが付いた S3 バケットの名前はamzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/
になります。 -
ログに記録するイベントタイプの選択が終了したら、[Next] を選択します。
-
[Review and create] ページで選択内容を確認します。[Edit] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[Create trail] を選択します。
-
新しい証跡が [Trails] (証跡) ページに表示されます。組織の証跡がすべてのメンバーアカウントのすべてのリージョンで作成されるまでに、最大で 24 時間かかることがあります。[Trails (証跡)] ページでは、すべてのリージョンを対象に、アカウント内の証跡が表示されます。約 5 分で、 は を示すログファイル CloudTrail を発行します。 AWS API 組織内で行われた 呼び出し。ユーザーは、指定した Amazon S3 バケット内のログファイルを確認することができます。
注記
証跡の作成後に証跡名を変更することはできません。ただし、証跡を削除して新しい証跡を作成することは可能です。
次のステップ
証跡を作成したら、証跡に戻って次の変更を加えることができます。
-
証跡の設定を編集することによって変更します。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。
-
必要に応じて、メンバーアカウント内の特定のユーザーが組織のログファイルを読み取れるように Amazon S3 バケットを設定します。詳細については、「AWS アカウント間での CloudTrail ログファイルの共有」を参照してください。
-
ログファイル CloudTrail を Logs CloudWatch に送信するように を設定します。詳細については、 CloudWatch ログへのイベントの送信「」および「 の CloudWatch ログ項目」を参照してください組織の証跡の作成を準備する。
注記
組織の証跡の CloudWatch ロググループを設定できるのは、管理アカウントのみです。
-
テーブルを作成し、それを使用して Amazon Athena でクエリを実行して を分析する AWS サービスアクティビティ。詳細については、「Amazon Athena ユーザーガイド」の CloudTrail 「コンソールでの CloudTrail ログのテーブルの作成」を参照してください。 Amazon Athena
-
証跡にカスタムタグ (キーと値のペア) を追加する。
-
別の組織の証跡を作成するには、[Trails] (証跡) ページに戻り、[Add new trail] (新しい証跡の追加) を選択します。
注記
証跡を設定するときは、別のアカウントに属する Amazon S3 バケットとSNSトピックを選択できます。ただし、イベント CloudTrail を Logs CloudWatch ロググループに配信する場合は、現在のアカウントに存在するロググループを選択する必要があります。