翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail の仕組み
を作成すると、CloudTrail イベント履歴に自動的にアクセスできます AWS アカウント。[イベント履歴] では、 AWS リージョンで過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または CloudTrail Lake イベントデータストアを作成します。
トピック
CloudTrail イベント履歴
CloudTrail コンソールで、[イベント履歴] ページに移動すると、簡単に過去 90 日間の管理イベントを表示できます。aws cloudtrail
lookup-events コマンド、または LookupEvents API 操作を実行してイベント履歴を表示することもできます。イベント履歴内のイベントは、単一の属性でイベントをフィルタリングすることによって検索できます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。
[イベント履歴] はアカウント内に存在する証跡やイベントデータストアには接続されておらず、証跡やイベントデータストアに加えた設定変更の影響も受けません。
[イベント履歴] ページの閲覧または lookup-events コマンドの実行には、CloudTrail の料金はかかりません。
CloudTrail Lake とイベントデータストア
イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント)、CloudTrail Insights イベント、AWS Audit Manager 証拠、AWS Config 設定項目、または 外のイベント AWSをログに記録できます。
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
イベントデータストアは、現在の AWS リージョンまたは AWS アカウント AWS リージョン 内のすべての からのイベントをログに記録できます。外部から統合イベントをログ記録するために使用するイベントデータストアは、単一のリージョンのみ AWS にする必要があります。マルチリージョンイベントデータストアにすることはできません。
で組織を作成した場合は AWS Organizations、その組織内のすべてのアカウントのすべてのイベントをログに記録する組織イベントデータストアを作成できます。 AWS 組織のイベントデータストアを、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアは管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定した場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。組織のイベントデータストアを使用して、 の外部からイベントを収集することはできません AWS。詳細については、「組織のイベントデータストアについて」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントは CloudTrail によって暗号化されます。イベントデータストアを設定するときに、独自の AWS KMS keyを使用するかどうかを選択できます。独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。詳細については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。
次の表は、イベントデータストアで実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。マネージドダッシュボードを表示したり、カスタムダッシュボードを作成したり、ハイライトダッシュボードを有効にして、CloudTrail Lake によってキュレートおよび管理されるイベントデータのハイライトを表示したりできます。 |
|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するようにイベントデータストアを設定します。イベントデータストアのデフォルトでは、管理イベントがログに記録されます。 管理イベントは、、 |
|
|
データイベントのログを記録するように、イベントデータストアを設定します。データイベントは、、 |
|
|
ネットワークアクティビティイベントのログを記録するようにイベントデータストアを設定します。高度なイベントセレクタを使用して、 注記ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。 |
|
Insights イベントをログ記録するようにイベントデータストアを設定し、管理 API コールに関連する異常なアクティビティを特定し応答できるようにします。詳細については、「CloudTrail Insights の使用」を参照してください。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、AWS CloudTrail
料金 |
|
証跡イベントを新規または既存のイベントデータストアにコピーして、証跡にログが記録されたイベントのポイントインタイムスナップショットを作成できます。 |
|
イベントデータストアをフェデレートして、 AWS Glue データカタログ内のイベントデータストアに関連付けられたメタデータを表示し、Amazon Athena を使用してイベントデータに対して SQL クエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。 |
|
CloudTrail の管理イベントとデータイベント、または AWS Config 設定項目を収集するイベントデータストアでのイベントの取り込みを停止および開始できます。 |
|
CloudTrail Lake 統合を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。利用可能な統合パートナーの詳細については、「AWS CloudTrail Lake Integrations |
|
CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。 |
|
CloudTrail のクエリは SQL で作成されます。クエリは、CloudTrail Lake の [Editor] (エディタ) タブで、SQL でクエリを最初から記述するか、保存されたクエリ、またはサンプルクエリを開いて編集することによって構築できます。 |
|
|
クエリの実行後に、クエリ結果をS3 バケットに保存できます。 |
|
保存された CloudTrail Lake クエリ結果を含む CSV ファイルをダウンロードできます。 |
|
CloudTrail がクエリ結果を S3 バケットに配信した後、クエリ結果が変更、削除、または変更されなかったかどうかを判断するには、CloudTrail クエリ結果の整合性の検証を使用することができます。 |
CloudTrail Lake の詳細については、「AWS CloudTrail Lake の使用」を参照してください。
CloudTrail Lake のイベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金
CloudTrail Lake ダッシュボード
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。
-
マネージドダッシュボード – マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベント傾向を表示できます。これらのダッシュボードは自動的に利用でき、CloudTrail Lake によって管理されます。CloudTrail には、14 のマネージドダッシュボードから選択できます。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、または削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
-
カスタムダッシュボード – カスタムダッシュボードを使用すると、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには、最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
-
ハイライトダッシュボード – Highlights ダッシュボードを有効にして、アカウントのイベントデータストアによって収集された AWS アクティビティの概要をat-a-glance確認できます。Highlights ダッシュボードは CloudTrail によって管理され、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、各アカウントに固有です。これらのウィジェットは、検出された異常なアクティビティや異常を表示する可能性があります。例えば、ハイライトダッシュボードには、異常なクロスアカウントアクティビティが増加しているかどうかを示すクロスアカウントアクセスウィジェットの合計を含めることができます。CloudTrail は 6 時間ごとに Highlights ダッシュボードを更新します。ダッシュボードには、前回の更新からの過去 24 時間のデータが表示されます。
各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリを表します。
詳細については、「CloudTrail Lake ダッシュボード」を参照してください。
CloudTrail 証跡
証跡とは、指定した Amazon S3 バケットにイベントを配信できる設定のことです。Amazon CloudWatch Logs および Amazon EventBridge を使用して、証跡のイベントを配信および分析することもできます。
証跡は、CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベント、および Insights イベントをログに記録できます。
注記
ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。
AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。
- マルチリージョン証跡
-
マルチリージョン証跡を作成すると、CloudTrail は作業中のAWS パーティション内のすべての AWS リージョン にイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンになります。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、コンソールを使用した証跡の作成および1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。
- 単一リージョンの証跡
-
単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、 AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「を使用した証跡の作成、更新、管理 AWS CLI 」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
で組織を作成した場合は AWS Organizations、その組織内のすべてのアカウントのすべてのイベントを記録する組織の証跡を作成できます。 AWS 組織の証跡は、すべての AWS リージョン、または現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。
デフォルトでは、CloudTrail コンソールで証跡を作成すると、イベントログファイルは KMS キーで暗号化されます。[SSE-KMS 暗号化] を有効にしない場合、イベントログは Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化されます。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。
CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、CloudTrail をサポートするアカウントのサービスからの API コールが含まれています。詳細については、「CloudTrail サポートされているサービスと統合」を参照してください。
注記
CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
CloudTrail は、ユーザーまたは AWS のサービスによりユーザーに代わって直接行われたアクションをキャプチャします。例えば、 AWS CloudFormation CreateStack 呼び出しにより、 AWS CloudFormation テンプレートの必要に応じてAmazon EC2、Amazon RDS、Amazon EBS、またはその他の サービスへの追加の API 呼び出しが発生する可能性があります。この動作は正常であり、想定されています。アクションが AWS サービスによって実行されたかどうかは、CloudTrail イベントの invokedbyフィールドで確認できます。
次の表は、証跡で実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するように証跡を設定します。 |
|
|
高度なイベントセレクタを使用して詳細なセレクタを作成し、関心のあるデータイベントのみをログに記録することができます。高度なイベントセレクタを使用すると、 |
|
|
ネットワークアクティビティイベントを記録するように証跡を設定します。高度なイベントセレクタを設定して、 注記ネットワークアクティビティイベントは CloudTrail のプレビューリリースであり、変更される可能性があります。 |
|
|
管理 API コールに関連する異常なアクティビティを特定して応答できるように、インサイトイベントを記録するように証跡を設定します。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金 |
|
|
証跡で CloudTrail Insights を有効にした後、CloudTrail コンソールまたは AWS CLIを使用して最大 90 日間 Insights イベントを表示できます。 |
|
|
証跡で CloudTrail Insights を有効にすると、過去 90 日間までの証跡の Insights イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。 |
|
|
既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのポイントインタイムスナップショットを作成できます。 |
|
|
バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。 注記すべてのリージョンのログファイル配信に関する SNS 通知を受信するときは、証跡の SNS トピックを 1 つのみ指定します。すべてのイベントをプログラムで処理する場合は、「 CloudTrail Processing Library の使用」を参照してください。 |
|
|
S3 バケットからログファイルを検索してダウンロードします。 |
|
|
CloudWatch Logs にイベントを送信するように証跡を設定できます。CloudWatch Logs を使用して、アカウントで特定の API コールとイベントをモニタリングできます。 注記全リージョンに適用される証跡を、イベントを CloudWatch Logs ロググループに送信するように設定すると、CloudTrail は、すべてのリージョンから単一のロググループにイベントを送信します。 |
|
|
ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。 |
|
|
ログファイルの整合性の検証により、CloudTrail によって配信されてからログファイルが変更されていないことを確認できます。 |
|
|
アカウント間でログファイルを共有することができます。 |
|
|
複数のアカウントからのログファイルを単一のバケットに集約できます。 |
|
|
CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。 |
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
CloudTrail Insights イベント
AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、 AWS ユーザーが API コールレートと API エラーレートに関連する異常なアクティビティを特定して応答するのに役立ちます。CloudTrail Insights は、ベースラインとも呼ばれる API コール量と API エラー率の通常のパターンを分析し、コール量や API エラー率が通常のパターン外にある場合に Insights イベントを生成します。API コールレートの Insights イベントはwrite管理 APIs に対して生成され、API エラーレートの Insights イベントは read と の両方writeの管理 APIs。
CloudTrail 証跡とイベントデータストアのデフォルトでは、Insights イベントはログに記録されません。証跡またはイベントデータストアを設定して、Insights イベントをログに記録するようにする必要があります。詳細については、CloudTrail コンソールを使用した Insights イベントのログ記録およびを使用した Insights イベントのログ記録 AWS CLIを参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
証跡の Insights イベントとイベントデータストアの表示
CloudTrail は証跡とイベントデータストアの両方で Insights イベントをサポートしていますが、Insights イベントを表示およびアクセスする方法にはいくつかの違いがあります。
証跡の Insights イベントの表示
証跡で Insights イベントを有効にしており、CloudTrail が異常なアクティビティを検出した場合、Insights イベントが証跡のための宛先 S3 バケットにある異なるフォルダまたはプレフィックスに記録されます。CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間も確認できます。詳細については、「コンソールを使用した証跡の Insights イベントの表示」を参照してください。
証跡で CloudTrail Insights を初めて有効にした後、その間に異常なアクティビティが検出された場合、証跡で Insights イベントを有効にした後、CloudTrail が Insights イベントの配信を開始するまでに最大 36 時間かかることがあります。
イベントデータストアの Insights イベントの表示
CloudTrail Lake で Insights イベントを記録するには、Insights イベントをログ記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログ記録するソースイベントデータストアが必要です。詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、その間に異常なアクティビティが検出された場合、CloudTrail が Insights イベントの配信を開始するまでに最大 7 日かかることがあります。
ソースイベントデータストアで CloudTrail Insights を有効にしており、CloudTrail が異常なアクティビティを検出した場合、CloudTrail は送信先イベントデータストアに Insights イベントを配信します。その後、Insights イベントに関する情報を取得するために宛先のイベントデータストアにクエリを実行したり、オプションとしてクエリ結果を S3 バケットに保存したりできます。詳細については、CloudTrail コンソールを使用してトレイルを編集するおよびCloudTrail コンソールにサンプルクエリを表示するを参照してください。
Insights イベントダッシュボードを表示して、送信先イベントデータストアの Insights イベントを視覚化できます。Lake ダッシュボードの詳細については、「CloudTrail Lake ダッシュボード」を参照してください。
CloudTrail チャネル
CloudTrail は次の 2 つのタイプのチャネルをサポートしています。
- CloudTrail Lake と 外のイベントソースの統合のチャネル AWS
-
CloudTrail Lake はチャネルを使用して、CloudTrail と連携する外部パートナー、または独自のソースから、 の外部から CloudTrail Lake AWS にイベントを取り込みます。チャネルを作成するときは、チャネルソースから送信されるイベントを保存するイベントデータストアを 1 つまたは複数選択します。送信先イベントデータストアがアクティビティイベントをログ記録するように設定している間は、必要に応じてチャネルの送信先イベントデータストアを変更できます。外部パートナーからのイベント用のチャネルを作成するときは、パートナーまたはソースアプリケーションにチャネル ARN を提供します。チャネルにアタッチされたリソースポリシーにより、ソースはチャネルを介してイベントを送信できます。詳細については、「AWS CloudTrail API リファレンス」の「AWS 外のイベントソースとの統合を作成する」および「
CreateChannel」を参照してください。 - サービスにリンクされたチャネル
-
AWS サービスは、ユーザーに代わって CloudTrail イベントを受信するサービスにリンクされたチャネルを作成できます。サービスにリンクされたチャネルを作成する AWS サービスは、チャネルの高度なイベントセレクタを設定し、チャネルをすべてのリージョンに適用するか、現在のリージョンに適用するかを指定します。
CloudTrail コンソール または AWS CLI を使用して、 AWS のサービスが作成した CloudTrail サービスにリンクされたチャネルに関する情報を表示できます。
