翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail の仕組み
を作成すると、 CloudTrail イベント履歴に自動的にアクセスできます AWS アカウント。[イベント履歴] では、 AWS リージョンで過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または CloudTrail Lake イベントデータストアを作成します。
トピック
CloudTrail イベント履歴
イベント履歴ページに移動することで、 CloudTrail コンソールで過去 90 日間の管理イベントを簡単に表示できます。aws cloudtrail lookup-events コマンドまたは LookupEventsAPIオペレーションを実行して、イベント履歴を表示することもできます。イベント履歴内のイベントは、単一の属性でイベントをフィルタリングすることによって検索できます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。
[イベント履歴] はアカウント内に存在する証跡やイベントデータストアには接続されておらず、証跡やイベントデータストアに加えた設定変更の影響も受けません。
イベント履歴ページの表示やlookup-eventsコマンドの実行には CloudTrail 料金はかかりません。
CloudTrail Lake とイベントデータストア
イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント)、CloudTrailInsights イベント、AWS Audit Manager 証拠、AWS Config 設定項目、または 外のイベント AWSをログに記録できます。
注記
ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。
イベントデータストアは、現在の AWS リージョンまたは AWS アカウント AWS リージョン 内のすべての からのイベントをログに記録できます。外部から統合イベントをログに記録するために使用しているイベントデータストアは、単一のリージョンのみ AWS にする必要があります。マルチリージョンイベントデータストアにすることはできません。
で組織を作成した場合は AWS Organizations、その組織内のすべてのアカウントのすべてのイベントをログに記録する組織イベントデータストアを作成できます。 AWS 組織のイベントデータストアを、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアは管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定した場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。組織のイベントデータストアを使用して、 の外部からイベントを収集することはできません AWS。詳細については、「組織のイベントデータストアについて」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントは によって暗号化されます CloudTrail。イベントデータストアを設定するときに、独自の AWS KMS keyを使用するかどうかを選択できます。独自のKMSキーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。詳細については、「AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)」を参照してください。
次の表は、イベントデータストアで実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。マネージドダッシュボードを表示したり、カスタムダッシュボードを作成したり、ハイライトダッシュボードを有効にして、 CloudTrail Lake がキュレートして管理するイベントデータのハイライトを表示したりできます。 |
|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するようにイベントデータストアを設定します。イベントデータストアのデフォルトでは、管理イベントがログに記録されます。 次の高度なイベントセレクタフィールドで管理イベントをフィルタリングできます: |
|
|
データイベントのログを記録するように、イベントデータストアを設定します。、 |
|
|
ネットワークアクティビティイベントのログを記録するようにイベントデータストアを設定します。高度なイベントセレクタを使用して、 注記ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。 |
|
Insights イベントをログに記録するようにイベントデータストアを設定し、管理API呼び出しに関連する異常なアクティビティを特定して対応できるようにします。詳細については、「Insights イベントのログ記録」を参照してください。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、AWS CloudTrail
料金 |
|
証跡イベントを新規または既存のイベントデータストアにコピーして、証跡に記録されたイベントのスナップショットを作成できます point-in-time。 |
|
イベントデータストアをフェデレートして、 AWS Glue Data Catalog 内のイベントデータストアに関連付けられたメタデータを表示し、Amazon Athena を使用してイベントデータに対してSQLクエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。 |
|
CloudTrail 管理イベントとデータイベント、または AWS Config 設定項目を収集するイベントデータストアで、イベント取り込みを停止および開始できます。 |
|
CloudTrail Lake 統合を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。利用可能な統合パートナーの詳細については、「AWS CloudTrail Lake Integrations |
|
CloudTrail コンソールには、独自のクエリの作成を開始するのに役立つ多数のサンプルクエリが用意されています。 |
|
のクエリ CloudTrail は で作成されますSQL。 CloudTrail Lake Editor タブでクエリを作成するには、クエリを最初SQLから書き込むか、保存済みクエリまたはサンプルクエリを開いて編集します。 |
|
|
クエリの実行後に、クエリ結果をS3 バケットに保存できます。 |
|
保存した CloudTrail Lake クエリ結果を含むCSVファイルをダウンロードできます。 |
|
CloudTrail クエリ結果の整合性検証を使用して、 がクエリ結果を S3 バケットに CloudTrail 配信した後、クエリ結果が変更、削除、または変更されていないかどうかを判断できます。 |
CloudTrail Lake の詳細については、「」を参照してくださいAWS CloudTrail Lake の使用。
CloudTrail Lake イベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。Lake のコストの CloudTrail 価格設定と管理の詳細については、AWS CloudTrail 「 の
CloudTrail Lake ダッシュボード
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。 CloudTrail Lake には、次のタイプのダッシュボードが用意されています。
-
マネージドダッシュボード – マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベント傾向を表示できます。これらのダッシュボードは自動的に利用でき、 CloudTrail Lake によって管理されます。 CloudTrail には、14 のマネージドダッシュボードが用意されています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、または削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
-
カスタムダッシュボード – カスタムダッシュボードを使用すると、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには、最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
-
ハイライトダッシュボード – Highlights ダッシュボードを有効にして、 at-a-glanceアカウント内のイベントデータストアによって収集された AWS アクティビティの概要を表示します。Highlights ダッシュボードは によって CloudTrail 管理され、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、各アカウントに固有です。これらのウィジェットには、検出された異常なアクティビティや異常が表示されることがあります。例えば、ハイライトダッシュボードにクロスアカウントアクセスウィジェットの合計を含めると、異常なクロスアカウントアクティビティが増加しているかどうかが表示されます。 はハイライトダッシュボードを 6 時間ごとに CloudTrail 更新します。ダッシュボードには、前回の更新からの過去 24 時間のデータが表示されます。
各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットはSQLクエリを表します。
詳細については、「CloudTrail Lake ダッシュボード」を参照してください。
CloudTrail 証跡
証跡とは、指定した Amazon S3 バケットにイベントを配信できる設定のことです。Amazon CloudWatch Logs と Amazon を使用して、証跡でイベントを配信および分析することもできます EventBridge。
証跡は、 CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベント、および Insights イベントをログに記録できます。
注記
ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。
AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。
- マルチリージョン証跡
-
マルチリージョンの証跡を作成すると、 は作業しているAWS パーティションのすべての AWS リージョン にイベント CloudTrail を記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョンの証跡を作成した後に AWS リージョン が追加されると、その新しいリージョンが自動的に含まれ、そのリージョンのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。 CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンです。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については、コンソールで証跡を作成するおよび1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。
- 単一リージョンの証跡
-
単一リージョンの証跡を作成すると、 はそのリージョンのイベントのみ CloudTrail を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルを配信します。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加の 1 つの証跡を作成する場合は、それらの証跡で CloudTrail イベントログファイルを同じ S3 バケットに配信するか、別のバケットに配信することができます。これは、 または を使用して証跡を作成する場合の AWS CLI デフォルトのオプションです CloudTrail API。詳細については、「AWS CLI で証跡を作成、更新、管理する」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
で組織を作成した場合は AWS Organizations、その組織内のすべてのアカウントのすべてのイベントをログに記録する組織の証跡を作成できます。 AWS 組織の証跡は、すべての AWS リージョン、または現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。
デフォルトでは、 CloudTrail コンソールで証跡を作成すると、イベントログファイルはKMSキーで暗号化されます。 SSE-KMS 暗号化を有効にしない場合、イベントログは Amazon S3 サーバー側の暗号化 () を使用して暗号化されますSSE。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と検証に関する通知が必要な場合は、Amazon SNS通知を設定できます。
CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、 がサポートするアカウントの サービスからのAPI呼び出しが含まれています CloudTrail。詳細については、「CloudTrail サポートされているサービスと統合」を参照してください。
注記
CloudTrail は通常、 API呼び出しから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「AWS CloudTrail サービスレベルアグリーメント
証跡を誤って設定した場合 (S3 バケットに到達できない場合など) CloudTrail、 はログファイルを S3 バケットに 30 日間再配信しようとします。これらの attempted-to-deliverイベントには標準 CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
CloudTrail は、ユーザーによって直接行われたアクション、または AWS サービスによってユーザーに代わって行われたアクションをキャプチャします。例えば、 呼び出し AWS CloudFormation CreateStackにより、Amazon EC2、Amazon 、Amazon RDSEBS、または AWS CloudFormation テンプレートで必要とされるその他の のサービスへの追加のAPI呼び出しが発生する場合があります。この動作は正常であり、想定されています。アクションが AWS サービスによって実行されたかどうかは、イベント内の CloudTrail invokedbyフィールドで確認できます。
次の表は、証跡で実行できるタスクに関する情報を示しています。
| タスク | 説明 |
|---|---|
|
読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するように証跡を設定します。 |
|
|
高度なイベントセレクタを使用して詳細なセレクタを作成し、関心のあるデータイベントのみをログに記録することができます。高度なイベントセレクタを使用すると、 |
|
|
ネットワークアクティビティイベントを記録するように証跡を設定します。高度なイベントセレクタを設定して、 注記ネットワークアクティビティイベントは のプレビューリリースであり CloudTrail 、変更される可能性があります。 |
|
|
Insights イベントをログに記録するように証跡を設定し、管理API呼び出しに関連する異常なアクティビティを特定して対応できるようにします。 Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金 |
|
|
証跡で CloudTrail Insights を有効にすると、 CloudTrail コンソールまたは を使用して、最大 90 日間の Insights イベントを表示できます AWS CLI。 |
|
|
証跡で CloudTrail Insights を有効にした後、証跡の過去 90 日間の Insights イベントを含む CSVまたは JSON ファイルをダウンロードできます。 |
|
|
既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのスナップショットを作成できます point-in-time。 |
|
|
バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNSは、Amazon Simple Queue Service を使用したプログラムなど、さまざまな方法で通知できます。 注記すべてのリージョンからログファイルの配信に関するSNS通知を受け取る場合は、証跡にSNSトピックを 1 つだけ指定します。すべてのイベントをプログラムで処理する場合は、「CloudTrail Processing Library の使用」を参照してください。 |
|
|
S3 バケットからログファイルを検索してダウンロードします。 |
|
|
CloudWatch ログにイベントを送信するように証跡を設定できます。その後、 CloudWatch ログを使用して、特定のAPI呼び出しとイベントについてアカウントをモニタリングできます。 注記Logs CloudWatch ロググループにイベントを送信するようにすべてのリージョンに適用される証跡を設定すると、 はすべてのリージョンのイベントを 1 つのロググループ CloudTrail に送信します。 |
|
|
ログファイルの暗号化は、ログファイルに追加のセキュリティレイヤーを提供します。 |
|
|
ログファイルの整合性の検証は、 がログファイルを CloudTrail 配信してから変更されていないことを確認するのに役立ちます。 |
|
|
アカウント間でログファイルを共有することができます。 |
|
|
複数のアカウントからのログファイルを単一のバケットに集約できます。 |
|
|
と統合されたパートナーソリューションで CloudTrail 出力を分析します CloudTrail。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。 |
証跡を作成 CloudTrail することで、 から進行中の管理イベントのコピーを 1 つ無料で S3 バケットに配信できますが、Amazon S3 ストレージ料金が発生します。 CloudTrail 料金の詳細については、AWS CloudTrail 「 料金
CloudTrail Insights イベント
AWS CloudTrail Insights は、 CloudTrail ユーザーが管理イベントを継続的に分析することで、API通話やAPIエラー率に関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。Insights CloudTrail は、ベースラインとも呼ばれるAPI通話量とAPIエラー率の通常のパターンを分析し、通話量やエラー率が通常のパターン外にある場合に Insights イベントを生成します。API 通話量の Insights イベントはwrite管理 に対して生成されAPIs、APIエラー率の Insights イベントは readと write 管理の両方に対して生成されますAPIs。
デフォルトでは、 CloudTrail 証跡とイベントデータストアは Insights イベントを記録しません。証跡またはイベントデータストアを設定して、Insights イベントをログに記録するようにする必要があります。詳細については、を使用した Insights イベントのログ記録 AWS Management Consoleおよびを使用した Insights イベントのログ記録 AWS Command Line Interfaceを参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail 料金
証跡の Insights イベントとイベントデータストアの表示
CloudTrail は証跡とイベントデータストアの両方の Insights イベントをサポートしますが、Insights イベントの表示方法とアクセス方法にはいくつかの違いがあります。
証跡の Insights イベントの表示
証跡で Insights イベントを有効にしていて、異常なアクティビティ CloudTrail を検出した場合、Insights イベントは証跡の送信先 S3 バケット内の別のフォルダまたはプレフィックスに記録されます。 CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間を確認することもできます。詳細については、「コンソールを使用した証跡の CloudTrail Insights イベントの表示」を参照してください。
証跡で初めて CloudTrail Insights を有効にした後、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。
イベントデータストアの Insights イベントの表示
CloudTrail Lake で Insights イベントをログに記録するには、Insights イベントをログに記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログに記録するソースイベントデータストアが必要です。詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、異常なアクティビティが検出された場合、 が最初の Insights イベントを送信先イベントデータストアに配信 CloudTrail するまでに最大 7 日かかることがあります。
ソースイベントデータストアで CloudTrail Insights を有効にしていて、異常なアクティビティ CloudTrail を検出した場合、 は Insights イベントを送信先イベントデータストアに CloudTrail 配信します。その後、Insights イベントに関する情報を取得するために宛先のイベントデータストアにクエリを実行したり、オプションとしてクエリ結果を S3 バケットに保存したりできます。詳細については、 CloudTrail コンソールでクエリを作成または編集するおよび CloudTrail コンソールでサンプルクエリを表示するを参照してください。
送信先イベントデータストアの Insights イベントを可視化するために、[Insights イベント] ダッシュボードを表示することができます。Lake ダッシュボードの詳細については、「CloudTrail Lake ダッシュボード」を参照してください。
CloudTrail チャネル
CloudTrail は、次の 2 種類のチャネルをサポートしています。
- CloudTrail Lake と 外のイベントソースの統合のチャネル AWS
-
CloudTrail Lake はチャネルを使用して、 の外部から、 と連携する外部パートナー CloudTrail、または独自のソースから CloudTrail Lake AWS にイベントを取り込みます。チャネルを作成するときは、チャネルソースから送信されるイベントを保存するイベントデータストアを 1 つまたは複数選択します。送信先イベントデータストアがアクティビティイベントをログ記録するように設定している間は、必要に応じてチャネルの送信先イベントデータストアを変更できます。外部パートナーからのイベントのチャネルを作成するときは、パートナーまたはソースアプリケーションARNにチャネルを提供します。チャネルにアタッチされたリソースポリシーにより、ソースはチャネルを介してイベントを送信できます。詳細については、「 AWS CloudTrail APIリファレンス
CreateChannel」のAWS 外のイベントソースとの統合を作成する「」および「」を参照してください。 - サービスにリンクされたチャネル
-
AWS サービスは、ユーザーに代わって CloudTrail イベントを受信するサービスにリンクされたチャネルを作成できます。 AWS サービスにリンクされたチャネルを作成するサービスは、チャネルの高度なイベントセレクタを設定し、チャネルがすべてのリージョンに適用されるか、現在のリージョンに適用されるかを指定します。
CloudTrail コンソールまたは を使用してAWS CLI、 によって作成された CloudTrail サービスにリンクされたチャネルに関する情報を表示できます AWS のサービス。
