翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ネットワークアクティビティイベントのログ記録
注記
ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。
CloudTrail ネットワークアクティビティイベントを使用すると、VPCエンドポイント所有者は、プライベートから VPC へのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントは、 内で実行されるリソースオペレーションを可視化しますVPC。例えば、ネットワークアクティビティイベントのログ記録は、組織の外部からの認証情報がVPCエンドポイントにアクセスしようとするタイミングをVPCエンドポイント所有者が検出するのに役立ちます。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
証跡とイベントの両方のデータストアを設定して、ネットワークアクティビティイベントを記録できます。
デフォルトでは、証跡とイベントデータストアはネットワークアクティビティイベントを記録しません。ネットワークアクティビティイベントには追加料金が適用されます。詳細については、「AWS CloudTrail 料金
目次
ネットワークアクティビティイベントの高度なイベントセレクタフィールド
アクティビティを記録するイベントソースを指定して、ネットワークアクティビティイベントを記録するように高度なイベントセレクタを設定します。アドバンストイベントセレクタは AWS SDKs、、 AWS CLI、または CloudTrail コンソールを使用して設定できます。
ネットワークアクティビティイベントをログに記録するには、次の高度なイベントセレクタフィールドが必要です。
-
eventCategory– ネットワークアクティビティイベントをログに記録するには、値が である必要がありますNetworkActivity。eventCategoryはEquals演算子のみを使用できます。 -
eventSource– ネットワークアクティビティイベントを記録するイベントソース。eventSourceはEquals演算子のみを使用できます。複数のイベントソースのネットワークアクティビティイベントをログに記録する場合は、イベントソースごとに個別のフィールドセレクタを作成する必要があります。有効な値を次に示します。
-
cloudtrail.amazonaws.com -
ec2.amazonaws.com -
kms.amazonaws.com -
secretsmanager.amazonaws.com
-
次のアドバンストイベントセレクタフィールドはオプションです。
-
eventName– フィルタリングするリクエストされたアクション。例えば、CreateKeyまたは ですListKeys。eventNameは任意の演算子を使用できます。 -
errorCode– フィルタリングするリクエストされたエラーコード。現在、有効なのerrorCodeは のみですVpceAccessDenied。Equals演算子は でのみ使用できますerrorCode。 -
vpcEndpointId– オペレーションが通過したVPCエンドポイントを識別します。では、任意の演算子を使用できますvpcEndpointId。
ネットワークアクティビティイベントは、証跡またはイベントデータストアの作成時にデフォルトではログに記録されません。 CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集する各イベントソースを明示的に設定する必要があります。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail 料金については、AWS CloudTrail 「 の料金
を使用したネットワークアクティビティイベントのログ記録 AWS Management Console
既存の証跡またはイベントデータストアを更新して、 コンソールを使用してネットワークアクティビティイベントを記録できます。
既存の証跡を更新してネットワークアクティビティイベントを記録する
既存の証跡を更新してネットワークアクティビティイベントを記録するには、次の手順に従います。
注記
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。 CloudTrail の料金については、「AWS CloudTrail
料金表
にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
。 -
CloudTrail コンソールの左側のナビゲーションペインで、証跡ページを開き、証跡名を選択します。
-
ネットワークアクティビティイベント で、編集 を選択します。
ネットワークアクティビティイベントを記録するには、次の手順を実行します。
-
ネットワークアクティビティイベントソース から、ネットワークアクティビティイベントのソースを選択します。
-
[Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録するか、すべてのネットワークアクティビティアクセス拒否イベントをログに記録するか、カスタムを選択してカスタムログセレクタを構築し、
eventNameや などの複数のフィールドでフィルタリングすることができますvpcEndpointId。 -
(オプション) セレクターを識別する名前を入力します。セレクタ名はアドバンストイベントセレクタに名前としてリストされ、JSONビュー を展開すると表示できます。
-
アドバンストイベントセレクタでは、フィールド 、演算子 、および値 の値を選択して式を構築します。 事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
-
ネットワークアクティビティイベントを除外または含める場合は、コンソールの次のフィールドから選択できます。
-
eventName– 任意の演算子を で使用できますeventName。これを使用して、 などのイベントを包含または除外できますCreateKey。 -
errorCode– エラーコードをフィルタリングするために使用できます。現在、サポートされているのerrorCodeは のみですVpceAccessDenied。 -
vpcEndpointId– オペレーションが通過したVPCエンドポイントを識別します。では、任意の演算子を使用できますvpcEndpointId。
-
-
各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
-
[+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
-
-
ネットワークアクティビティイベントを記録する別のイベントソースを追加するには、ネットワークアクティビティイベントセレクタの追加 を選択します。
-
必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。
-
-
[変更を保存] を選択して、変更を保存します。
既存のイベントデータストアを更新してネットワークアクティビティイベントを記録する
既存のイベントデータストアを更新してネットワークアクティビティイベントを記録するには、次の手順に従います。
注記
タイプのイベント のイベントデータストアでのみ、ネットワークアクティビティCloudTrail イベントをログに記録できます。
にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
。 -
CloudTrail コンソールの左側のナビゲーションペインの Lake で、イベントデータストア を選択します。
-
イベントデータストアの名前を選択します。
-
ネットワークアクティビティイベント で、編集 を選択します。
ネットワークアクティビティイベントを記録するには、次の手順を実行します。
-
ネットワークアクティビティイベントソース から、ネットワークアクティビティイベントのソースを選択します。
-
[Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録するか、すべてのネットワークアクティビティアクセス拒否イベントをログに記録するか、カスタムを選択してカスタムログセレクタを構築し、
eventNameや などの複数のフィールドでフィルタリングすることができますvpcEndpointId。 -
(オプション) セレクターを識別する名前を入力します。セレクタ名はアドバンストイベントセレクタに名前としてリストされ、JSONビュー を展開すると表示できます。
-
アドバンストイベントセレクタでは、フィールド 、演算子 、および値 の値を選択して式を構築します。 事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
-
ネットワークアクティビティイベントを除外または含める場合は、コンソールの次のフィールドから選択できます。
-
eventName– 任意の演算子を で使用できますeventName。これを使用して、 などのイベントを包含または除外できますCreateKey。 -
errorCode– エラーコードをフィルタリングするために使用できます。現在、サポートされているのerrorCodeは のみですVpceAccessDenied。 -
vpcEndpointId– オペレーションが通過したVPCエンドポイントを識別します。では、任意の演算子を使用できますvpcEndpointId。
-
-
各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
-
[+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
-
-
ネットワークアクティビティイベントを記録する別のイベントソースを追加するには、ネットワークアクティビティイベントセレクタの追加 を選択します。
-
必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。
-
-
[変更を保存] を選択して、変更を保存します。
を使用したネットワークアクティビティイベントのログ記録 AWS Command Line Interface
を使用して、ネットワークアクティビティイベントを記録するように証跡またはイベントデータストアを設定できます AWS CLI。
例: 証跡のネットワークアクティビティイベントのログ記録
を使用して、ネットワークアクティビティイベントを記録するように証跡を設定できます AWS CLI。put-event-selectors
証跡がネットワークアクティビティイベントを記録しているかどうかを確認するには、 get-event-selectors
トピック
例: CloudTrail オペレーションのネットワークアクティビティイベントを記録する
次の例は、 CreateTrail や CreateEventDataStore呼び出しなどのオペレーションのすべてのネットワークアクティビティイベント CloudTrail APIを含めるように証跡を設定する方法を示しています。eventSource フィールドの値は ですcloudtrail.amazonaws.com。
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
コマンドは、次の出力例を返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
例: のログVpceAccessDeniedイベント AWS KMS
次の例は、 のVpceAccessDeniedイベントを含めるように証跡を設定する方法を示しています AWS KMS。この例では、 errorCodeフィールドをVpceAccessDeniedイベントに、 eventSourceフィールドを に設定しますkms.amazonaws.com。
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
コマンドは、次の出力例を返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
例: 特定のVPCエンドポイントのEC2VpceAccessDeniedイベントをログに記録する
次の例は、特定のVPCエンドポイントEC2の Amazon のVpceAccessDeniedイベントを含めるように証跡を設定する方法を示しています。この例では、 errorCodeフィールドはVpceAccessDeniedイベントに等しく、 eventSourceフィールドは に等しくec2.amazonaws.com、 は目的のVPCエンドポイントにvpcEndpointId等しくなります。
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
コマンドは、次の出力例を返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
例: イベントデータストアのネットワークアクティビティイベントのログ記録
を使用して、ネットワークアクティビティイベントを含めるようにイベントデータストアを設定できます AWS CLI。create-event-data-storeupdate-event-data-store
イベントデータストアにネットワークアクティビティイベントが含まれているかどうかを確認するには、 get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
トピック
例: CloudTrail オペレーションのすべてのネットワークアクティビティイベントを記録する
次の例は、 CreateTrail や への呼び出しなど、 CloudTrail オペレーションに関連するすべてのネットワークアクティビティイベントを含むイベントデータストアを作成する方法を示していますCreateEventDataStore。eventSource フィールドの値は に設定されますcloudtrail.amazonaws.com。
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
コマンドは、次の出力例を返します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
例: のログVpceAccessDeniedイベント AWS KMS
次の例は、 のイベントを含むVpceAccessDeniedイベントデータストアを作成する方法を示しています AWS KMS。この例では、 errorCodeフィールドをVpceAccessDeniedイベントに、 eventSourceフィールドを に設定しますkms.amazonaws.com。
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
コマンドは、次の出力例を返します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
例: 特定のVPCエンドポイントのEC2VpceAccessDeniedイベントをログに記録する
次の例は、特定のVPCエンドポイントEC2の Amazon のVpceAccessDeniedイベントを含めるイベントデータストアを作成する方法を示しています。この例では、 errorCodeフィールドをVpceAccessDeniedイベントに等しく、 eventSourceフィールドを に等しくec2.amazonaws.com、 を目的のVPCエンドポイントにvpcEndpointId等しく設定します。
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
コマンドは、次の出力例を返します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
を使用したイベントのログ記録 AWS SDKs
GetEventSelectors オペレーションを実行して、証跡がネットワークアクティビティイベントをログに記録しているかどうかを確認します。PutEventSelectors オペレーションを実行することで、ネットワークアクティビティイベントを記録するように証跡を設定できます。詳細については、「 AWS CloudTrail APIリファレンス」を参照してください。
GetEventDataStore オペレーションを実行して、イベントデータストアがネットワークアクティビティイベントをログに記録しているかどうかを確認します。CreateEventDataStore または UpdateEventDataStoreオペレーションを実行し、高度なイベントセレクタを指定することで、ネットワークアクティビティイベントを含めるようにイベントデータストアを設定できます。詳細については、を使用してイベントデータストアを作成、更新、管理する AWS CLI「」およびAWS CloudTrail API「 リファレンス」を参照してください。
