翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 管理イベントを記録する証跡を作成する
最初の証跡では、すべての[管理イベント](cloudtrail-concepts.md#cloudtrail-concepts-management-events)をログ記録し、[データイベント](cloudtrail-concepts.md#cloudtrail-concepts-data-events)あるいは Insights イベントはログに記録しない証跡を作成することをお勧めします。管理イベントの例には、IAM `CreateUser` や `AttachRolePolicy` イベントなどのセキュリティイベント、`RunInstances` や `CreateBucket` などのリソースイベントが含まれています。CloudTrail コンソールで証跡を作成する一部として、証跡のログファイルを保存する Amazon S3 バケットを作成します。
**注記**
AWS Control Tower は、ランディングゾーンを設定するときに、新しい CloudTrail 証跡ログ記録管理イベントを設定します。これは組織レベルの証跡であり、組織内の管理アカウントとすべてのメンバーアカウントに関する全ての管理イベントがログ記録されます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)」を参照してください。
このチュートリアルでは、最初の証跡を作成することを前提としています。 AWS アカウント内の証跡の数と、それらの証跡の設定方法によっては、次の手順で費用が発生する場合と発生しない場合があります。CloudTrail はログファイルを Amazon S3 バケットに格納します。これには料金が発生します。料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
**証跡を作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. **リージョン**セレクタで、証跡を作成する AWS リージョンを選択します。これは、証跡のホームリージョン です。
**注記**
作成後に証跡を更新 AWS リージョン できるのは、ホームリージョンだけです。
1. CloudTrail サービスのホームページ、[**証跡**] ページ、または [**ダッシュボード**] ページの [**証跡**] セクションで、[**証跡の作成**] を選択します。
1. **[証跡名]** で、証跡に *management-events* などの名前を付けます。追跡の目的をすぐに識別できる名前を使用するのがベストプラクティスです。この例では、管理イベントをログに記録する追跡を作成しています。
1. **[組織内のすべてのアカウントで有効化]** は、デフォルト設定のままにします。このオプションは、Organizations でアカウントを設定しない限り、変更できません。
1. [**ストレージの場所**] で、[**新しい S3 バケットを作成する**] を選択すると、新しいバケットが作成されます。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。識別しやすい名前をバケットに付けます。
ログを見つけやすくするために、新しいフォルダ (*プレフィックス*とも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。
**注記**
Amazon S3 バケットの名前はグローバルで一意であることが必要です。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[バケットの名前付け](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)」を参照してください。
1. [**ログファイル SSE-KMS 暗号化**] を無効にするには、このチェックボックスをオフにします。デフォルトでは、SSE-S3 の暗号化を使用して、ログファイルが暗号化されます。この設定の詳細については、「[Using server-side encryption with Amazon S3 managed keys (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。
1. [**Additional settings**] はデフォルト設定のままにします。
1. **[CloudWatch ログ]** のデフォルト設定はそののままにします。ここでは、Amazon CloudWatch Logs にログを送信しないでください。
1. (オプション) **[タグ]** セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグは、CloudTrail ログファイルを含む Amazon S3 バケットなど、CloudTrail 証跡やその他のリソースを識別するのに役立ちます。例えば、**Compliance** という名前の **Auditing** という値のタグをアタッチできます。
**注記**
CloudTrail コンソールで証跡を作成するときにタグを追加でき、Amazon S3 バケットを作成して CloudTrail コンソールにログファイルを保存できますが、CloudTrail コンソールから Amazon S3 バケットにタグを追加することはできません。バケットへのタグの追加など、Amazon S3 バケットのプロパティの表示と変更の詳細については、「[https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)」を参照してください。
タグの作成が完了したら、[**Next**] をクリックします。
1. [**Choose log events**] ページで、ログに記録するイベントタイプを選択します。この証跡では、[**管理イベント**] はそのままにしておきます。[**管理イベント**] 領域で、[**読み取り**] および [**書き込み**] イベントの両方をログに記録することをまだ選択していない場合は、選択します。**Exclude AWS KMS events** と **Exclude Amazon RDS Data API events** のチェックボックスを空のままにして、すべての管理イベントをログに記録します。
![\[[証跡の作成] ページ、[イベントタイプ] の設定\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. **[データイベント]**、**[Insights イベント]**、**[ネットワークアクティビティイベント]** 設定はデフォルトのままにしておきます。この証跡は、データイベント、Insights イベント、ネットワークアクティビティイベントを記録しません。[**次へ**] を選択します。
1. [**確認と作成**] ページで、詳細用に選択した設定を確認します。戻って変更するには、セクションの [**Edit**] を選クリックします。証跡を作成する準備ができたら、[**Create trail**] を選択します。
1. [**証跡**] ページには、新しい証跡がテーブルに表示されます。トレイルは**マルチリージョン証跡**に設定され、ログ記録はデフォルトで有効になっています。
![\[[証跡の作成] ページ、[イベントタイプ] の設定\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
証跡の詳細については、「[CloudTrail 証跡の使用](cloudtrail-trails.md)」を参照してください。
# ログファイルの表示
最初の証跡を作成してから平均で約 5 分以内に、CloudTrail は最初のログファイルのセットを証跡の Amazon S3 バケットに配信します。これらのファイルを確認して、含まれる情報についての情報取得などを行えます。
**注記**
CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
**ログファイルの表示**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインで、**[Trails]** (追跡) を選択します。**[証跡]** ページで、先ほど作成した証跡の名前を探します (例では、*management-events*)。
1. 証跡の行で、S3 バケットの値を選択します。
1. Amazon S3 コンソールが開き、バケット `CloudTrail-Digest` と `CloudTrail` の 2 つのフォルダが表示されます。**[CloudTrail]** フォルダを選択してログファイルを表示します。
1. マルチリージョン証跡を作成した場合は、それぞれにフォルダがあります AWS リージョン。ログファイルを確認する AWS リージョン のフォルダを選択します。例えば、米国東部 (オハイオ) リージョンのログファイルを確認する場合は、[**us-east-2**] を選択します。
![\[AWS リージョンのログファイルの構造を表示する、証跡の Amazon S3 バケット\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. バケットフォルダ構造を、そのリージョンのアクティビティのログを確認する年、月、日に移動します その日には、多数のファイルがあります。ファイルの名前は AWS アカウント ID で始まり、拡張子 で終わります`.gz`。例えば、アカウント ID が *123456789012* の場合、ファイル名は *123456789012*\$1CloudTrail\$1*us-east-2*\$1*20240512T0000Z\$1EXAMPLE*.json.gz のようになります。
これらのファイルを表示するには、ダウンロードして、解凍し、プレーンテキストエディタか JSON ビューアーで表示します。ブラウザによっては、.gz および JSON ファイルを直接表示することもできます。CloudTrail ログファイルの情報の解析が容易になるため、JSON ビューアーを使用することをお勧めします。