AWS Support による AWS CloudTrail API コールのログ記録 - AWS Support
CloudTrail での AWS Support 情報CloudTrail ログの AWS Trusted Advisor 情報AWS Support ログファイルエントリの理解

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Support による AWS CloudTrail API コールのログ記録

AWS Support は AWS CloudTrail と統合されています。このサービスは、ユーザーやロール、または AWS の AWS Support のサービスによって実行されたアクションを記録するサービスです。CloudTrail は、AWS Support の API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、AWS Support コンソールの呼び出しと、AWS Support API オペレーションへのコード呼び出しが含まれます。

追跡を作成すると、AWS Supportのイベントを始めとする CloudTrail イベントを Amazon Simple Storage Service (Amazon S3) バケットに継続的に配信できるようになります。追跡を設定しない場合でも、Event history (イベント履歴)の CloudTrail コンソール で最新のイベントを表示できます。

CloudTrail で収集された情報を使用して、AWS Support に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

設定や有効化の方法など、CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。

CloudTrail での AWS Support 情報

CloudTrail は、アカウントを作成すると AWS アカウントで有効になります。サポートされているイベントアクティビティが AWS Support で発生すると、そのアクティビティは [Event history] (イベント履歴) の他の AWS のサービスのイベントとともに、CloudTrail イベントにレコードされます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」をご参照ください。

AWS アカウントのイベント (AWS Support のイベントなど) を継続的に記録するには、証跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべての AWS リージョンに適用されます。追跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。

すべての AWS Support API オペレーションは CloudTrail によってログに記録されます。オペレーションの詳細については、AWS Support API リファレンスを参照してください。

例えば、CreateCaseDescribeCases、および ResolveCase オペレーションへの呼び出しによって CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。

  • リクエストが、ルート認証情報と AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか。

  • リクエストがロールまたはフェデレーティッドユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが、別の AWS のサービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

また、複数の AWS リージョンと複数の AWS アカウントの AWS Support ログファイルを 1 つの Amazon S3 バケットに集約することもできます。

CloudTrail ログの AWS Trusted Advisor 情報

Trusted Advisor は、コストの削減、セキュリティの向上、およびアカウントの最適化を行うために AWS アカウントをチェックするために使用できる AWS Supportサービスです。

すべての Trusted Advisor API オペレーションは CloudTrail によってログに記録されます。オペレーションの詳細については、AWS Support API リファレンスを参照してください。

例えば、DescribeTrustedAdvisorCheckRefreshStatusesDescribeTrustedAdvisorCheckResult、および RefreshTrustedAdvisorCheck オペレーションへの呼び出しによって CloudTrail ログファイルにエントリが生成されます。

注記

CloudTrail は、Trusted Advisor コンソールアクションもログに記録します。「を使用した AWS Trusted Advisor コンソールアクションのログ記録 AWS CloudTrail」を参照してください。

AWS Support ログファイルエントリの理解

追跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベント は、任意の送信元からの単一の要求を表します。これには、リクエストされたオペレーション、オペレーションの日時、リクエストパラメーターなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

例 : CreateCase のログエントリ

次の例は、CreateCase オペレーションの CloudTrail ログエントリを示しています。

{
   "Records": [
      {
         "eventVersion": "1.04",
         "userIdentity": {
            "type": "IAMUser",
            "principalId": "AIDACKCEVSQ6C2EXAMPLE",
            "arn": "arn:aws:iam::111122223333:user/janedoe",
            "accountId": "111122223333",
            "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "userName": "janedoe",
            "sessionContext": {
               "attributes": {
                  "mfaAuthenticated": "false",
                  "creationDate": "2016-04-13T17:51:37Z"
               }
            },
            "invokedBy": "signin.amazonaws.com"
         },
         "eventTime": "2016-04-13T18:05:53Z",
         "eventSource": "support.amazonaws.com",
         "eventName": "CreateCase",
         "awsRegion": "us-east-1",
         "sourceIPAddress": "198.51.100.15",
         "userAgent": "signin.amazonaws.com",
         "requestParameters": {
            "severityCode": "low",
            "categoryCode": "other",
            "language": "en",
            "serviceCode": "support-api",
            "issueType": "technical"
         },
         "responseElements": {
            "caseId": "case-111122223333-muen-2016-c3f2077e504940f2"
         },
         "requestID": "58c257ef-01a2-11e6-be2a-01c031063738",
         "eventID": "5aa34bfc-ad5b-4fb1-8a55-2277c86e746a",
         "eventType": "AwsApiCall",
         "recipientAccountId": "111122223333"
      }
   ],
   ...
}
例 : RefreshTrustedAdvisorCheck のログエントリ

次の例は、RefreshTrustedAdvisorCheck オペレーションの CloudTrail ログエントリを示しています。

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/Admin",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Admin"
    },
    "eventTime": "2020-10-21T16:34:13Z",
    "eventSource": "support.amazonaws.com",
    "eventName": "RefreshTrustedAdvisorCheck",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "72.21.198.67",
    "userAgent": "signin.amazonaws.com",
    "requestParameters": {
        "checkId": "Pfx0RwqBli"
    },
    "responseElements": null,
    "requestID": "4c4d5fc8-c403-4f82-9544-41f820e0fa01",
    "eventID": "2f4630ac-5c27-4f0d-b93f-63742d6fc85e",
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}