**このページの改善にご協力ください** 

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。

# API コールを AWS CloudTrail イベントとしてログします。
<a name="logging-using-cloudtrail"></a>

Amazon EKS は AWS CloudTrail と統合します。CloudTrail は、Amazon EKS のユーザー、ロール、または AWS サービスによるアクションを記録するサービスです。CloudTrail は、Amazon EKS へのすべての API コールをイベントとしてキャプチャします。これには、Amazon EKS コンソールからの呼び出しと、Amazon EKS API オペレーションへのコード呼び出しが含まれます。

証跡を作成する場合は、 のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます これには、Amazon EKS のイベントが含まれます。追跡を設定しない場合でも、CloudTrail コンソールの**イベント履歴**で最新のイベントを表示できます。CloudTrail で収集された情報に基づいて、リクエストに関する詳細を確認できます。例えば、Amazon EKS に対するリクエストの日時や、リクエスト元の IP アドレス、リクエストの実行者を確認できます。

CloudTrail に関する詳細は、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)を参照してください。

**Topics**
+ [AWS CloudTrail に役立つリファレンスを表示する](service-name-info-in-cloudtrail.md)
+ [AWS CloudTrail ログファイルエントリを分析する](understanding-service-name-entries.md)
+ [Amazon EC2 Auto Scaling グループのメトリクスを表示する](enable-asg-metrics.md)

# AWS CloudTrail に役立つリファレンスを表示する
<a name="service-name-info-in-cloudtrail"></a>

AWS アカウントを作成すると、AWS アカウントで CloudTrail も有効になります。Amazon EKS でイベントアクティビティが発生すると、そのアクティビティは **[Event history]** (イベント履歴) で他の AWS サービスのイベントとともに CloudTrail イベントに記録されます。最近のイベントは、AWSアカウントで表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。

Amazon EKS のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。*証跡*により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての AWS リージョンに証跡が適用されます。追跡では、AWS パーティション内のすべての AWS リージョンからのイベントをログに記録し、指定した Simple Storage Service (Amazon S3)バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するようにその他の AWS サービスを設定できます。詳細については、以下のリソースを参照してください。
+  [証跡作成の概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) 
+  「[CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)」 
+  「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)」 
+  「[複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)」および「[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)」 

すべての Amazon EKS アクションは、CloudTrail により記録され、[Amazon EKS API リファレンス](https://docs.aws.amazon.com/eks/latest/APIReference/)で文書化されます。例えば、[CreateCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html)、[ListClusters](https://docs.aws.amazon.com/eks/latest/APIReference/API_ListClusters.html) および [DeleteCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_DeleteCluster.html) の各セクションを呼び出すと、 CloudTrail ログファイルにエントリが生成されます。

すべてのイベントまたはログエントリには、リクエストを行った IAM アイデンティティのタイプとどの認証情報が使用されたかに関する詳細が含まれます。一時的認証情報が使用された場合、エレメントは、認証情報がどのように取得されたかを示します。

詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。

# AWS CloudTrail ログファイルエントリを分析する
<a name="understanding-service-name-entries"></a>

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルには、ログエントリが 1 つ以上あります。イベントでは、あらゆるソースからの単一のリクエストが示され、リクエストされたアクションに関する情報が含まれています。これには、アクションの日時、使用されたリクエストパラメータなどの情報が含まれます。CloudTrail ログファイルは、公開 API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、[https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html) アクションを示す CloudTrail ログエントリです。

```
{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AKIAIOSFODNN7EXAMPLE",
    "arn": "arn:aws:iam::111122223333:user/username",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "username"
  },
  "eventTime": "2018-05-28T19:16:43Z",
  "eventSource": "eks.amazonaws.com",
  "eventName": "CreateCluster",
  "awsRegion": "region-code",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/6.4.0",
  "requestParameters": {
    "resourcesVpcConfig": {
      "subnetIds": [
        "subnet-a670c2df",
        "subnet-4f8c5004"
      ]
    },
    "roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
    "clusterName": "test"
  },
  "responseElements": {
    "cluster": {
      "clusterName": "test",
      "status": "CREATING",
      "createdAt": 1527535003.208,
      "certificateAuthority": {},
      "arn": "arn:aws:eks:region-code:111122223333:cluster/test",
      "roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
      "version": "1.10",
      "resourcesVpcConfig": {
        "securityGroupIds": [],
        "vpcId": "vpc-21277358",
        "subnetIds": [
          "subnet-a670c2df",
          "subnet-4f8c5004"
        ]
      }
    }
  },
  "requestID": "a7a0735d-62ab-11e8-9f79-81ce5b2b7d37",
  "eventID": "eab22523-174a-499c-9dd6-91e7be3ff8e3",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

## Amazon EKS サービスにリンクされたロールのログエントリ
<a name="eks-service-linked-role-ct"></a>

Amazon EKS サービスにリンクされたロールは、AWS リソースへの API コールを行います。Amazon EKS サービスにリンクされたロールによって行われた呼び出しには、CloudTrail ログエントリが `username: AWSServiceRoleForAmazonEKS` と `username: AWSServiceRoleForAmazonEKSNodegroup` で表示されます。Amazon EKS およびサービスにリンクされたロールの詳細については、「[Amazon EKS でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

次の例では、`sessionContext` に記録され、`AWSServiceRoleForAmazonEKSNodegroup` サービスにリンクされたロールによって行われた [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html) アクションを示す CloudTrail ログエントリが示されています。

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA3WHGPEZ7SJ2CW55C5:EKS",
        "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAmazonEKSNodegroup/EKS",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA3WHGPEZ7SJ2CW55C5",
                "arn": "arn:aws:iam::111122223333:role/aws-service-role/eks-nodegroup.amazonaws.com/AWSServiceRoleForAmazonEKSNodegroup",
                "accountId": "111122223333",
                "userName": "AWSServiceRoleForAmazonEKSNodegroup"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2020-02-26T00:56:33Z"
            }
        },
        "invokedBy": "eks-nodegroup.amazonaws.com"
    },
    "eventTime": "2020-02-26T00:56:34Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "DeleteInstanceProfile",
    "awsRegion": "region-code",
    "sourceIPAddress": "eks-nodegroup.amazonaws.com",
    "userAgent": "eks-nodegroup.amazonaws.com",
    "requestParameters": {
        "instanceProfileName": "eks-11111111-2222-3333-4444-abcdef123456"
    },
    "responseElements": null,
    "requestID": "11111111-2222-3333-4444-abcdef123456",
    "eventID": "11111111-2222-3333-4444-abcdef123456",
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

# Amazon EC2 Auto Scaling グループのメトリクスを表示する
<a name="enable-asg-metrics"></a>

Amazon EKS マネージドノードグループでは、Amazon EC2 Auto Scaling グループのメトリクスがデフォルトで有効になっており、追加料金はかかりません。Auto Scaling グループは、サンプリングされたデータを毎分 Amazon CloudWatch に送信します。これらのメトリクスは、Auto Scaling グループの名前で絞り込むことができます。これらにより、時間の経過に伴うグループのサイズの変化など、マネージドノードグループで使用する Auto Scaling グループの履歴を継続的に把握できます。Auto Scaling グループのメトリクスは、[Amazon CloudWatch](https://aws.amazon.com/cloudwatch) または Auto Scaling コンソールで使用できます。詳細については、「[Monitor CloudWatch metrics for your Auto Scaling groups and instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)」を参照してください。

Auto Scaling グループのメトリクス収集を使用することで、マネージドノードグループのスケーリングをモニタリングできます。Auto Scaling グループのメトリクスは、Auto Scaling グループの最小サイズ、最大サイズ、および必要なサイズを報告します。ノードグループ内のノード数が最小サイズを下回った場合にアラームを作成できます。これは、ノードグループに異常があることを示しています。ノードグループサイズを追跡することは、データプレーンの容量が不足しないように最大数を調整する場合にも役立ちます。

これらのメトリクスを収集しない場合は、全部または一部のメトリクスのみを無効にすることを選択できます。例えば、これを実行して、CloudWatch ダッシュボードのノイズを避けることができます。詳細については、「[Amazon CloudWatch metrics for Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)」を参照してください。