翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した Amazon EventBridge API コールのログ記録 AWS CloudTrail
Amazon EventBridge は、ユーザーAWS CloudTrail、ロール、または によって実行されたアクションを記録するサービスである と統合されています AWS のサービス。CloudTrail は、 のすべての API コールをイベント EventBridge としてキャプチャします。キャプチャされた呼び出しには、 EventBridge コンソールからの呼び出しと EventBridge API オペレーションへのコード呼び出しが含まれます。CloudTrail によって収集された情報を使用して、リクエストの実行元の IP アドレス EventBridge、リクエストの実行日時などの詳細を確認できます。
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
-
ルートユーザーまたはユーザー認証情報のどちらを使用してリクエストが送信されたか。
-
リクエストが IAM Identity Center ユーザーに代わって行われたかどうか。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが、別の AWS のサービスによって送信されたかどうか。
CloudTrail は、アカウントを作成する AWS アカウント と でアクティブになり、CloudTrail イベント履歴に自動的にアクセスできます。CloudTrail の [イベント履歴] では、 AWS リージョンで過去 90 日間に記録された管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail イベント履歴の使用」を参照してください。[イベント履歴] の閲覧には CloudTrail の料金はかかりません。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または CloudTrail Lake イベントデータストアを作成します。
- CloudTrail 証跡
-
証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。を使用して作成されたすべての証跡 AWS マネジメントコンソール はマルチリージョンです。 AWS CLIを使用する際は、単一リージョンまたは複数リージョンの証跡を作成できます。アカウント AWS リージョン 内のすべての でアクティビティをキャプチャするため、マルチリージョン証跡を作成することをお勧めします。単一リージョンの証跡を作成する場合、証跡の AWS リージョンに記録されたイベントのみを表示できます。証跡の詳細については、「AWS CloudTrail ユーザーガイド」の「AWS アカウントの証跡の作成」および「組織の証跡の作成」を参照してください。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から Amazon S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金 」を参照してください。 - CloudTrail Lake イベントデータストア
-
[CloudTrail Lake] を使用すると、イベントに対して SQL ベースのクエリを実行できます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントは、イベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基づいた、イベントのイミュータブルなコレクションです。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。CloudTrail Lake の詳細については、 AWS CloudTrail ユーザーガイドのAWS CloudTrail 「Lake の使用」を参照してください。 CloudTrail Lake のイベントデータストアとクエリにはコストがかかります。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
」を参照してください。
EventBridge CloudTrail の管理イベント
管理イベントは、 のリソースで実行される管理オペレーションに関する情報を提供します AWS アカウント。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベントをログ記録します。
PutEvents および を除くすべての Amazon EventBridge API オペレーションPutPartnerEventsは、コントロールプレーンオペレーションです。詳細なリストについては、 Amazon EventBridge API リファレンスの「アクション」を参照してください。管理イベントの例については、「」を参照してくださいEventBridge 管理イベントの例。
EventBridge CloudTrail のデータイベント
データイベントは、リソース上またはリソース内で実行されるリソースオペレーション (イベントバスへのイベントの発行など) に関する情報を提供します。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。デフォルトでは、CloudTrail はデータイベントをログ記録しません。CloudTrail [イベント履歴] にはデータイベントは記録されません。
追加の変更がイベントデータに適用されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
CloudTrail コンソール、または CloudTrail CloudTrail API オペレーションを使用して AWS CLI、 EventBridge リソースタイプのデータイベントを記録できます。データイベントをログに記録する方法の詳細については、「AWS CloudTrail ユーザーガイド」の「AWS マネジメントコンソールを使用したデータイベントのログ記録」および「AWS Command Line Interfaceを使用したデータイベントのログ記録」を参照してください。
次の表に、データイベントを記録できる EventBridge リソースタイプを示します。リソースタイプ (コンソール) 列には、CloudTrail コンソールの [リソースタイプ] リストから選択する値が表示されます。resources.type 値列には、 AWS CLI または CloudTrail APIs を使用して高度なイベントセレクタを設定するときに指定する resources.type値が表示されます。CloudTrail に記録されたデータ API 列には、リソースタイプの CloudTrail にログ記録された API コールが表示されます。
| リソースタイプ (コンソール) | resources.type 値 | CloudTrail にログ記録されたデータ API |
|---|---|---|
| EventBridge イベントバス |
AWS::Events::EventBus
|
|
| EventBridge パートナーイベントソース |
AWS::Events::EventSource
|
|
| EventBridge エンドポイント |
AWS::Events::Endpoint
|
|
eventName、readOnly、および resources.ARN フィールドでフィルタリングして、自分にとって重要なイベントのみをログに記録するように高度なイベントセレクタを設定できます。オブジェクトの詳細については、「AWS CloudTrail API リファレンス」の「AdvancedFieldSelector」を参照してください。
注記
イベントエントリの detailフィールドは、機密データを保護するために CloudTrail データイベントログで編集されます。
データイベント配信
注記
CloudTrail は、 API を呼び出し AWS アカウント た にのみデータイベントを送信します。
PutEvents
クロスアカウントPutEventsコール
リソースポリシーを介してアクセス許可を付与したアカウントがバスPutEventsを呼び出すと、呼び出し元のアカウントのみが CloudTrail データイベントを受け取ります。アカウント (バス所有者) は を行いません。
Bus-to-bus転送
bus-to-bus転送シナリオには、最大 4 つのアカウントを含めることができます。次の表は、CloudTrail データイベントを受信するアカウントを示しています。
| アカウントロール | CloudTrail データイベントを受信します |
|---|---|
最初に を呼び出したアカウント PutEvents (送信者) |
はい、常に。 |
| ソースバスを所有するアカウント (ソースバス所有者) | いいえ。 |
| ルールを所有するアカウントとルールターゲットの IAM ロール (ルール所有者) |
はい。ただし、クロスリージョン転送のみ。クロスリージョン転送の場合、EventBridge はルールターゲットの IAM ロールを使用して送信先リージョン |
| 送信先バスを所有するアカウント (送信先バス所有者) | いいえ。 |
注記
クロスリージョン転送の場合、元のPutEvents呼び出しと転送PutEvents呼び出しは、それぞれのリージョンで個別の CloudTrail データイベントとして記録されます。両方をキャプチャするには、CloudTrail が両方のリージョンのデータイベントをログ記録するように設定されていることを確認します。
イベントレプリケーションを使用したグローバルエンドポイント
イベントレプリケーションを有効にしたグローバルエンドポイントを使用すると、EventBridge は、イベントをクロスリージョンでセカンダリバスに転送するマネージドルールを作成します。これはクロスリージョンbus-to-bus転送シナリオであるため、上記の表と同じルールが適用されます。
-
プライマリリージョン: EventBridge は元の
PutEvents呼び出しのデータイベントを生成します。イベントには、イベントバス ARN とエンドポイントリソース ARN の両方が含まれます。 -
セカンダリリージョン: マネージドルールとイベントのレプリケートに使用される IAM ロールを所有しているため、アカウントはレプリケーション
PutEvents呼び出しのデータイベントを受け取ります。イベントには、イベントバス ARN のみが含まれます。エンドポイントリソース ARN は含まれません。
PutPartnerEvents
SaaS パートナーから受信したイベント
SaaS パートナーがバスにイベントを送信すると、アカウントは PutPartnerEvents CloudTrail データイベントを受信しません。SaaS パートナーのアカウントのみがデータイベントを受け取ります。
SaaS パートナーとしてカスタマーバスに送信されるイベント
SaaS パートナーとして顧客のイベントバスにイベントを送信すると、アカウントは PutPartnerEvents CloudTrail データイベントを受け取ります。イベントには、イベントソース ARN のみがリソースとして含まれます。顧客のイベントバス ARN は含まれません。
CloudTrail に EventBridge ログ記録されるデータイベントの例については、「」を参照してくださいEventBridge データイベントの例。
EventBridge 管理イベントの例
各イベントは任意の送信元からの単一のリクエストを表し、リクエストされた API オペレーション、オペレーションの日時、リクエストパラメータなどに関する情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
次の例は、PutRule オペレーションを示す CloudTrail イベントを示しています。
{ "eventVersion":"1.03", "userIdentity":{ "type":"Root", "principalId":"123456789012", "arn":"arn:aws:iam::123456789012:root", "accountId":"123456789012", "accessKeyId":"AKIAIOSFODNN7EXAMPLE", "sessionContext":{ "attributes":{ "mfaAuthenticated":"false", "creationDate":"2015-11-17T23:56:15Z" } } }, "eventTime":"2015-11-18T00:11:28Z", "eventSource":"events.amazonaws.com", "eventName":"PutRule", "awsRegion":"us-east-1", "sourceIPAddress":"AWS Internal", "userAgent":"AWS CloudWatch Console", "requestParameters":{ "description":"", "name":"cttest2", "state":"ENABLED", "eventPattern":"{\"source\":[\"aws.ec2\"],\"detail-type\":[\"EC2 Instance State-change Notification\"]}", "scheduleExpression":"" }, "responseElements":{ "ruleArn":"arn:aws:events:us-east-1:123456789012:rule/cttest2" }, "requestID":"e9caf887-8d88-11e5-a331-3332aa445952", "eventID":"49d14f36-6450-44a5-a501-b0fdcdfaeb98", "eventType":"AwsApiCall", "apiVersion":"2015-10-07", "recipientAccountId":"123456789012" }
CloudTrail レコードの内容については、「AWS CloudTrail ユーザーガイド」の「CloudTrail record contents」を参照してください。
EventBridge データイベントの例
次の例は、正常なPutEvents呼び出しの CloudTrail データイベントを示しています。
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROA3XFRBF23EXAMPLE:johndoe-session", "arn": "arn:aws:sts::111122223333:assumed-role/MyRole/johndoe-session", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA3XFRBF23EXAMPLE", "arn": "arn:aws:iam::111122223333:role/MyRole", "accountId": "111122223333", "userName": "MyRole" }, "attributes": { "creationDate": "2026-03-07T00:49:09Z", "mfaAuthenticated": "false" } } }, "eventTime": "2026-03-07T00:51:07Z", "eventSource": "events.amazonaws.com", "eventName": "PutEvents", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.1", "userAgent": "aws-cli/2.33.13", "requestParameters": { "entries": [ { "source": "my-application", "detailType": "MyDetailType", "detail": "HIDDEN_DUE_TO_SECURITY_REASONS", "eventBusName": "default" } ] }, "responseElements": { "failedEntryCount": 0, "entries": [ { "eventId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ] }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "readOnly": false, "resources": [ { "type": "AWS::Events::EventBus", "ARN": "arn:aws:events:us-east-1:111122223333:event-bus/default" } ], "eventType": "AwsApiCall", "apiVersion": "2015-10-07", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "events.us-east-1.amazonaws.com" } }
次の例は、グローバルエンドポイントを使用したPutEvents呼び出しの CloudTrail データイベントを示しています。resources 配列内の追加のAWS::Events::Endpointリソースを書き留めます。
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROA3XFRBF23EXAMPLE:johndoe-session", "arn": "arn:aws:sts::111122223333:assumed-role/MyRole/johndoe-session", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA3XFRBF23EXAMPLE", "arn": "arn:aws:iam::111122223333:role/MyRole", "accountId": "111122223333", "userName": "MyRole" }, "attributes": { "creationDate": "2026-03-07T00:49:09Z", "mfaAuthenticated": "false" } } }, "eventTime": "2026-03-07T00:51:06Z", "eventSource": "events.amazonaws.com", "eventName": "PutEvents", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.1", "userAgent": "aws-cli/2.33.13", "requestParameters": { "entries": [ { "source": "my-application", "detailType": "MyDetailType", "detail": "HIDDEN_DUE_TO_SECURITY_REASONS", "eventBusName": "default" } ], "endpointId": "abc1234567.us-east-1" }, "responseElements": { "failedEntryCount": 0, "entries": [ { "eventId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444" } ] }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE55555", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE66666", "readOnly": false, "resources": [ { "type": "AWS::Events::EventBus", "ARN": "arn:aws:events:us-east-1:111122223333:event-bus/default" }, { "type": "AWS::Events::Endpoint", "ARN": "arn:aws:events:us-east-1:111122223333:endpoint/MyGlobalEndpoint" } ], "eventType": "AwsApiCall", "apiVersion": "2015-10-07", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "abc1234567.us-east-1.endpoint.events.amazonaws.com" } }
次の例は、正常なPutPartnerEvents呼び出しの CloudTrail データイベントを示しています。
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROA3XFRBF23EXAMPLE:partner-session", "arn": "arn:aws:sts::111122223333:assumed-role/PartnerRole/partner-session", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA3XFRBF23EXAMPLE", "arn": "arn:aws:iam::111122223333:role/PartnerRole", "accountId": "111122223333", "userName": "PartnerRole" }, "attributes": { "creationDate": "2026-03-07T00:49:09Z", "mfaAuthenticated": "false" } } }, "eventTime": "2026-03-07T00:51:07Z", "eventSource": "events.amazonaws.com", "eventName": "PutPartnerEvents", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.1", "userAgent": "aws-cli/2.33.13", "requestParameters": { "entries": [ { "time": "Mar 7, 2026, 12:51:07 AM", "source": "aws.partner/example.com/my-integration", "detailType": "MyDetailType", "detail": "HIDDEN_DUE_TO_SECURITY_REASONS" } ] }, "responseElements": { "failedEntryCount": 0, "entries": [ { "eventId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE77777" } ] }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE88888", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE99999", "readOnly": false, "resources": [ { "type": "AWS::Events::EventSource", "ARN": "arn:aws:events:us-east-1::event-source/aws.partner/example.com/my-integration" } ], "eventType": "AwsApiCall", "apiVersion": "2015-10-07", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "events.us-east-1.amazonaws.com" } }
EventBridge Pipes によって実行されたアクションの CloudTrail ログエントリ
EventBridge Pipes は、ソースからイベントを読み込んだり、エンリッチメントを呼び出したり、ターゲットを呼び出したりするときに、指定された IAM ロールを引き継ぎます。すべてのエンリッチメント、ターゲット、Amazon SQS、Kinesis、DynamoDB ソースのアカウントで実行されたアクションに関連する CloudTrail エントリの場合、sourceIPAddress および invokedBy のフィールドには pipes.amazonaws.com が含まれます。
すべてのエンリッチメント、ターゲット、Amazon SQS、Kinesis、DynamoDB ソースの CloudTrail ログエントリのサンプル
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "...", "arn": "arn:aws:sts::111222333444:assumed-role/...", "accountId": "111222333444", "accessKeyId": "...", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "...", "arn": "...", "accountId": "111222333444", "userName": "userName" }, "webIdFederationData": {}, "attributes": { "creationDate": "2022-09-22T21:41:15Z", "mfaAuthenticated": "false" } }, "invokedBy": "pipes.amazonaws.com" }, "eventTime": ",,,", "eventName": "...", "awsRegion": "us-west-2", "sourceIPAddress": "pipes.amazonaws.com", "userAgent": "pipes.amazonaws.com", "requestParameters": { ... }, "responseElements": null, "requestID": "...", "eventID": "...", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "...", "eventCategory": "Management" }
それ以外のソースについては、CloudTrail ログエントリの sourceIPAddress フィールドには動的な IP アドレスが割り当てられるため、統合やイベントの分類には使用できません。また、これらのエントリには invokedBy フィールドがありません。
その他すべてのソースの CloudTrail ログエントリのサンプル
{ "eventVersion": "1.08", "userIdentity": { ... }, "eventTime": ",,,", "eventName": "...", "awsRegion": "us-west-2", "sourceIPAddress": "127.0.0.1", "userAgent": "Python-httplib2/0.8 (gzip)", }
