ファイルアクセスの監査 - Amazon FSx for Windows File Server
監査イベントログの宛先監査コントロールの移行イベントログの表示

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルアクセスの監査

Amazon FSx for Windows File Server は、ファイル、フォルダ、およびファイル共有へのエンドユーザーアクセスの監査をサポートしています。ファイルシステムの監査イベントログを、豊富な機能を提供する他の AWS サービスに送信することを選択できます。これには、クエリ、処理、ログの保存とアーカイブの有効化、通知の発行、セキュリティとコンプライアンスの目標をさらに進めるアクションのトリガーが含まれます。

ファイルアクセス監査を使用してアクセスパターンを把握し、エンドユーザーのアクティビティに関するセキュリティ通知を実装する方法の詳細については、「File storage access patterns insights」と「Implementing security notifications for end user activity」を参照してください。

ファイルアクセス監査を使用すると、ユーザーが定義した監査管理に基づいて、個々のファイル、フォルダ、およびファイル共有のエンドユーザーアクセスをレコードできます。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。既存のファイルデータに監査コントロールがすでに設定されている場合は、ファイルアクセス監査を利用して新しい Amazon FSx for Windows File Server のファイルシステムを作成したり、データを移行することができます。

Amazon FSx は、ファイル、フォルダ、およびファイル共有アクセスに対して次の Windows 監査イベントをサポートしています。

  • ファイルアクセスに関しては、次がサポートされます: すべて、フォルダのスキャン / ファイルの実行、フォルダ一覧 / データの読み取り、属性の読み取り、ファイルの作成 / データの書き込み、フォルダの作成 / データの追加、属性の書き込み、サブフォルダとファイルの削除、削除、許可の読み取り、許可の変更、および所有権の取得。

  • ファイル共有アクセスに関しては、次がサポートされます: ファイル共有に接続。

Amazon FSx は、ファイル、フォルダー、およびファイル共有へのアクセス全体で、成功した試行 (ファイルまたはファイル共有に正常にアクセスするための十分なアクセス許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートします。

アクセス監査をファイルとフォルダでのみ行うか、ファイル共有のみ、またはその両方で行うかを設定できます。ログに記録するアクセスの種類 (成功した試行のみ、失敗した試行のみ、またはその両方) を設定することもできます。また、ファイルアクセス監査はいつでも無効にできます。

注記

ファイルアクセス監査では、エンドユーザーアクセスデータは、有効になってからのみ記録されます。つまり、ファイルアクセスの監査では、ファイルアクセスの監査が有効化される前に発生したエンドユーザーのファイル、フォルダ、ファイル共有アクセスアクティビティの監査イベントログは生成されません。

サポートされるアクセス監査イベントの最大レートは、1 秒あたり 5,000 イベントです。アクセス監査イベントは、ファイルの読み取りおよび書き込みオペレーションごとに生成されるのではなく、ユーザーがファイルを作成したり、開いたり、削除したときなどの、ファイルメタデータオペレーションごとに 1 回生成されます。

トピック

監査イベントログの宛先

ファイルアクセス監査を有効にするときは、Amazon FSx が監査イベントログを送信する AWS サービスを設定する必要があります。監査イベントログは、Logs ロググループの Amazon CloudWatch CloudWatch Logs ログストリームまたは Amazon Data Firehose 配信ストリームのいずれかに送信できます。監査イベントログの送信先は、Amazon FSx for Windows File Server ファイルシステムを作成するとき、または既存のファイルシステムを更新した後いつでも選択します。詳細については、「ファイルアクセス監査の管理」を参照してください。

以下は、選択する監査イベントログの宛先を決定するのに役立つ推奨事項になります。

  • Amazon CloudWatch コンソールで監査イベントログを保存、表示、検索し、 CloudWatch Logs Insights を使用してログに対してクエリを実行し、 CloudWatch アラームまたは Lambda 関数をトリガーする場合は、 CloudWatch ログを選択します。

  • Amazon S3 のストレージ、Amazon Redshift のデータベース、Amazon OpenSearch Service、または詳細な分析のために AWS パートナーソリューション (Splunk や Datadog など) にイベントを継続的にストリーミングする場合は、Firehose を選択します。

デフォルトでは、Amazon FSx はアカウントでデフォルトの CloudWatch ロググループを作成し、監査イベントログの送信先として使用します。カスタム CloudWatch ロググループを使用するか、Firehose を監査イベントログの送信先として使用する場合は、監査イベントログの送信先の名前と場所の要件は次のとおりです。

  • CloudWatch Logs ロググループの名前は、 /aws/fsx/ プレフィックスで始まる必要があります。コンソールでファイルシステムを作成または更新するときに既存の CloudWatch Logs ロググループがない場合、Amazon FSx は Logs ログ/aws/fsx/windowsグループでデフォルトの CloudWatch ログストリームを作成して使用できます。デフォルトのロググループを使用しない場合は、コンソールでファイルシステムを作成または更新するときに、設定 UI で CloudWatch ログロググループを作成できます。

  • Firehose 配信ストリームの名前は、 aws-fsx-プレフィックスで始まる必要があります。既存の Firehose 配信ストリームがない場合は、コンソールでファイルシステムを作成または更新するときに作成できます。

  • Firehose 配信ストリームは、ソースDirect PUTとして を使用するように設定する必要があります。既存の Kinesis Data Stream を配信ストリームのデータソースとして使用することはできません。

  • 送信先 ( CloudWatch ログロググループまたは Firehose 配信ストリーム) は AWS リージョン、Amazon FSx ファイルシステム AWS アカウント と同じ AWS パーティションにある必要があります。

監査イベントログの送信先はいつでも変更できます ( CloudWatch ログから Firehose など)。これを実行すると、新しい監査イベントログは新たな宛先にのみ送信されます。

ベストエフォート監査イベントログ配信

通常、監査イベントログレコードは数分で送信先に配信されますが、時間がかかる場合があります。ごく稀に、監査イベントログレコードが失われることがあります。ユーザーのユースケースで特定のセマンティクスが必要になる場合 (例えば、監査イベントを必ず見逃さないなど)、ワークフローを設計する際に見逃したイベントを考慮することをお勧めします。ファイルシステム上のファイルおよびフォルダ構造をスキャンして、見逃したイベントを監査できます。

監査コントロールの移行

既存のファイルデータに監査コントロール (SACL) がすでに設定されている場合は、Amazon FSx ファイルシステムを作成し、データを新しいファイルシステムに移行できます。 AWS DataSync を使用して、データおよび関連する SACLsを Amazon FSx ファイルシステムに転送することをお勧めします。別の解決策として、Robocopy (ロバストファイルコピー) を使用できます。詳細については、「既存のファイルストレージを Amazon FSx に移行する」を参照してください。

イベントログの表示

Amazon FSx が監査イベントログの発行を開始した後、それらを表示できます。ログの表示場所と方法は、監査イベントログの宛先によって異なります。

  • CloudWatch コンソールに移動し、監査イベント CloudWatch ログの送信先のロググループとログストリームを選択すると、ログログを表示できます。詳細については、「Amazon Logs ユーザーガイド」の CloudWatch 「ログに送信されたログデータを表示する」を参照してください。 CloudWatch

    CloudWatch Logs Insights を使用して、ログデータをインタラクティブに検索および分析できます。詳細については、「Amazon Logs ユーザーガイド」の CloudWatch 「Logs Insights を使用したログデータの分析」を参照してください。 CloudWatch

    監査イベントログを Simple Storage Service (Amazon S3) にエクスポートすることもできます。詳細については、Amazon S3 へのログデータのエクスポート CloudWatch 」を参照してください。

  • Firehose で監査イベントログを表示することはできません。ただし、ログを読み取り可能な送信先に転送するように Firehose を設定できます。送信先にはAmazon S3、Amazon Redshift、Amazon OpenSearch Service、Splunk や Datadog などのパートナーソリューションが含まれます。詳細については、「Amazon Data Firehose デベロッパーガイド」の「送信先の選択」を参照してください。

監査イベントフィールド

このセクションでは、監査イベントログの情報と、監査イベントの例について説明します。

以下は Windows 監査イベントの顕著なフィールドについての説明になります。

  • EventID は、Microsoft 定義の Windows イベントのログイベント ID を指します。ファイルシステムイベント および ファイル共有イベント の情報については、Microsoft のドキュメントを参照してください。

  • SubjectUserName は、アクセスを実行するユーザーを指します。

  • ObjectName は、アクセスされたターゲットファイル、フォルダ、またはファイル共有を指します。

  • ShareName は、ファイル共有アクセス用に生成されるイベントで使用できます。例えば、EventID 5140 はネットワーク共有オブジェクトにアクセスしたときに生成されます。

  • IpAddress は、ファイル共有イベントのイベントを開始したクライアントを指します。

  • [Keywords] (キーワード) は、使用可能な場合に、ファイルアクセスが成功したか障害だったかを指します。成功したアクセスの場合、値は 0x8020000000000000 です。失敗したアクセスの場合、値は 0x8010000000000000 です。

  • TimeCreated SystemTime は、イベントがシステムで生成され、<YYYY-MM-DDThh :mm:ss.s>Z 形式で表示された時刻を指します。

  • コンピュータは、ファイルシステムの Windows リモート PowerShell エンドポイントの DNS 名を指し、ファイルシステムの識別に使用できます。

  • AccessMaskは、使用可能な場合、実行されるファイルアクセスのタイプ (例:) を指します ReadData WriteData。

  • AccessList は、オブジェクトへのリクエストまたはアクセス許可の付与を指します。詳細については、下記の表および Microsoft のドキュメント (「イベント 4556」など) を参照してください。

アクセスタイプ アクセスマスク

データまたはリストディレクトリの読み取り

0x1

%%4416

データの書き込みまたはファイルの追加

0x2

%%4417

データの付加またはサブディレクトリの追加

0x4

%%4418

拡張属性の読み取り

0x8

%%4419

拡張属性の書き込み

0x10

%%4420

実行 / トラバース

0x20

%%4421

子の削除

0x40

%%4422

属性の読み取り

0x80

%%4423

属性の書き込み

0x100

%%4424

削除

0x10000

%%1537

ACL の読み取り

0x20000

%%1538

ACL の書き込み

0x40000

%%1539

所有者の書き込み

0x80000

%%1540

同期

0x100000

%%1541

セキュリティ ACL にアクセスする

0x1000000

%%1542

以下は、実例を挙げたいくつかのキーイベントです。XML は読みやすさい形式にフォーマットされていることに注意してください。

イベント ID 4660 は、オブジェクトが削除されたときにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

イベント ID 4659 は、ファイルの削除リクエストでログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

イベント ID 4663 は、オブジェクトに対して特定の操作が実行されたときにログに記録されます。次の例はファイルからのデータの読み取りを示しており、これは AccessList %%4416 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

次の例はファイルからのデータの書き込み/付加を示しており、これは AccessList %%4417 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

イベント ID 4656 は、オブジェクトに対して特定のアクセスがリクエストされたことを示します。次の例では、読み取りリクエストが ObjectName 「permtest」に開始され、 のキーワード値に示されているように、失敗した試行でした0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

イベント ID 4670 は、オブジェクトの許可が変更された際にログに記録されます。次の例は、ユーザー「admin」が ObjectName 「permtest」のアクセス許可を変更して、SID「S-1-5-21-658495921-4185342820-3824891517-1113」にアクセス許可を追加したことを示しています。アクセス許可の解釈方法の詳細については、Microsoft のドキュメントを参照してください。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

イベント ID 5140 は、ファイル共有にアクセスするたびにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

イベント ID 5145 は、ファイル共有レベルでアクセスが拒否されたときにログに記録されます。次の例は、 ShareName 「demoshare01」へのアクセスが拒否されたことを示しています。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

CloudWatch Logs Insights を使用してログデータを検索する場合は、次の例に示すように、イベントフィールドでクエリを実行できます。

  • 特定のイベント ID をクエリするには。

    fields @message
   | filter @message like /4660/

  • 特定のファイル名と一致するすべてのイベントをクエリするには。

    fields @message
   | filter @message like /event.txt/

CloudWatch Logs Insights クエリ言語の詳細については、「Amazon Logs ユーザーガイド」の CloudWatch 「Logs Insights を使用したログデータの分析」を参照してください。 CloudWatch