CloudTrail のデータイベントと管理イベントの違いは何ですか。
AWS CloudTrail のデータイベントと管理イベントの違いについて教えてください。2 種類の CloudTrail イベントにはどのような違いがありますか。
解決方法
CloudTrail データイベント
CloudTrail データイベント (「データプレーンオペレーション」とも呼ばれる) は、AWS アカウントのリソースで、またはリソース内で実行されたリソースオペレーションを示します。これらのオペレーションは、多くの場合、ハイボリュームなアクティビティです。
データイベントの例
- Amazon Simple Storage Service (Amazon S3) のオブジェクトレベル API アクティビティ (GetObject、DeleteObject、PutObject API オペレーションなど)
- AWS Lambda 関数呼び出しアクティビティ (InvokeFunction API オペレーションなど)
- テーブルに対する Amazon DynamoDB オブジェクトレベルの API アクティビティ (PutItem、DeleteItem、UpdateItem API オペレーションなど)
データイベントの表示
デフォルトでは、証跡はデータイベントをログに記録せず、データイベントは CloudTrail イベント履歴に表示されません。データイベントログ記録を有効にするには、サポートされているリソースまたはリソースタイプを証跡に明示的に追加する必要があります。
データイベントログ記録を有効にする手順については、「証跡のデータイベントのログ記録」を参照してください。
データイベントを表示する手順については、「CloudTrail ログファイルの取得と表示」を参照してください。
注意: データイベントのログ記録には追加料金が適用されます。詳細については、AWS CloudTrail の料金を参照してください。
CloudTrail 管理イベント
CloudTrail 管理イベント (「コントロールプレーンオペレーション」とも呼ばれる) は、AWS アカウント内のリソースに対して実行される管理オペレーションを表示します。
管理イベントの例
- Amazon Simple Storage Service (Amazon S3) バケットの作成
- AWS Identity and Access Management (IAM) リソースの作成と管理
- デバイスの登録
- ルーティングテーブルルールの設定
- ロギングの設定
管理イベントの表示
デフォルトでは、証跡は AWS のサービス全体で管理イベントをログに記録し、無料で利用できます。CloudTrail イベント履歴または LookupEvents API を使用して、アカウントの管理イベントの最新の 90 日間の履歴を確認およびダウンロードできます。
詳細については、「証跡の管理イベントのログ記録」を参照してください。
注意: 証跡を作成することで、進行中の管理イベントのコピーを 1 つ無料で Amazon S3 に配信できます。証跡を作成すると、Amazon S3 に最大 90 日間イベントを保存できます。それ以降の管理イベントの記録については料金がかかります。詳細については、AWS CloudTrail の料金を参照してください。
90 日後に Amazon S3 バケットに保存された CloudTrail データイベントと管理イベントを表示するには
Amazon Athena を使用して、Amazon S3 バケットに保存されている CloudTrail データイベントと管理イベントを表示できます。
この手順については、「AWS CloudTrail ログ検索をするために Amazon Athena のテーブルを自動的に作成する方法を教えてください」を参照してください。 また、「マニュアルパーティショニングを使用して Athena で CloudTrail ログ用のテーブルを作成する」も参照してください。
関連情報
CloudTrail を使用して AWS アカウントで発生した API コールとアクションを確認する方法を教えてください。
関連するコンテンツ
- 質問済み 2ヶ月前
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前