CloudTrail を使用して AWS アカウントで発生した API コールとアクションを確認する方法を教えてください。
最終更新日: 2020 年 12 月 18 日
コンソールログインやインスタンスの終了など、AWS アカウントで発生した操作を確認する方法を教えてください。
簡単な説明
AWS CloudTrail データを使用して、アカウントに対して行われた API 呼び出しを表示および追跡できます。このために次を使用します。
- CloudTrail コンソールのイベント履歴。
- Amazon CloudWatch Logs。
- Amazon Athena クエリ。
- Amazon Simple Storage Service (Amazon S3) のアーカイブログファイル。
注: CloudTrail で記録され、利用できるログがすべての AWS のサービスにあるわけではありません。CloudTrail と統合された AWS のサービスのリストについては、CloudTrail に関する AWS のサービストピックをご参照ください。
解決方法
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
AWS CloudTrail コンソールのイベント履歴
過去 90 日間からすべてのサポートされているサービスと統合とイベントタイプ(作成、変更、削除、変更不可能なアクティビティ)を表示できます。イベント履歴を使用するために証跡を設定する必要はありません。詳細については、CloudTrail コンソールで CloudTrail イベントを表示するをご参照ください。
CloudWatch コンソールでイベントを検索するために、AWS CLI コマンド filter-log-events も使用できます。メトリクスフィルターを使用して、ログイベントで用語、フレーズ、値を検索して一致させることもできます。その後、それらを CloudWatch メトリクスとアラームに変換できます。詳細については、「フィルタとパターンの構文」を参照してください。
注意 : AWS CLI を使用していて、filter-log-events を大規模に使用する場合(オートメーションやスクリプトなど)、 CloudWatch Logs サブスクリプションフィルタを使用するのがベストプラクティスです。これは、 filter-log-events に API の制限があるためです。サブスクリプションフィルタにはそのような制限はなく、サブスクリプションフィルタは大量のログデータをリアルタイムで処理できます。filter-log-events とその制限の詳細については、「CloudWatch Logs の制限」を参照してください。
Amazon CloudWatch Logs
CloudWatch Logs を使用すると、StopInstances などのリソースの状態を変更する操作と、DescribeInstances などの変更しない操作を検索できます。これらの手順は、証跡を作成し、CloudWatch Logs にイベントを送信するように設定していることを前提としています。
次の点を考慮してください。
- 証跡をすでに作成している場合でも、CloudWatch Logs にログを送信するように CloudTrail を明示的に設定する必要があります。
- このメソッドは将来のイベントに有効です。ログが設定される前のアクティビティを確認することはできません。
- イベントのサイズおよびボリュームによって、複数のログストリームが存在することがあります。すべてのストリームを検索するには、個々のストリームを選択する前に [Search Log Group] (ロググループの検索) を選択します。
- CloudWatch Logs には 256 KB のイベントサイズ制限があるため、CloudTrail は CloudWatch Logs に 256 KB を超えるイベントを送信しません。
手順については、 CloudWatch Logs に送信されたログデータの表示をご参照ください。
Amazon Athena クエリ
Amazon Athena では、Amazon S3 バケットから多数の CloudTrail ログファイルをクエリし、自動的に解析することができます。詳細については、AWS CloudTrail ログ検索をするために Amazon Athena のテーブルを自動的に作成する方法を教えてくださいをご参照ください。
Amazon S3 のアーカイブされたログファイル
CloudTrail によってキャプチャされたすべてのイベントを Amazon S3 ログファイルに表示できます。CloudTrail Processing Library、AWS CLI を使用するか、AWS CloudTrail パートナーにログを送信することで、S3 バケットからログファイルを手動で解析できます。
注: 証跡は S3 バケットへの記録を有効にしておく必要があります。