コンソールへのログインやインスタンスの終了などの AWS アカウントに発生するアクションを確認する方法を教えてください。
AWS CloudTrail を使用して、アカウントに行われた API コールを表示および追跡できます。
CloudTrail データは、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (AWS CLI)、AWS Tools for PowerShell、または 直接 API からアクセスできます。
注意: 一部の AWSの サービスには、CloudTrail で記録され利用できるログがありません。CloudTrail と統合された AWS のサービスのリストについては、「CloudTrail に関する AWS のサービストピック」を参照してください。
AWS CloudTrail コンソールでのイベント履歴
AWS CloudTrail コンソールのイベント履歴セクションで、過去 90 日間のすべてのサポートされる管理イベントおよびイベントタイプ (作成、変更、削除、変更不可のアクティビティ) を表示できます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。
Amazon CloudWatch ログ
CloudWatch Logs を使用して、StopInstances などのリソースの状態を変更する操作、および DescribeInstances などの操作していない操作を検索できます。CloudWatch Logs をセットアップし、設定する方法については、「CloudWatch Logs への CloudTrail イベントの送信」を参照してください。
以下の点を考慮します。
- 証跡がすでに有効になっていても、CloudTrail を明示的に設定して、CloudWatch Logs にログを送信する必要があります。
- イベントのサイズおよびボリュームによって、複数のログストリームが存在することがあります。すべてのストリームを検索するには、個々のストリームを選択する前に [Search Log Group] を選択します。
- CloudWatch Logs には 256 KB のイベントサイズ制限があるため、CloudTrail では、256 KB を超えるイベントは CloudWatch Logs に送信されません。
CloudWatch Logs を設定後、これらの手順を実行します。
- Amazon CloudWatch コンソールに移動します。
- ナビゲーションペインで [Logs] を選択し、設定されたロググループの名前 (デフォルト名は CloudTrail/DefaultLogGroup) を選択します。
Amazon Athena
Athena を使用して大量の CloudTrail ログを検索して、クエリを実行できます。詳細については、「AWS CloudTrail ログの検索用に Amazon Athena でテーブルを自動作成する方法を教えてください。」を参照してください。
Amazon Simple Storage Service (Amazon S3) のアーカイブされたログファイル
Amazon S3 のログファイルの CloudTrail によってキャプチャしたすべてのイベントを表示できます。CloudTrail Processing Library、AWS CLI を使用して、S3 バケットからログファイルを手動で解析したり、ログを AWS CloudTrail Partner に送信することができます。
CloudWatch コンソールでイベントを検索する代わりに、AWS CLI コマンド filter-log-events を使用できます。また、メトリクスフィルタを使用して、ログイベントの用語、フレーズ、値を検索して一致させ、用語、フレーズ、値を CloudWatch メトリクスとアラームに変換することもできます。詳細については、「フィルタとパターンの構文」を参照してください。
注意: AWS CLI を使用しており、大規模 (たとえば、自動化またはスクリプト) に filter-log-events を使用する予定がある場合、filter-log-events には API の制限があるため、サブスクリプションフィルタの使用を検討してください。filter-log-events とその制限の詳細については、「CloudWatch Logs の制限」を参照してください。サブスクリプションフィルタにはそのような制限はなく、大量のログデータをリアルタイムで処理する機能を提供します。
