S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化
CloudTrail データイベントを使用して、Amazon S3 のバケットおよびオブジェクトレベルのリクエストに関する情報を取得できます。すべてのバケットまたは特定のバケットのリストの CloudTrail データイベントを有効にするには、CloudTrail で手動で証跡を作成する必要があります。
注記
-
CloudTrail のデフォルト設定では、管理イベントのみが検出されます。アカウントに対してデータイベントを有効にしていることをチェックして確認します。
-
高いワークロードを生成している S3 バケットがある場合、短期間で数千のログを生成する可能性があります。ビジーなバケットでは、CloudTrail データイベントを有効にする期間にご注意ください。
CloudTrail は、選択した S3 バケットに Amazon S3 データイベントを保存します。クエリと分析を簡素化するには、所有する複数のバケットのイベントを適切にまとめられるように別の AWS アカウント のバケットの使用を検討することをお勧めします。AWS Organizations では、モニタリングしているバケットを所有しているアカウントにリンクされた AWS アカウント を簡単に作成することができます。詳細については、『AWS Organizations ユーザーガイド』の「What is AWS Organizations? ( とは?)」 を参照してください。
CloudTrail で証跡のデータイベントをログに記録する場合、汎用バケットに保存されたオブジェクトのデータイベントを記録するために、高度なイベントセレクタとベーシックイベントセレクタのどちらを使用するかを選択できます。ディレクトリバケットに保存されているオブジェクトのデータイベントをログに記録するには、高度なイベントセレクタを使用する必要があります。詳細については、「S3 Express One Zone の AWS CloudTrail によるログ記録」を参照してください。
アドバンストイベントセレクタを使用して CloudTrail コンソールで証跡を作成する場合、データイベントセクションで、[ログセレクタテンプレート] の [すべてのイベントをログに記録する] を選択して、すべてのオブジェクトレベルのイベントをログ記録できます。ベーシックイベントセレクタを使用して CloudTrail コンソールで証跡を作成する場合、データイベントセクションで、[アカウントのすべての S3 バケットを選択する] チェックボックスを選択して、すべてのオブジェクトレベルイベントをログ記録できます。
注記
-
ベストプラクティスとして、AWS CloudTrail データイベントバケットに対してライフサイクル設定を作成することをお勧めします。ログファイルを監査する必要があると考える期間が経過したらログファイルを定期的に削除するように、ライフサイクル設定を設定します。これにより、各クエリで Athena が分析するデータの量が減ります。詳細については、バケットに S3 ライフサイクル設定を設定する を参照してください。
-
ロギング形式の詳細については、AWS CloudTrail を使用した Amazon S3 API コールのログ記録 を参照してください。
-
CloudTrail ログをクエリする方法の例については、AWS ビッグデータブログの記事 Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena
を参照してください。
コンソールを使用してバケット内のオブジェクトのログ記録を有効にする
AWS CloudTrail コンソールを使用し、CloudTrail 証跡を設定して、S3 バケット内のオブジェクトのデータイベントをログに記録できます。CloudTrail では、GetObject、DeleteObject、PutObject など、Amazon S3 オブジェクトレベルの API オペレーションのログ記録がサポートされます。これらのイベントは、データイベントと呼ばれます。
デフォルトでは CloudTrail 証跡はデータイベントを記録しませんが、証跡を設定して、指定した S3 バケットのデータイベントを記録するか、AWS アカウントですべての Amazon S3 バケットのデータイベントを記録するようにできます。詳細については、AWS CloudTrail を使用した Amazon S3 API コールのログ記録 を参照してください。
CloudTrail では、CloudTrail イベント履歴にデータイベントが設定されません。さらに、すべてのバケットレベルのアクションが CloudTrail イベント履歴に入力されるわけではありません。CloudTrail のログ記録によって追跡される Amazon S3 バケットレベルの API アクションの詳細については、「CloudTrail ログ記録によって追跡される Amazon S3 バケットレベルのアクション」を参照してください。CloudTrail ログのクエリ方法の詳細については、Amazon CloudWatch Logs のフィルタパターンと Amazon Athena を使用した CloudTrail ログのクエリ
注記
AWS CloudTrail でデータアクティビティをログに記録する場合、Amazon S3 DeleteObjects データイベントのイベントレコードには、そのオペレーションの一部として削除された各オブジェクトの DeleteObjects イベントと DeleteObject イベントの両方が含まれます。削除されたオブジェクトに関する追加の可視性をイベントレコードから除外できます。詳細については、「AWS CloudTrail ユーザーガイド」の「データイベントのフィルタリングの AWS CLI の例」を参照してください。
S3 汎用バケットまたは S3 ディレクトリバケットでオブジェクトの CloudTrail データイベントの記録を有効にするには、「AWS CloudTrail ユーザーガイド」の「Creating a trail with the CloudTrail console」を参照してください。
S3 ディレクトリバケット内のオブジェクトのログ記録の詳細については、「ディレクトリバケットの AWS CloudTrail を使用したログ記録」を参照してください。
CloudTrail コンソールを使用して S3 データイベントを記録するように証跡を設定する方法については、「AWS CloudTrail ユーザーガイド」の「Logging data events」を参照してください。
S3 バケット内のオブジェクトの CloudTrail データイベントのログ記録を無効にするには、「AWS CloudTrail ユーザーガイド」の「Deleting a trail with the CloudTrail console」を参照してください。
重要
追加の変更がイベントデータに適用されます。詳細については、AWS CloudTrail 料金表
S3 バケットを使用した CloudTrail ログ記録の詳細については、以下のトピックを参照してください。
-
AWS CloudTrail ユーザーガイドの Working with CloudTrail log files
