CloudTrail イベントについて理解する
CloudTrail イベントは、AWS アカウントのアクティビティのレコードです。このアクティビティは、IAM アイデンティティによるアクション、または CloudTrail が監視するサービスです。CloudTrail イベントは、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、およびその他の AWS のサービスを通じて行われた API アカウントアクティビティおよび API 以外のアカウントアクティビティの両方の履歴を提供します。
CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、イベントは特定の順序で表示されません。
CloudTrail イベントには 4 つのタイプがあります。
デフォルトでは、証跡とイベントデータストアによって管理イベントがログに記録されますが、データイベント、ネットワークアクティビティイベント、Insights イベントは記録されません。
すべてのイベントタイプで、CloudTrail JSON ログ形式が使用されます。ログには、リクエストを行った人、使用されたサービス、実行されたアクション、アクションのパラメータなど、アカウントのリソースに対するリクエストに関する情報が含まれています。イベントデータが Records の配列で囲まれています。
管理、データ、およびネットワークアクティビティイベントの CloudTrail イベントレコードフィールドの詳細については、「管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ」を参照してください。
証跡の Insights イベントの CloudTrail イベントレコードフィールドについては、「証跡の Insights イベントの CloudTrail レコードコンテンツ」を参照してください。
イベントデータストアの Insights イベントの CloudTrail イベントレコードフィールドについては、「イベントデータストアの Insights イベントの CloudTrail レコードコンテンツ」を参照してください。
管理イベント
管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。
管理イベントには、次のようなものがあります。
-
セキュリティグループの設定 (例: AWS Identity and Access Management
AttachRolePolicyAPI オペレーション)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpcAPI オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnetAPI オペレーション)。 -
ログ記録の設定 (例: AWS CloudTrail
CreateTrailAPI オペレーション)。
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにサインインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、CloudTrail 証跡と CloudTrail Lake イベントデータはログ管理イベントを保存します。管理イベントのログ記録に関する詳細については、「管理イベントのログ記録」を参照してください。
次の例は、管理イベントの単一のログレコードを示しています。このイベントでは、Mary_Major という名前のIAM ユーザーが aws cloudtrail start-logging コマンドを実行し、CloudTrail の StartLogging アクションを呼び出し、myTrail という証跡上でログ記録プロセスを開始しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
次の例では、Paulo_Santos という名前の IAM ユーザーが aws cloudtrail start-event-data-store-ingestion コマンドを実行し、StartEventDataStoreIngestion アクションを呼び出し、イベントデータストア上で取り込みを開始しました。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
データイベント
データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、高ボリュームのアクティビティです。
データイベントには、次のようなものがあります。
-
S3 バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例:
GetObject、DeleteObject、PutObjectAPI オペレーション)。 -
AWS Lambda 関数の実行アクティビティ (
InvokeAPI)。 -
外部からの AWS イベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail
PutAuditEventsアクティビティ。 -
トピックに関する Amazon SNS
PublishおよびPublishBatchAPI オペレーション。
証跡およびイベントデータストアで使用できるリソースタイプは、以下の表のとおりです。[リソースタイプ (コンソール)] 列には、コンソールで適切な選択項目が表示されます。[resources.type 値] 列には、AWS CLI または CloudTrail API の証跡またはイベントデータストアで含めるように指定するデータイベントのタイプである resources.type 値が表示されます。
証跡の場合、ベーシックまたは高度なイベントセレクタを使用して、汎用バケット、Lambda 関数、DynamoDB テーブル (表の最初の 3 行に表示) の Amazon S3 オブジェクトのデータイベントのログを記録することができます。残りの行に表示されるリソースタイプをログに記録するには、高度なイベントセレクタのみを使用できます。
イベントデータストアの場合、データイベントを含めるには、詳細イベントセレクタのみを使用できます。
AWS CloudTrail でサポートされるデータイベント
| AWS のサービス | 説明 | リソースタイプ (コンソール) | resources.type 値 |
|---|---|---|---|
| Amazon RDS | DB クラスターでの Amazon RDS API アクティビティ。 |
RDS Data API – DB クラスター | AWS::RDS::DBCluster |
| Amazon S3 | 汎用バケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
S3 | AWS::S3::Object |
| Simple Storage Service (Amazon S3) | アクセスポイントでの Amazon S3 API アクティビティ。 |
S3 アクセスポイント | AWS::S3::AccessPoint |
| Amazon S3 | ディレクトリバケット内のオブジェクトに対する Amazon S3 オブジェクトレベルの API アクティビティ (例: |
S3 Express | AWS::S3Express::Object |
| Amazon S3 |
|
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | ボリュームに関する Amazon FSx API アクティビティ。 |
FSx ボリューム | AWS::FSx::Volume |
| Amazon S3 Tables | テーブルに関する Amazon S3 API アクティビティ。 |
S3 テーブル | AWS::S3Tables::Table |
| Amazon S3 Tables | テーブルバケットに関する Amazon S3 API アクティビティ。 |
S3 テーブルバケット | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | ベクトルバケットに関する Amazon S3 API アクティビティ。 |
S3 ベクトルバケット | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | ベクトルインデックスに関する Amazon S3 API アクティビティ。 |
S3 ベクトルインデックス | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
| Amazon SNS | プラットフォームエンドポイントでの Amazon SNS |
SNS プラットフォームエンドポイント | AWS::SNS::PlatformEndpoint |
| Amazon SNS | トピックに関する Amazon SNS |
SNS トピック | AWS::SNS::Topic |
| Amazon SQS | メッセージでの Amazon SQS API アクティビティ。 |
SQS | AWS::SQS::Queue |
| AWS Supply Chain | インスタンス上の AWS Supply Chain API アクティビティ。 |
Supply Chain | AWS::SCN::Instance |
| Amazon SWF | SWF ドメイン | AWS::SWF::Domain |
|
| AWS AppConfig |
|
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AppSync GraphQL API に関する AWS AppSync API アクティビティ。 |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | クラスターリソースに関する Amazon Aurora DSQL API アクティビティ。 |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B Data Interchange |
|
B2B データ交換 | AWS::B2BI::Transformer |
| AWS Backup | 検索ジョブに関する AWS Backup Search Data API アクティビティ。 |
AWS Backup データ API の検索 | AWS::Backup::SearchJob |
| Amazon Bedrock | エージェントエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock エージェントエイリアス | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同期呼び出しに関する Amazon Bedrock API アクティビティ。 | Bedrock 非同期呼び出し | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | フローエイリアスでの Amazon Bedrock API アクティビティ。 | Bedrock フローエイリアス | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | ガードレールでの Amazon Bedrock API アクティビティ。 | Bedrock ガードレール | AWS::Bedrock::Guardrail |
| Amazon Bedrock | インラインエージェントに関する Amazon Bedrock API アクティビティ。 | Bedrock 呼び出しインラインエージェント | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | ナレッジベースでの Amazon Bedrock API アクティビティ。 | Bedrock ナレッジベース | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | モデルでの Amazon Bedrock API アクティビティ。 | Bedrock モデル | AWS::Bedrock::Model |
| Amazon Bedrock | プロンプトに関する Amazon Bedrock API アクティビティ。 | Bedrock プロンプト | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | セッションに関する Amazon Bedrock API アクティビティ。 | Bedrock セッション | AWS::Bedrock::Session |
| Amazon Bedrock | フロー実行に関する Amazon Bedrock API アクティビティ。 |
Bedrock フロー実行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 自動推論ポリシーに関する Amazon Bedrock API アクティビティ。 |
Bedrock 自動推論ポリシー | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 自動推論ポリシーバージョンに関する Amazon Bedrock API アクティビティ。 |
Bedrock 自動推論ポリシーバージョン | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
Amazon Bedrock データ自動化プロジェクト API アクティビティ。 |
Bedrock データ自動化プロジェクト |
|
Amazon Bedrock |
Bedrock データ自動化呼び出し API アクティビティ。 |
Bedrock データ自動化呼び出し |
|
Amazon Bedrock |
Amazon Bedrock データ自動化プロファイル API アクティビティ。 |
Bedrock データ自動化プロファイル |
|
Amazon Bedrock |
Amazon Bedrock ブループリント API アクティビティ。 |
Bedrock ブループリント |
|
Amazon Bedrock |
Amazon Bedrock Code-Interpreter API アクティビティ。 |
Bedrock-AgentCore Code Interpreter |
|
Amazon Bedrock |
Amazon Bedrock Browser API アクティビティ。 |
Bedrock-AgentCore Browser |
|
Amazon Bedrock |
Amazon Bedrock ワークロードアイデンティティ API アクティビティ。 |
Bedrock-AgentCore ワークロード ID |
|
Amazon Bedrock |
Amazon Bedrock ワークロードアイデンティティディレクトリ API アクティビティ。 |
Bedrock-AgentCore ワークロード ID ディレクトリ |
|
Amazon Bedrock |
Amazon Bedrock トークンボールト API アクティビティ。 |
Bedrock-AgentCore トークンボールト |
|
Amazon Bedrock |
Amazon Bedrock APIKey CredentialProvider API アクティビティ。 |
Bedrock-AgentCore APIKey CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock ランタイム API アクティビティ。 |
Bedrock-AgentCore Runtime |
|
Amazon Bedrock |
Amazon Bedrock Runtime-Endpoint API アクティビティ。 |
Bedrock-AgentCore Runtime-Endpoint |
|
Amazon Bedrock |
Amazon Bedrock Gateway API アクティビティ。 |
Bedrock-AgentCore ゲートウェイ |
|
Amazon Bedrock |
Amazon Bedrock Memory API アクティビティ。 |
Bedrock-AgentCore Memory |
|
Amazon Bedrock |
Amazon Bedrock Oauth2 CredentialProvider API アクティビティ。 |
Bedrock-AgentCore Oauth2 CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock Browser-Custom API アクティビティ。 |
Bedrock-AgentCore Browser-Custom |
|
Amazon Bedrock |
Amazon Bedrock Code-Interpreter-Custom API アクティビティ。 |
Bedrock-AgentCore Code-Interpreter-Custom |
|
| Amazon Bedrock | Amazon Bedrock Tool API アクティビティ。 |
Bedrock ツール | AWS::Bedrock::Tool |
| AWS Cloud Map | 名前空間での AWS Cloud Map API アクティビティ。 | AWS Cloud Map 名前空間 | |
| AWS Cloud Map | サービスでの AWS Cloud Map API アクティビティ。 | AWS Cloud Map のサービス | |
| Amazon CloudFront | での CloudFront API アクティビティ。。KeyValueStore |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | 外部からの AWS イベントをログに記録するために使用される CloudTrail Lake チャネル での CloudTrail |
CloudTrail チャネル | AWS::CloudTrail::Channel |
| Amazon CloudWatch | メトリクスに対する Amazon CloudWatch API アクティビティ。 |
CloudWatch メトリクス | AWS::CloudWatch::Metric |
| Amazon CloudWatch Network Flow Monitor | モニターに関する Amazon CloudWatch Network Flow Monitor API アクティビティ。 |
Network Flow Monitor モニター | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch Network Flow Monitor | 範囲に関する Amazon CloudWatch Network Flow Monitor API アクティビティ。 |
Network Flow Monitor の範囲 | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | アプリモニターでの Amazon CloudWatch RUM API アクティビティ。 |
RUM アプリモニター | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | プロファイリンググループに関する CodeGuru Profiler API アクティビティ。 | CodeGuru Profiler プロファイリンググループ | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | カスタマイズでの Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer のカスタマイズ | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | プロファイル上の Amazon CodeWhisperer API アクティビティ。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito アイデンティティプール に対する Amazon Cognito API アクティビティ。 |
Cognito アイデンティティプール | AWS::Cognito::IdentityPool |
| AWS Data Exchange | アセットに対する AWS Data Exchange API アクティビティ。 |
Data Exchange アセット |
|
Amazon Data Firehose |
Amazon Data Firehose 配信ストリーム API アクティビティ。 |
Amazon Data Firehose |
|
| AWS Deadline Cloud | フリートでの Deadline Cloud API アクティビティ。 |
Deadline Cloud フリート |
|
| AWS Deadline Cloud | ジョブでの Deadline Cloud API アクティビティ。 |
Deadline Cloud ジョブ |
|
| AWS Deadline Cloud | キューでの Deadline Cloud API アクティビティ。 |
Deadline Cloud キュー |
|
| AWS Deadline Cloud | ワーカーに対する Deadline Cloud API アクティビティ。 |
Deadline Cloud ワーカー |
|
| Amazon DynamoDB | テーブルでの Amazon DynamoDB アイテムレベルの API アクティビティ (例: 注記ストリームが有効になっているテーブルの場合、データイベントの |
DynamoDB |
|
| Amazon DynamoDB | ストリームに対する Amazon DynamoDB API アクティビティ |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon EBS スナップショットの |
Amazon EBS ダイレクト API | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Amazon EC2 Instance Connect エンドポイント API アクティビティ。 |
EC2 instance connect エンドポイント |
|
| Amazon Elastic Container Service | コンテナインスタンスに関する Amazon Elastic Container Service API アクティビティ。 |
ECS コンテナインスタンス | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | ダッシュボードに関する Amazon Elastic Kubernetes Service API アクティビティ。 |
Amazon Elastic Kubernetes Service ダッシュボード | AWS::EKS::Dashboard |
| Amazon EMR | ログ先行書き込みワークスペースでの Amazon EMR API アクティビティ。 | EMR ログ先行書き込みワークスペース | AWS::EMRWAL::Workspace |
| AWS エンドユーザーメッセージング SMS | 発信元 ID に対する AWS エンドユーザーメッセージング SMS API アクティビティ。 | SMS Voice 発信元 ID | AWS::SMSVoice::OriginationIdentity |
| AWS エンドユーザーメッセージング SMS | メッセージに関する AWS エンドユーザーメッセージング SMS API アクティビティ。 | SMS Voice メッセージ | AWS::SMSVoice::Message |
| AWS エンドユーザー メッセージング ソーシャル | 電話番号 ID での AWS エンドユーザーメッセージングソーシャル API アクティビティ。 | ソーシャルメッセージ電話番号 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS エンドユーザー メッセージング ソーシャル | Waba ID に関する AWS エンドユーザーメッセージングソーシャル API アクティビティ。 | ソーシャルメッセージング Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 環境に対する Amazon FinSpace API アクティビティ。 |
FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | アプリケーションに関する Amazon GameLift Streams ストリーミング API アクティビティ。 |
GameLift Streams アプリケーション | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | ストリームグループに関する Amazon GameLift Streams ストリーミング API アクティビティ。 |
GameLift Streams ストリームグループ | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | Lake Formation によって作成されたテーブルに対する AWS Glue API アクティビティ。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 検出器 に対する Amazon GuardDuty API アクティビティ。 |
GuardDuty ディテクター | AWS::GuardDuty::Detector |
| AWS HealthImaging | データストアでの AWS HealthImaging API アクティビティ |
医療用画像データストア | AWS::MedicalImaging::Datastore |
AWS HealthImaging |
AWS HealthImaging イメージセット API アクティビティ。 |
MedicalImaging イメージセット |
|
| AWS IoT | 証明書に対する AWS IoT API アクティビティ。 |
IoT 証明書 | AWS::IoT::Certificate |
| AWS IoT | モノに対する AWS IoT API アクティビティ。 |
IoT モノ | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | コンポーネントバージョンの Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
IoT Greengrass コンポーネントバージョン | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | デプロイ上の Greengrass コアデバイスからの Greengrass API アクティビティ。 注記Greengrass はアクセス拒否イベントのログを記録しません。 |
IoT Greengrass デプロイ | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise アセット | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise 時系列 | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise Assistant | 会話に関する Sitewise Assistant API アクティビティ。 |
Sitewise Assistant の会話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | エンティティ上の IoT TwinMaker API アクティビティ。 |
IoT TwinMaker エンティティ | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | ワークスペース上の IoT TwinMaker API アクティビティ。 |
IoT TwinMaker ワークスペース | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra インテリジェントランキング | リスコア実行プラン に対する Amazon Kendra Intelligent Ranking API アクティビティ。 |
Kendra ランキング | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (Apache Cassandra 向け) | テーブル上の Amazon Keyspaces API アクティビティ。 | Cassandra テーブル | AWS::Cassandra::Table |
| Amazon Keyspaces (Apache Cassandra 向け) | Cassandra CDC ストリームに関する Amazon Keyspaces (Apache Cassandra 向け) API アクティビティ。 |
Cassandra CDC ストリーム | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | ストリーム 上の Kinesis Data Streams API アクティビティ。 | Kinesis ストリーム | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | ストリームコンシューマー上の Kinesis Data Streams API アクティビティ。 | Kinesis ストリームコンシューマー | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | GetMedia や PutMedia への呼び出しなど、ビデオストリーム上の Amazon Kinesis API アクティビティ。 |
Kinesis ビデオストリーム | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Kinesis Video Streams ビデオシグナリングチャネル API アクティビティ。 |
Kinesis ビデオシグナリングチャネル |
|
| AWS Lambda | AWS Lambda 関数の実行アクティビティ ( |
Lambda: | AWS::Lambda::Function |
| Amazon Location Maps | Amazon Location Maps API アクティビティ。 | ジオマップ | AWS::GeoMaps::Provider |
| Amazon Location の場所 | Amazon Location Places API アクティビティ。 | ジオプレイス | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes API アクティビティ。 | ジオルート | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML モデルの機械学習 API アクティビティ。 | 機械学習 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | ネットワーク上の Amazon Managed Blockchain API アクティビティ。 |
Managed Blockchain ネットワーク | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain |
|
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Amazon Managed Blockchain Query API アクティビティ。 |
Managed Blockchain Query | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 環境に関する Amazon MWAA API アクティビティ。 |
マネージド Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune Graph | Neptune Graph でのクエリ、アルゴリズム、ベクトル検索などのデータ API アクティビティ。 |
Neptune Graph | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey の Amazon One Enterprise API アクティビティ。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | ユーザーの Amazon One Enterprise API アクティビティ。 |
Amazon One User | AWS::One::User |
| AWS Payment Cryptography | エイリアスの AWS Payment Cryptography API アクティビティ。 | Payment Cryptography Alias | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | キーに対する AWS Payment Cryptography API アクティビティ。 | Payment Cryptography Key | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | モバイルターゲティングアプリケーションに関する Amazon Pinpoint API アクティビティ。 |
モバイルターゲティングアプリケーション | AWS::Pinpoint::App |
| AWS Private CA | AWS Private CA Connector for Active Directory API のアクティビティ。 |
AWS Private CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | SCEP API アクティビティの AWS Private CA コネクタ。 |
AWS Private CA Connector for SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | Amazon Q Apps の Data API アクティビティ。 |
Amazon Q Apps | AWS::QApps::QApp |
| Amazon Q Apps | Amazon Q Apps セッションに関する Data API アクティビティ。 |
Amazon Q Apps セッション | AWS::QApps::QAppSession |
| Amazon Q Business | アプリケーション上の Amazon Q Business API アクティビティ。 |
Amazon Q Business アプリケーション | AWS::QBusiness::Application |
| Amazon Q Business | データソース上の Amazon Q Business API アクティビティ。 |
Amazon Q Business データソース | AWS::QBusiness::DataSource |
| Amazon Q Business | インデックスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business インデックス | AWS::QBusiness::Index |
| Amazon Q Business | ウェブエクスペリエンスでの Amazon Q Business API アクティビティ。 |
Amazon Q Business ウェブエクスペリエンス | AWS::QBusiness::WebExperience |
Amazon Q Business |
Amazon Q Business 統合 API アクティビティ。 |
Amazon Q Business 統合 |
|
| Amazon Q Developer | 統合に関する Amazon Q Developer API アクティビティ。 |
Q Developer 統合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 運用調査に関する Amazon Q Developer API アクティビティ。 |
AIOps 調査グループ | AWS::AIOps::InvestigationGroup |
| Amazon Quick Suite | アクションコネクタに関する Amazon Quick Suite API アクティビティ。 |
AWS QuickSuite アクション | AWS::Quicksight::ActionConnector |
Amazon Quick Suite |
Amazon Quick Suite Flow API アクティビティ。 |
AWS::QuickSight::Flow |
|
Amazon Quick Suite |
Amazon Quick Suite FlowSession API アクティビティ。 |
AWS::QuickSight::FlowSession |
|
| Amazon SageMaker AI | エンドポイントに関する Amazon SageMaker AI InvokeEndpointWithResponseStream アクティビティ。 |
SageMaker AI エンドポイント | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 特徴量ストアに関する Amazon SageMaker AI アクティビティ。 |
SageMaker AI 特徴量ストア | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 実験トライアルコンポーネントに関する Amazon SageMaker AI API アクティビティ。 |
SageMaker AI メトリクス実験トライアルコンポーネント | AWS::SageMaker::ExperimentTrialComponent |
Amazon SageMaker AI; |
Amazon SageMaker AI MLflow API アクティビティ。 |
SageMaker MLflow |
|
| AWS Signer | 署名ジョブに関する Signer API アクティビティ。 |
Signer 署名ジョブ | AWS::Signer::SigningJob |
| AWS Signer | 署名プロファイルに関する Signer API アクティビティ。 |
Signer 署名プロファイル | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 設定セットに関する Amazon Simple Email Service (Amazon SES) API アクティビティ。 |
SES 設定セット | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | E メール ID に関する Amazon Simple Email Service (Amazon SES) API アクティビティ。 |
SES ID | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | テンプレートに関する Amazon Simple Email Service (Amazon SES) API アクティビティ。 |
SES テンプレート | AWS::SES::Template |
| Amazon SimpleDB | ドメインに関する Amazon SimpleDB API アクティビティ。 |
SimpleDB ドメイン | AWS::SDB::Domain |
| AWS Step Functions | アクティビティに関する Step Functions API アクティビティ。 |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | ステートマシンに関する Step Functions API アクティビティ。 |
Step Functions ステートマシン | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | コントロールチャネルでの Systems Manager API アクティビティ。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 影響評価に関する Systems Manager API アクティビティ。 | SSM 影響評価 | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | マネージドノードでの Systems Manager API アクティビティ。 | Systems Manager マネージドノード | AWS::SSM::ManagedNode |
| Amazon Timestream | データベース上の Amazon Timestream Query API アクティビティ。 |
Timestream データベース | AWS::Timestream::Database |
| Amazon Timestream | リージョナルエンドポイントに関する Amazon Timestream API アクティビティ。 | Timestream リージョナルエンドポイント | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | テーブル上の Amazon Timestream Query API アクティビティ。 |
Timestream テーブル | AWS::Timestream::Table |
| Amazon Verified Permissions | ポリシーストア上の Amazon Verified Permissions API アクティビティ。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces シンクライアント | デバイスでの WorkSpaces シンクライアント API アクティビティ。 | シンクライアントデバイス | AWS::ThinClient::Device |
| Amazon WorkSpaces シンクライアント | 環境上の WorkSpaces シンクライアント API アクティビティ。 | シンクライアント環境 | AWS::ThinClient::Environment |
| AWS X-Ray | X-Ray トレース | AWS::XRay::Trace |
証跡またはイベントデータストアの作成時、デフォルトでは、データイベントは記録されません。CloudTrail データイベントを記録するには、アクティビティを収集する、サポート対象のリソースまたはリソースタイプを明示的に追加する必要があります。詳細については、「CloudTrail コンソールで証跡を作成する」および「コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する」を参照してください。
データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
次の例は、Amazon SNS Publish アクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
次の例は、Amazon Cognito GetCredentialsForIdentity アクションのデータイベントの単一のログレコードを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
ネットワークアクティビティイベント
CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から AWS のサービスへの VPC エンドポイントを使用して行われた AWS API コールを記録できます。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。
次のサービスのネットワークアクティビティイベントを記録できます。
-
AWS AppConfig
-
AWS App Mesh
-
Amazon Athena
-
AWS B2B Data Interchange
-
AWS Backup gateway
-
Amazon Bedrock
-
請求情報とコスト管理
-
AWS 料金見積りツール
-
AWS Cost Explorer
-
AWS クラウドコントロール API
-
AWS CloudHSM
-
AWS Cloud Map
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
CloudWatch Application Signals
-
AWS CodeDeploy
-
Amazon Comprehend Medical
-
AWS Config
-
AWS Data Exports
-
Amazon Data Firehose
-
AWS Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Amazon EventBridge スケジューラ
-
Amazon Fraud Detector
-
AWS 無料利用枠
-
Amazon FSx
-
AWS Glue
-
AWS HealthLake
-
AWS IoT FleetWise
-
AWS IoT Secure Tunneling
-
AWS Invoicing
-
Amazon Keyspaces (Apache Cassandra 向け)
-
AWS KMS
-
AWS Lake Formation
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
注記
Amazon S3 マルチリージョンアクセスポイントはサポートされていません。
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
AWS Storage Gateway
-
AWS Systems Manager Incident Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
AWS Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集するイベントソースを明示的に設定する必要があります。詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金
次の例は、VPC エンドポイントを首尾よくトラバースした AWS KMS ListKeys イベントを示しています。vpcEndpointId フィールドには VPC エンドポイントの ID が表示されます。vpcEndpointAccountId フィールドには、VPC エンドポイント所有者のアカウント ID が表示されます。この例では、リクエストは VPC エンドポイント所有者が行いました。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
次の例は、VPC エンドポイントポリシー違反で失敗した AWS KMS ListKeys イベントを示しています。VPC ポリシー違反が発生したため、errorCode フィールドと errorMessage フィールドの両方があります。recipientAccountId および vpcEndpointAccountId フィールドのアカウント ID は同じで、イベントが VPC エンドポイント所有者に送信されたことを示しています。userIdentity 要素の accountId は vpcEndpointAccountId ではなく、これはリクエストを行うユーザーが VPC エンドポイント所有者ではないことを示しています。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights イベント
CloudTrail Insights イベントは、CloudTrail の管理アクティビティを分析し、AWS アカウントの異常な API コール率やエラー率のアクティビティをキャプチャします。Insights イベントは、関連する API、エラーコード、インシデント時間、統計情報などの関連情報を提供し、異常なアクティビティについて理解して対処するのに役立ちます。CloudTrail の証跡あるいはイベントデータストアでキャプチャされた他のタイプのイベントとは異なり、Insights イベントは、CloudTrail がアカウントの API 使用量またはエラー率のログ記録において通常の使用パターンとは大きく異なる変更を検出した場合にのみログ記録されます。詳細については、「CloudTrail Insights の使用」を参照してください。
Insights イベントを生成する可能性のあるアクティビティの例を次に示します。
-
通常、アカウントは Amazon S3
deleteBucketAPI コールを 1 分あたり 20 個までログに記録しますが、アカウントは 1 分あたり平均 100 個のdeleteBucketAPI コールを開始しています。異常なアクティビティの開始時に Insights イベントが記録され、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常、アカウントは Amazon EC2
AuthorizeSecurityGroupIngressAPI のコールを 1 分あたり 20 個を記録しますが、アカウントはAuthorizeSecurityGroupIngressへのコールをまったく記録し始めていません。異常なアクティビティの開始時に Insights イベントが記録され、10 分後、以上にアクティビティが終了すると、異常なアクティビティの終了を示すために別の Insights イベントが記録されます。 -
通常は、アカウントで AWS Identity and Access Management API
DeleteInstanceProfileに関するAccessDeniedExceptionエラーのログ記録が 7 日間に 1 つもありません。アカウントがDeleteInstanceProfileAPI コールで 1 分あたり平均 12AccessDeniedExceptionエラーのログを記録し始めます。異常なエラーレートのアクティビティが発生した時に Insights イベントが記録されますが、この異常アクティビティの終了を示すために別の Insights イベントも記録されます。
これらの例は、説明のみを目的としています。結果はユースケースによって異なる場合があります。
CloudTrail Insights イベントをログ記録するには、新規または既存の証跡もしくはイベントデータストアにおいて、Insights イベントを明示的に有効化する必要があります。証跡の作成方法の詳細については、「CloudTrail コンソールで証跡を作成する」を参照してください。イベントデータストアの作成方法の詳細については、「コンソールで Insights イベントのイベントデータストアを作成する」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、AWS CloudTrail の料金
CloudTrail インサイトでは異常なアクティビティを表示するために、開始イベントと終了イベントの 2 つのイベントが記録されます。次の例は、アプリケーション Auto Scaling API CompleteLifecycleAction が異常な回数呼び出されたときに発生した開始インサイトイベントの 1 つのログレコードを示しています。インサイトイベントの場合、eventCategory の値は Insight です。insightDetails ブロックは、イベントの状態、ソース、名前、インサイトのタイプ、および統計情報および属性を含むコンテキストを識別します。insightDetails ブロックの詳細については、「証跡の Insights イベントの CloudTrail レコードコンテンツ」を参照してください。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
