管理イベントのログ記録 - AWS CloudTrail
管理イベント読み取りおよび書き込みイベントを使用した管理イベントのログ記録 AWS マネジメントコンソールを使用した管理イベントのログ記録 AWS CLIAWS SDKs を使用した管理イベントのログ記録

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理イベントのログ記録

デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録し、データイベントや Insights イベントは記録しません。

データイベントや Insights イベントには追加料金が適用されます。詳細については、「AWS CloudTrail 料金」を参照してください。

管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションを可視化します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントには、次のようなものがあります。

  • セキュリティの設定 (例: IAM AttachRolePolicy API オペレーション)。

  • デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション)。

  • データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)。

  • ログ記録の設定 (API AWS CloudTrail CreateTrailオペレーションなど)

管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにログインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。

デフォルトでは、証跡とイベントデータストアは管理イベントをログに記録するように設定されます。

注記

CloudTrail の [イベント履歴] 機能では、管理イベントのみサポートされています。イベント履歴から AWS KMS または Amazon RDS Data API イベントを除外することはできません。証跡またはイベントデータストアに適用する設定は、イベント履歴には適用されません。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

読み取りおよび書き込みイベント

管理イベントをログに記録するように証跡またはイベントデータストアを設定するときは、読み取り専用イベントまたは書き込み専用イベントのどちらか一方のみまたは両方を指定できます。

  • 読み取り

    読み取り専用イベントには、リソースの読み取りのみ行い、変更を行わない API オペレーションが含まれます。例えば、Amazon EC2 の DescribeSecurityGroups および DescribeSubnets API オペレーションは読み取り専用イベントです。これらのオペレーションは、Amazon EC2 リソースに関する情報のみを返し、設定は変更しません。

  • 書き込み

    書き込み専用イベントには、リソースを変更する (または変更する可能性がある) API オペレーションが含まれます。例えば、Amazon EC2 の RunInstances および TerminateInstances API オペレーションはインスタンスを変更します。

例: 読み取りイベントと書き込みイベントを別の証跡に記録する

次の例では、アカウントに対するログアクティビティを異なる S3 バケットに分けるように証跡を設定する方法を示します。1 つのバケットは読み取り専用イベントを受け取り、もう 1 つのバケットは書き込み専用イベントを受け取ります。

  1. 証跡を作成し、ログファイルを受け取る amzn-s3-demo-bucket1 という名前の S3 バケットを選択します。次に、証跡を更新し、[読み取り] 管理イベントを記録するように指定します。

  2. 第 2 の証跡を作成し、ログファイルを受け取る amzn-s3-demo-bucket2 という名前の S3 バケットを選択します。次に、証跡を更新し、書き込み管理イベントを記録するように指定します。

  3. Amazon EC2 の DescribeInstances および TerminateInstances API オペレーションがアカウントで発生します。

  4. DescribeInstances API オペレーションは読み取り専用イベントであり、1 番目の証跡の設定と一致します。証跡は、イベントをログに記録して amzn-s3-demo-bucket1 に配信します。

  5. TerminateInstances API オペレーションは書き込み専用イベントであり、2 番目の証跡の設定と一致します。証跡は、イベントをログに記録して amzn-s3-demo-bucket2 に配信します。

を使用した管理イベントのログ記録 AWS マネジメントコンソール

このセクションでは、既存の証跡またはイベントデータストアの管理イベント設定を更新する方法について説明します。

既存の証跡の管理イベント設定の更新

既存の証跡の管理イベント設定を更新するには、次の手順に従います。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. CloudTrail コンソールの証跡ページを開き、証跡名を選択します。

  3. [管理イベント] で、[編集] を選択します。

    • ログ記録する対象を [読み取り] イベント、[書き込み] イベント、またはその両方を選択します。

    • AWS KMS イベントを除外を選択して、traiL から AWS Key Management Service (AWS KMS) イベントをフィルタリングします。デフォルト設定では、すべての AWS KMS イベントが含まれます。

      AWS KMS イベントを記録または除外するオプションは、証跡で管理イベントをログに記録する場合にのみ使用できます。管理イベントを記録しないことを選択した場合、 AWS KMS イベントは記録されず、 AWS KMS イベントログ設定を変更することはできません。

      AWS KMS Encrypt、、 などの アクションはDecryptGenerateDataKey通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。Disable、、 ScheduleKey (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) などの少量の関連 AWS KMS アクションはDelete書き込みイベントとして記録されます。

      EncryptDecrypt、 などの大量のイベントを除外してもGenerateDataKey、、DisableDelete などの関連イベントをログに記録するにはScheduleKey書き込み管理イベントをログに記録し、除外 AWS KMS イベントのチェックボックスをオフにします。

    • [Exclude Amazon RDS Data API events] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、「Aurora の Amazon RDS Amazon RDS ユーザーガイド」の「AWS CloudTrailによる Data API コールのログ記録」を参照してください。

  4. 完了したら、[Save changes] (変更の保存) を選択します。

既存のイベントデータストアの管理イベント設定の更新

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. CloudTrail コンソールの [イベントデータストア] ページを開き、イベントデータストア名を選択します。

  3. [管理イベント] で、[編集] を選択し、次の設定を行います。

    1. [シンプルなイベント収集] または [高度なイベント収集] を選択します。

      • すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、[シンプルなイベント収集] を選択します。 AWS Key Management Service および Amazon RDS Data API 管理イベントを除外することもできます。

      • eventNameeventTypeeventSourceuserIdentity.arn などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、[高度なイベント収集] を選択します。

    2. [シンプルなイベント収集] を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。 AWS KMS および Amazon RDS 管理イベントを除外することもできます。

    3. [高度なイベント収集] を選択した場合は、次の選択を行います。

      1. [ログセレクタテンプレート] で、事前定義されたテンプレートを選択するか、[カスタム] を選択して、高度なイベントセレクタフィールド値に基づいてカスタム設定を構築します。

        次の定義済みテンプレートから選択できます。

        • [すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。

        • [読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。

        • [書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。

        • AWS マネジメントコンソール イベントのみをログに記録する – このテンプレートを選択すると、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。

        • AWS のサービス 開始されたイベントを除外する – このテンプレートを選択すると、 eventTypeの を持つ AWS のサービス イベントとAwsServiceEvent、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs

      2. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、 AWS マネジメントコンソール 「セッションからのログ管理イベント」など、高度なイベントセレクタのわかりやすい名前です。セレクタ名は、拡張イベントセレクタに「Name」と表示され、[JSON ビュー] を展開すると表示されます。

      3. [カスタム] を選択した場合、高度なイベントセレクタで、高度なイベントセレクタフィールド値に基づいて式を構築してください。

        注記

        セレクタは、* のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、StartsWithEndsWithNotStartsWith、または NotEndsWith を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。

        1. 次のフィールドから選択します。

          • readOnly - readOnly は、[次と等しい] として true または false の値に設定できます。false に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnly セレクタを追加しないでください。

          • eventName - eventName では、任意の演算子を使用できます。これを使用して、CreateAccessPointGetAccessPoint などの管理イベントを含めたり除外したりします。

          • userIdentity.arn – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。

          • sessionCredentialFromConsole – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、true の値で [次と等しい] または [次と等しくない] に設定できます。

          • eventSource – これを使用して、特定のイベントソースを含めたり除外したりできます。eventSource は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例えば、eventSource [次と等しい]ec2.amazonaws.com に設定して、Amazon EC2 管理イベントのみをログに記録できます。

          • eventType – 含めるまたは除外するイベントタイプ。例えば、このフィールドを [次と等しくない] AwsServiceEvent に設定して、AWS のサービス イベントを除外できます。

        2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

          CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。

          注記

          イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

        3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

      4. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

    4. [Insights イベントキャプチャを有効にする] を選択して、Insights を有効にします。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。

      Insights を有効にすることを選択した場合は、次の手順を実行します。

      1. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

      2. Insights タイプを選択します。[API コールレート][API エラー率] のいずれかまたは両方を選択できます。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

  4. 完了したら、[Save changes] (変更の保存) を選択します。

を使用した管理イベントのログ記録 AWS CLI

AWS CLIを使用して、管理イベントのログを記録するように証跡またはイベントデータストアを設定できます。

例:証跡での管理イベントの記録

証跡が管理イベントをログに記録しているかどうかを確認するには、get-event-selectors コマンドを実行します。

aws cloudtrail get-event-selectors --trail-name TrailName

次の例では、証跡のデフォルト設定が返されます。デフォルトでは、証跡はすべての管理イベントをログに記録して、すべてのイベントソースからイベントをログに記録し、データイベントはログに記録しません。

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

ベーシックなイベントセレクタまたは高度なイベントセレクタを使用して、管理イベントをログに記録することができます。イベントセレクタと高度なイベントセレクタの両方を証跡に適用することはできません。高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。以下のセクションでは、高度なイベントセレクタとベーシックなイベントセレクタを使用して、管理イベントをログに記録する方法の例を示します。

例: 高度なイベントセレクタを使用して、証跡の管理イベントをログに記録します

次の例では、TrailName という名前の証跡のアドバンストイベントセレクタを作成し、読み取り専用と書き込み専用の管理イベント (readOnlyセレクタを省略) を含めますが AWS Key Management Service 、(AWS KMS) イベントを除外します。 AWS KMS イベントは管理イベントとして扱われ、大量のイベントが発生する可能性があるため、管理イベントをキャプチャする証跡が複数ある場合、CloudTrail の請求に大きな影響を与える可能性があります。

管理イベントを記録しないことを選択した場合、 AWS KMS イベントは記録されず、 AWS KMS イベントログ設定を変更することはできません。

証跡への AWS KMS イベントのログ記録を再開するには、eventSourceセレクタを削除し、 コマンドを再度実行します。

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

例は、証跡用に設定されたアドバンストイベントセレクタを返します。

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

次の例では、TrailName という名前の証跡用の高度なイベントセレクタを作成し、(readOnly セレクタを除くことにより) 読み取り専用管理イベントと書き込み専用管理イベントを含めて、Amazon RDS Data API 管理イベントを除外しています。Amazon RDS Data API 管理イベントを除外するには、eventSource フィールドの文字列値 rdsdata.amazonaws.com で Amazon RDS データ API イベントソースを指定します。

管理イベントをログに記録しない場合、Amazon RDS Data API イベントはログに記録されず、Amazon RDS Data API イベントログ設定は変更できません。

Amazon RDS Data API イベントの証跡へのログ記録を開始するには、eventSource セレクタを削除し、コマンドを再度実行します。

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

例は、証跡用に設定されたアドバンストイベントセレクタを返します。

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

例: ベーシックなイベントセレクタを使用して、証跡の管理イベントをログに記録します

管理イベントをログに記録するように証跡を設定するには、put-event-selectors コマンドを実行します。次の例では、2 つの S3 オブジェクトに対するすべての管理イベントを含めるように証跡を設定する方法を示します。1 つの証跡に 1~5 個のイベントセレクタを指定できます。1 つの証跡に 1~250 個のデータリソースを指定できます。

注記

イベントセレクタの数にかかわらず、S3 データリソースの最大数は 250 個です。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

次の例は、証跡に対して設定されているイベントセレクタを返します。

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

証跡のログから AWS Key Management Service (AWS KMS) イベントを除外するには、 put-event-selectors コマンドを実行し、 の値ExcludeManagementEventSourcesを持つ 属性を追加しますkms.amazonaws.com。次の例では、TrailName という名前の証跡のイベントセレクタを作成し、読み取り専用と書き込み専用の管理イベントを含めますが、 AWS KMS イベントを除外します。 AWS KMS は大量のイベントを生成できるため、この例のユーザーは、証跡のコストを管理するためにイベントを制限したい場合があります。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

例では、証跡に対して設定されているイベントセレクタを返します。

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

証跡のログから Amazon RDS Data API 管理イベントを除外するには、put-event-selectors コマンドを実行し、値が rdsdata.amazonaws.com の属性 ExcludeManagementEventSources を追加します。次の例では、TrailName という名前の証跡のイベントセレクタを作成しており、読み取り専用管理イベントと書き込み専用管理イベントを含めて、Amazon RDS Data API 管理イベントを除外しています。Amazon RDS Data API では大量の管理イベントが生成される場合があるため、この例では、証跡のコストを管理できるようにイベントを制限した方がよいでしょう。

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

証跡への AWS KMS または Amazon RDS Data API 管理イベントのログ記録を再開するには、次のコマンドに示すようにExcludeManagementEventSources、空の文字列を の値として渡します。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Disable、 などの証跡に関連する AWS KMS イベントをログに記録するがDeleteScheduleKey、、EncryptDecryptなどの大量の AWS KMS イベントを除外するにはGenerateDataKey、次の例に示すように AWS KMS 、書き込み専用管理イベントをログに記録し、デフォルト設定のままイベントをログに記録します。

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

例: イベントデータストアの管理イベントのログ記録

高度なイベントセレクタを設定することで、イベントデータストアの管理イベントをログに記録します。

イベントデータストアでの管理イベントのログ記録では、次の高度なイベントセレクタフィールドがサポートされています。

  • eventCategory – 管理イベントをログに記録するには、eventCategoryManagement に等しく設定する必要があります。これは必須のフィールドです。

  • readOnly - readOnly は、Equals として true または false の値に設定できます。false に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnly セレクタを追加しないでください。

  • eventName - eventName では、任意の演算子を使用できます。これを使用して、CreateAccessPointGetAccessPoint などの管理イベントを含めたり除外したりします。このフィールドでは、任意の演算子を使用できます。

  • userIdentity.arn – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。

  • sessionCredentialFromConsole – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、true の値で [次と等しい] または NotEquals に設定できます。

  • eventSource – これを使用して、特定のイベントソースを含めたり除外したりできます。eventSource は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例えば、eventSource Equalsec2.amazonaws.com に設定して、Amazon EC2 管理イベントのみをログに記録できます。

  • eventType – 含めるまたは除外するイベントタイプ。例えば、このフィールドを NotEquals AwsServiceEvent に設定して、AWS のサービス イベントを除外できます。このフィールドでは、任意の演算子を使用できます。

イベントデータストアに管理イベントが含まれているかどうかを確認するには、get-event-data-store コマンドを実行します。

aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

以下に、応答の例を示します。作成時刻と最終更新時刻は timestamp 形式です。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

すべての管理イベントを含むイベントデータストアを作成するには、create-event-data-store コマンドを実行します。すべての管理イベントを含めるには、高度イベント セレクタを指定する必要はありません。

aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

例: AWS KMS 管理イベントを除外する

AWS Key Management Service (AWS KMS) イベントを除外するイベントデータストアを作成するには、 create-event-data-store コマンドを実行し、 eventSourceと等しくない を指定しますkms.amazonaws.com。次の例では、読み取り専用および書き込み専用の管理イベントを含むイベントデータストアを作成しますが、 AWS KMS イベントは除外します。

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

例: Amazon RDS 管理イベントを除外する

Amazon RDS Data API 管理イベントを除外するイベントデータストアを作成するには、create-event-data-store コマンドを実行し、eventSourcerdsdata.amazonaws.com と等しくならないように指定します。次の例では、読み取り専用管理イベントと書き込み専用管理イベントを含むが、Amazon RDS Data API イベントを除外するイベントデータストアを作成します。

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

例: AWS のサービス イベントとイベントを AWS マネジメントコンソール セッションから除外する

次の例では、管理イベントをログに記録するイベントデータストアを作成しますが、 AWS マネジメントコンソール セッションから発生する AWS のサービス イベントとイベントを除外します。

aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude AWS のサービス and console events",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
            {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
        ]
    }
]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude AWS のサービス and console events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                },
                {
                    "Field": "sessionCredentialFromConsole",
                    "NotEquals": [
                        "true"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

例: 特定の IAM アイデンティティの管理イベントを除外する

次の例では、管理イベントをログに記録するイベントデータストアを作成しますが、bucket-scanner-role userIdentity によって生成されたイベントを除外します。

aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude events generated by bucket-scanner-role userIdentity",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
        ]
    }
]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude events generated by bucket-scanner-role userIdentity",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "userIdentity.arn",
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

AWS SDKs を使用した管理イベントのログ記録

証跡が管理イベントをログに記録しているかどうかを確認するには、GetEventSelectors オペレーションを使用します。管理イベントをログに記録するように証跡を設定するには、PutEventSelectors オペレーションを使用します。詳細については、「 APIリファレンスAWS CloudTrail」を参照してください。

イベントデータストアに管理イベントが含まれているかどうかを確認するには、GetEventDataStore オペレーションを実行します。[CreateEventDataStore] または [UpdateEventDataStore] オペレーションを実行すると、イベントデートストアが管理イベントを含めるよう設定できます。詳細については、「を使用してイベントデータストアを作成、更新、管理する AWS CLI」および AWS CloudTrail API リファレンスを参照してください。