管理イベントのログ記録
デフォルトでは、証跡とイベントデータストアは管理イベントをログ記録し、データイベントや Insights イベントは記録しません。
データイベントや Insights イベントには追加料金が適用されます。詳細については、AWS CloudTrail の料金
目次
管理イベント
管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについて知ることができます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。管理イベントには、次のようなものがあります。
-
セキュリティの設定 (例: IAM
AttachRolePolicyAPI オペレーション)。 -
デバイスの登録 (例: Amazon EC2
CreateDefaultVpcAPI オペレーション)。 -
データをルーティングするルールの設定 (例: Amazon EC2
CreateSubnetAPI オペレーション)。 -
ログ記録の設定 (例: AWS CloudTrail
CreateTrailAPI オペレーション)
管理イベントは、アカウントで発生する非 API イベントを含む場合もあります。例えば、ユーザーがアカウントにログインすると、CloudTrail は ConsoleLogin イベントをログに記録します。詳細については、「CloudTrail によってキャプチャされる API 以外のイベント」を参照してください。
デフォルトでは、証跡とイベントデータストアは管理イベントをログに記録するように設定されます。
注記
CloudTrail の [イベント履歴] 機能では、管理イベントのみサポートされています。[イベント履歴] から AWS KMS または Amazon RDS Data API イベントを除外することはできません。証跡またはイベントデータストアに適用する設定は [イベント履歴] には適用されません。詳細については、「CloudTrail イベント履歴の操作」を参照してください。
読み取りおよび書き込みイベント
管理イベントをログに記録するように証跡またはイベントデータストアを設定するときは、読み取り専用イベントまたは書き込み専用イベントのどちらか一方のみまたは両方を指定できます。
-
「」を参照してください。
読み取り専用イベントには、リソースの読み取りのみ行い、変更を行わない API オペレーションが含まれます。例えば、Amazon EC2 の
DescribeSecurityGroupsおよびDescribeSubnetsAPI オペレーションは読み取り専用イベントです。これらのオペレーションは、Amazon EC2 リソースに関する情報のみを返し、設定は変更しません。 -
書き込み
書き込み専用イベントには、リソースを変更する (または変更する可能性がある) API オペレーションが含まれます。例えば、Amazon EC2 の
RunInstancesおよびTerminateInstancesAPI オペレーションはインスタンスを変更します。
例: 読み取りイベントと書き込みイベントを別の証跡に記録する
次の例では、アカウントに対するログアクティビティを異なる S3 バケットに分けるように証跡を設定する方法を示します。1 つのバケットは読み取り専用イベントを受け取り、もう 1 つのバケットは書き込み専用イベントを受け取ります。
-
証跡を作成し、ログファイルを受け取る
amzn-s3-demo-bucket1という名前の S3 バケットを選択します。次に、証跡を更新し、[読み取り] 管理イベントを記録するように指定します。 -
第 2 の証跡を作成し、ログファイルを受け取る
amzn-s3-demo-bucket2という名前の S3 バケットを選択します。次に、証跡を更新し、書き込み管理イベントを記録するように指定します。 -
Amazon EC2 の
DescribeInstancesおよびTerminateInstancesAPI オペレーションがアカウントで発生します。 -
DescribeInstancesAPI オペレーションは読み取り専用イベントであり、1 番目の証跡の設定と一致します。証跡は、イベントをログに記録してamzn-s3-demo-bucket1に配信します。 -
TerminateInstancesAPI オペレーションは書き込み専用イベントであり、2 番目の証跡の設定と一致します。証跡は、イベントをログに記録してamzn-s3-demo-bucket2に配信します。
AWS マネジメントコンソール での管理イベントのログ記録
このセクションでは、既存の証跡またはイベントデータストアの管理イベント設定を更新する方法について説明します。
既存の証跡の管理イベント設定の更新
既存の証跡の管理イベント設定を更新するには、次の手順に従います。
-
AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/
で CloudTrail コンソールを開きます。 -
CloudTrail コンソールの証跡ページを開き、証跡名を選択します。
-
[管理イベント] で、[編集] を選択します。
-
ログ記録する対象を [読み取り] イベント、[書き込み] イベント、またはその両方を選択します。
-
[AWS KMS イベントを除外する] を選択して AWS Key Management Service (AWS KMS) イベントを、証跡から除外します。デフォルト設定では、すべての AWS KMS イベントが含まれています。
AWS KMS イベントをログまたは除外するオプションは、証跡の管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないように選択した場合は、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定は変更できません。
通常、AWS KMS、
Encrypt、DecryptなどのGenerateDataKeyアクションは、大容量イベント (99% 以上) を生成します。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。Disable、Delete、およびScheduleKeyなどの小容量の関連する AWS KMS アクション (通常、AWS KMS イベントボリュームの 0.5% 未満を占める) は、[Write] (書き込み) イベントとしてログに記録されます。Encrypt、Decrypt、GenerateDataKeyのようなボリュームの大きなイベントを除外し、Disable、Delete、ScheduleKeyなどの関連イベントを記録する場合は、[書き込み] 管理イベントを記録することを選択し、[Exclude AWS KMS events] チェックボックスをオフにします。 -
[Exclude Amazon RDS Data API events] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、Aurora の Amazon RDS Amazon RDS ユーザーガイドの「AWS CloudTrail による Data API コールのログ記録」を参照してください。
-
-
完了したら、[Save changes] (変更の保存) を選択します。
既存のイベントデータストアの管理イベント設定の更新
-
AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/
で CloudTrail コンソールを開きます。 -
CloudTrail コンソールの [イベントデータストア] ページを開き、イベントデータストア名を選択します。
-
[管理イベント] で、[編集] を選択し、次の設定を行います。
-
[シンプルなイベント収集] または [高度なイベント収集] を選択します。
-
すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、[シンプルなイベント収集] を選択します。AWS Key Management Service および Amazon RDS Data API 管理イベントを除外することもできます。
-
eventName、eventType、eventSource、userIdentity.arnなどの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、[高度なイベント収集] を選択します。
-
-
[シンプルなイベント収集] を選択した場合、すべてのイベントをログに記録する、読み取りイベントのみをログに記録する、または書き込みイベントのみをログに記録するかを選択します。AWS KMS および Amazon RDS 管理イベントを除外することもできます。
-
[高度なイベント収集] を選択した場合は、次の選択を行います。
-
[ログセレクタテンプレート] で、事前定義されたテンプレートを選択するか、[カスタム] を選択して、高度なイベントセレクタフィールド値に基づいてカスタム設定を構築します。
次の定義済みテンプレートから選択できます。
-
[すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。
-
[読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、
Get*またはDescribe*イベントなど、リソースの状態を変更しないイベントです。 -
[書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、
Put*、Delete*、またはWrite*イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。 -
[AWS マネジメントコンソール イベントのみをログに記録する] – このテンプレートを選択すると、AWS マネジメントコンソール から発生したイベントのみを記録します。
-
[AWS のサービス によって開始されたイベントを除外する] – このテンプレートを選択すると、
eventTypeがAwsServiceEventの AWS のサービス イベントと、AWS のサービス にリンクされたロール (SLR) で開始されたイベントを除外できます。
-
-
(オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「AWS マネジメントコンソール セッションからのログ管理イベント」など、高度なイベントセレクタの説明的な名前です。セレクタ名は、拡張イベントセレクタに「
Name」と表示され、[JSON ビュー] を展開すると表示されます。 -
[カスタム] を選択した場合、高度なイベントセレクタで、高度なイベントセレクタフィールド値に基づいて式を構築してください。
注記
セレクタは、
*のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、StartsWith、EndsWith、NotStartsWith、またはNotEndsWithを使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。-
次のフィールドから選択します。
-
readOnly-readOnlyは、[次と等しい] としてtrueまたはfalseの値に設定できます。falseに設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get*またはDescribe*イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、またはWrite*イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnlyセレクタを追加しないでください。 -
eventName-eventNameでは、任意の演算子を使用できます。これを使用して、CreateAccessPointやGetAccessPointなどの管理イベントを含めたり除外したりします。 -
userIdentity.arn– 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。 -
sessionCredentialFromConsole– AWS マネジメントコンソール セッションから発生したイベントを含めるか、除外します。このフィールドは、trueの値で [次と等しい] または [次と等しくない] に設定できます。 -
eventSource– これを使用して、特定のイベントソースを含めたり除外したりできます。eventSourceは通常、スペースなしのサービス名の短縮形に.amazonaws.comを付けたものです。例えば、eventSource[次と等しい] をec2.amazonaws.comに設定して、Amazon EC2 管理イベントのみをログに記録できます。 -
eventType– 含めるまたは除外するイベントタイプ。例えば、このフィールドを [次と等しくない]AwsServiceEventに設定して、AWS のサービスイベントを除外できます。
-
-
各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。
注記
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、
eventNameなどのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。 -
[フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
-
-
オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
-
-
[Insights イベントキャプチャを有効にする] を選択して、Insights を有効にします。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。
Insights を有効にすることを選択した場合は、次の手順を実行します。
-
Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。
-
Insights タイプを選択します。[API コールレート]、[API エラー率] のいずれかまたは両方を選択できます。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。
-
-
-
完了したら、[Save changes] (変更の保存) を選択します。
AWS CLI での管理イベントのログ記録
AWS CLI を使用して、管理イベントのログを記録するように証跡またはイベントデータストアを設定できます。
例:証跡での管理イベントの記録
証跡が管理イベントをログに記録しているかどうかを確認するには、get-event-selectors コマンドを実行します。
aws cloudtrail get-event-selectors --trail-nameTrailName
次の例では、証跡のデフォルト設定が返されます。デフォルトでは、証跡はすべての管理イベントをログに記録して、すべてのイベントソースからイベントをログに記録し、データイベントはログに記録しません。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
ベーシックなイベントセレクタまたは高度なイベントセレクタを使用して、管理イベントをログに記録することができます。イベントセレクタと高度なイベントセレクタの両方を証跡に適用することはできません。高度なイベントセレクターを証跡に適用すると、既存の基本的なイベントセレクターは上書きされます。以下のセクションでは、高度なイベントセレクタとベーシックなイベントセレクタを使用して、管理イベントをログに記録する方法の例を示します。
例: 高度なイベントセレクタを使用して、証跡の管理イベントをログに記録します
次の例では、TrailName という名前の証跡のアドバンストイベントセレクタを作成し、(readOnly セレクタを除くことにより) 読み取り専用管理イベントと書き込み専用管理イベントを含めますが、AWS Key Management Service (AWS KMS) イベントを除外します。AWS KMS イベントは管理イベントとして扱われ、イベントは大量になる場合があるため、管理イベントをキャプチャする証跡が複数ある場合は、CloudTrail の請求に大きな影響を与える可能性があります。
管理イベントをログに記録しないように選択した場合は、AWS KMS イベントはログに記録されず、AWS KMS イベントログ設定は変更できません。
AWS KMS イベントの証跡へのログ記録を再開するには、eventSource セレクタを削除し、コマンドを再度実行します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
例は、証跡用に設定されたアドバンストイベントセレクタを返します。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
次の例では、TrailName という名前の証跡用の高度なイベントセレクタを作成し、(readOnly セレクタを除くことにより) 読み取り専用管理イベントと書き込み専用管理イベントを含めて、Amazon RDS Data API 管理イベントを除外しています。Amazon RDS Data API 管理イベントを除外するには、eventSource フィールドの文字列値 rdsdata.amazonaws.com で Amazon RDS データ API イベントソースを指定します。
管理イベントをログに記録しない場合、Amazon RDS Data API イベントはログに記録されず、Amazon RDS Data API イベントログ設定は変更できません。
Amazon RDS Data API イベントの証跡へのログ記録を開始するには、eventSource セレクタを削除し、コマンドを再度実行します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
例は、証跡用に設定されたアドバンストイベントセレクタを返します。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
除外されたイベントの証跡へのログ記録を再開するには、次のコマンドに示されるように、eventSource セレクタを削除します。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
例: ベーシックなイベントセレクタを使用して、証跡の管理イベントをログに記録します
管理イベントをログに記録するように証跡を設定するには、put-event-selectors コマンドを実行します。次の例では、2 つの S3 オブジェクトに対するすべての管理イベントを含めるように証跡を設定する方法を示します。1 つの証跡に 1~5 個のイベントセレクタを指定できます。1 つの証跡に 1~250 個のデータリソースを指定できます。
注記
イベントセレクタの数にかかわらず、S3 データリソースの最大数は 250 個です。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
次の例は、証跡に対して設定されているイベントセレクタを返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
証跡のログから AWS Key Management Service (AWS KMS) イベントを除外するには、put-event-selectors コマンドを実行し、値が ExcludeManagementEventSources の属性 kms.amazonaws.com を追加します。次の例では、TrailName という名前の証跡のイベントセレクタを作成し、読み取り専用管理イベントと書き込み専用管理イベントを含めますが、AWS KMS イベントを除外します。AWS KMS では大量のイベントが生成される場合があるため、この例のユーザーは、証跡のコストを管理するためにイベントを制限できます。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
例では、証跡に対して設定されているイベントセレクタを返します。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
証跡のログから Amazon RDS Data API 管理イベントを除外するには、put-event-selectors コマンドを実行し、値が rdsdata.amazonaws.com の属性 ExcludeManagementEventSources を追加します。次の例では、TrailName という名前の証跡のイベントセレクタを作成しており、読み取り専用管理イベントと書き込み専用管理イベントを含めて、Amazon RDS Data API 管理イベントを除外しています。Amazon RDS Data API では大量の管理イベントが生成される場合があるため、この例では、証跡のコストを管理できるようにイベントを制限した方がよいでしょう。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
AWS KMS または Amazon RDS Data API 管理イベントのログへの記録を再び開始するには、次のコマンドに示すように ExcludeManagementEventSources の値として空の文字列を渡します。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
AWS KMS、Disable、Delete などの関連 ScheduleKey イベントを証跡に記録するが、AWS KMS、Encrypt、Decrypt などの大容量 GenerateDataKey イベントを除外するには、次の例に示すように、書き込み専用管理イベントをログに記録し、デフォルト設定のまま AWS KMS イベントをログに記録します。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
例: イベントデータストアの管理イベントのログ記録
高度なイベントセレクタを設定することで、イベントデータストアの管理イベントをログに記録します。
イベントデータストアでの管理イベントのログ記録では、次の高度なイベントセレクタフィールドがサポートされています。
-
eventCategory– 管理イベントをログに記録するには、eventCategoryをManagementに等しく設定する必要があります。これは必須のフィールドです。 -
readOnly-readOnlyは、Equalsとしてtrueまたはfalseの値に設定できます。falseに設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get*またはDescribe*イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*、Delete*、またはWrite*イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnlyセレクタを追加しないでください。 -
eventName-eventNameでは、任意の演算子を使用できます。これを使用して、CreateAccessPointやGetAccessPointなどの管理イベントを含めたり除外したりします。このフィールドでは、任意の演算子を使用できます。 -
userIdentity.arn– 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、CloudTrail userIdentity 要素を参照してください。 -
sessionCredentialFromConsole– AWS マネジメントコンソール セッションから発生したイベントを含めるか、除外します。このフィールドは、trueの値で [次と等しい] またはNotEqualsに設定できます。 -
eventSource– これを使用して、特定のイベントソースを含めたり除外したりできます。eventSourceは通常、スペースなしのサービス名の短縮形に.amazonaws.comを付けたものです。例えば、eventSourceEqualsをec2.amazonaws.comに設定して、Amazon EC2 管理イベントのみをログに記録できます。 -
eventType– 含めるまたは除外するイベントタイプ。例えば、このフィールドをNotEqualsAwsServiceEventに設定して、AWS のサービス イベントを除外できます。このフィールドでは、任意の演算子を使用できます。
イベントデータストアに管理イベントが含まれているかどうかを確認するには、get-event-data-store コマンドを実行します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
以下に、応答の例を示します。作成時刻と最終更新時刻は timestamp 形式です。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
すべての管理イベントを含むイベントデータストアを作成するには、create-event-data-store コマンドを実行します。すべての管理イベントを含めるには、高度イベント セレクタを指定する必要はありません。
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
例:
例: AWS KMS 管理イベントを除外する
AWS Key Management Service (AWS KMS) イベントを除外するイベントデータ ストアを作成するには、create-event-data-store コマンドを実行し、eventSource が kms.amazonaws.com と等しくないことを指定します。次の例では、読み取り専用管理イベントと書き込み専用管理イベントを含むが、AWS KMSイベントを除外するイベントデータストアを作成します。
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
例: Amazon RDS 管理イベントを除外する
Amazon RDS Data API 管理イベントを除外するイベントデータストアを作成するには、create-event-data-store コマンドを実行し、eventSource が rdsdata.amazonaws.com と等しくならないように指定します。次の例では、読み取り専用管理イベントと書き込み専用管理イベントを含むが、Amazon RDS Data API イベントを除外するイベントデータストアを作成します。
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
例: AWS のサービス イベントと AWS マネジメントコンソール セッションからのイベントを除外する
次の例では、管理イベントをログに記録するイベントデータストアを作成しますが、AWS のサービスイベントと AWS マネジメントコンソール セッションから発生するイベントを除外します。
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude AWS のサービス and console events", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventType","NotEquals": ["AwsServiceEvent"]}, {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude AWS のサービス and console events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] }, { "Field": "sessionCredentialFromConsole", "NotEquals": [ "true" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }
例: 特定の IAM アイデンティティの管理イベントを除外する
次の例では、管理イベントをログに記録するイベントデータストアを作成しますが、bucket-scanner-role userIdentity によって生成されたイベントを除外します。
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude events generated bybucket-scanner-roleuserIdentity", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]} ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude events generated bybucket-scanner-roleuserIdentity", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }
AWS SDK で管理イベントのログを記録する
証跡が管理イベントをログに記録しているかどうかを確認するには、GetEventSelectors オペレーションを使用します。管理イベントをログに記録するように証跡を設定するには、PutEventSelectors オペレーションを使用します。詳細については、「AWS CloudTrail API リファレンス」を参照してください。
イベントデータストアに管理イベントが含まれているかどうかを確認するには、GetEventDataStore オペレーションを実行します。[CreateEventDataStore] または [UpdateEventDataStore] オペレーションを実行すると、イベントデートストアが管理イベントを含めるよう設定できます。詳細については、「AWS CLI を使用してイベントデータストアを作成、更新、管理する」および AWS CloudTrail API リファレンスを参照してください。
