翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング
[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、CloudTrail からログファイルをモニタリング、保存、およびアクセスすることができます。
CloudWatch Logs を使用すると、使用するすべてのシステム、アプリケーション、および のログ AWS のサービス を 1 つの非常にスケーラブルなサービスに一元化できます。これにより、ログを簡単に表示したり、特定のエラーコードやパターンを検索したり、特定のフィールドに基づいてフィルタリングしたり、将来の分析のために安全にアーカイブしたりできます。CloudWatch Logs では、ソースにかかわらずすべてのログをイベントの 1 つの一貫した流れとして時間順に見ることができます。
以下の手順を実行して CloudWatch Logs で CloudTrail を設定し、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。
1. CloudWatch Logs にログイベントを送信するように証跡を設定します。
1. ログイベントの中に一致する語句や値があるかどうかを評価するための CloudWatch Logs メトリクスフィルタを定義します。例えば、`ConsoleLogin` イベントをモニタリングすることもできます。
1. メトリクスフィルターに CloudWatch メトリクスを割り当てます。
1. 指定したしきい値と期間に基づいてトリガーされる CloudWatch アラームを作成します。アラームがトリガーされた際に通知が送信されるように設定することで、必要な対応がとれるようになります。
1. アラームへの対応アクションが自動的に実行されるように CloudWatch を設定することもできます。
Amazon CloudWatch と Amazon CloudWatch Logs の標準料金表が適用されます。詳細については、「[Amazon CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing/)」をご覧ください。
CloudWatch Logs にログを送信するように証跡を設定できるリージョンの詳細については、*AWS 全般のリファレンス*の「[Amazon CloudWatch Logs リージョンとクォータ](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)」を参照してください。
**Topics**
+ [「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)
+ [CloudTrail イベントの CloudWatch アラームの作成: 例](cloudwatch-alarms-for-cloudtrail.md)
+ [CloudTrail が CloudWatch Logs にイベントを送信しないようにする](stop-cloudtrail-from-sending-events-to-cloudwatch-logs.md)
+ [CloudTrail の CloudWatch ロググループとログストリームの名前付け](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)
+ [CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)
# 「CloudWatch Logs へのイベントの送信」
イベントを CloudWatch Logs に送信するように証跡を設定すると、CloudTrail は証跡設定に一致するイベントのみを送信します。たとえば、データイベントのみを送信するように設定した場合、証跡はデータイベントのみを CloudWatch Logs ロググループに送信します。CloudTrail は、CloudWatch Logs へのデータ、インサイト、および管理イベントの送信をサポートします。詳細については、「[CloudTrail ログファイルの使用](cloudtrail-working-with-log-files.md)」を参照してください。
**注記**
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
CloudWatch Logs のロググループにイベントを送信するには
+ IAM ロールを作成または指定するための十分なアクセス許可があることを確認してください。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」を参照してください。
+ を使用して CloudWatch Logs ロググループを設定する場合は AWS CLI、指定したロググループに CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための十分なアクセス許可があることを確認してください。詳細については、「[ポリシードキュメントを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)」を参照してください。
+ 新しい証跡を作成するか、既存の証跡を指定します。詳細については、「[コンソールで証跡を作成および更新する](cloudtrail-create-and-update-a-trail-by-using-the-console.md)」を参照してください。
+ ロググループを作成するか、既存のロググループを指定します。
+ IAM ロールを指定します。組織の証跡の既存の IAM ロールを変更する場合は、組織の証跡のログ記録を許可するように手動でポリシーを更新する必要があります。詳細については、[このポリシー例](#policy-cwl-org)と「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
+ ロールポリシーをアタッチするか、デフォルトを使用します。
**Contents**
+ [コンソールを使用して CloudWatch Logs のモニタリングを設定する](#send-cloudtrail-events-to-cloudwatch-logs-console)
+ [ロググループを作成するか、既存のロググループを指定する](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
+ [IAM ロールを指定する](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
+ [CloudWatch コンソールでのイベントの表示](#viewing-events-in-cloudwatch)
+ [を使用した CloudWatch Logs モニタリングの設定 AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
+ [ロググループを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
+ [ロールの作成](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
+ [ポリシードキュメントを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
+ [証跡を更新する](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [制限](#send-cloudtrail-events-to-cloudwatch-logs-limitations)
## コンソールを使用して CloudWatch Logs のモニタリングを設定する
を使用して AWS マネジメントコンソール 、モニタリングのために CloudWatch Logs にイベントを送信するように証跡を設定できます。
### ロググループを作成するか、既存のロググループを指定する
CloudTrail では、ログイベントの配信エンドポイントとして、CloudWatch Logs ロググループが使用されます。ユーザーは、ロググループを作成するか、既存のロググループを指定することができます。
**ロググループを作成または既存のロググループを指定するには**
1. CloudWatch Logs 統合を設定するのに十分なアクセス許可を持つ管理ユーザーまたはロールを使用してログインしていることを確認してください。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」を参照してください。
**注記**
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。
1. 証跡名を選択します。マルチリージョン証跡を選択した場合は、その証跡の作成元のリージョンにリダイレクトされます。ロググループを作成することもできますし、証跡と同じリージョン内の既存のロググループを選択することもできます。
**注記**
マルチリージョン証跡は、 で有効なすべてのリージョンのログファイル AWS アカウント を、指定した CloudWatch Logs ロググループに送信します。
1. [**CloudWatch Logs**] で、[**編集**] を選択します。
1. **CloudWatch Logs** で **[有効]** を選択します。
1. **[ロググループ名]** で、**[新規]** を選択して新しいロググループを作成するか、[**既存**] を選択して既存のロググループを使用します。[**New**] を選択した場合、CloudTrail は新しいロググループの名前を指定します。または、自分で名前を入力できます。命名の詳細については、「[CloudTrail の CloudWatch ロググループとログストリームの名前付け](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)」を参照してください。
1. [**Existing**] を選択した場合、ドロップダウンリストからロググループを選択します。
1. **[ロール名]** で **[新規]** を選択して、CloudWatch Logs にログを送信するためのアクセス許可のための新しい IAM ロールを作成します。[**Existing**] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[**ポリシードキュメント**] を展開すると表示されます。このロールの詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
**注記**
証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。
1. **[Save changes]** (変更の保存) をクリックします。
### IAM ロールを指定する
ログストリームへのイベント配信のために CloudTrail に割り当てるロールを指定できます。
**ロールを指定するには**
1. デフォルトでは、`CloudTrail_CloudWatchLogs_Role` が指定されます。デフォルトのロールポリシーには、指定したロググループ内に CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための必要なアクセス許可がアタッチされています。
**注記**
組織の証跡のロググループにこのロールを使用する場合は、ロールを作成した後に手動でポリシーを変更する必要があります。詳細については、[このポリシー例](#policy-cwl-org)と「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
1. ロールを確認するには、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) の AWS Identity and Access Management コンソールに移動します。
1. [**Roles**]、[**CloudTrail\$1CloudWatchLogs\$1Role**] の順に選択します。
1. **[アクセス許可]** タブからポリシーを展開して、その内容が表示されます。
1. 別のロールを指定することもできますが、そのロールを使用して CloudWatch Logs にイベントを送信する場合は、必要なロールポリシーを既存のロールにアタッチする必要があります。詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
### CloudWatch コンソールでのイベントの表示
CloudWatch Logs ロググループにイベントを送信するように証跡を設定したら、CloudWatch コンソールでイベントを表示することができます。CloudTrail は、通常、イベントを API コールからロググループへ平均 5 分以内に配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。
**CloudWatch コンソールでのイベントを表示するには**
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、**[ログ]**、**[ロググループ]** の順に選択します。
1. 証跡用に指定したロググループを選択します。
1. 表示するログストリームを選択します。
1. 証跡によって記録されたイベントの詳細を表示するには、イベントを選択します。
**注記**
CloudWatch コンソールの [**時刻 (UTC)**] 列には、イベントがロググループに配信された時刻が表示されます。イベントが CloudTrail によってログに記録された実際の時刻を確認するには、`eventTime` フィールドを参照してください。
## を使用した CloudWatch Logs モニタリングの設定 AWS CLI
を使用して AWS CLI 、モニタリングのために CloudWatch Logs にCloudWatch CloudTrail を設定できます。
### ロググループを作成する
1. 既存のロググループがない場合は、CloudWatch Logs `create-log-group` コマンドを使用して、ログイベントの配信エンドポイントとしての CloudWatch Logs ロググループを作成します。
```
aws logs create-log-group --log-group-name name
```
次の例では、`CloudTrail/logs` という名前のロググループが作成されます。
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
1. ロググループの Amazon リソースネーム (ARN) を取得します。
```
aws logs describe-log-groups
```
### ロールの作成
CloudWatch Logs ロググループにイベントを送信できるようにするための、CloudTrail 用のロールを作成します。IAM の `create-role` コマンドには、2 つのパラメータがあります。1 つはロール名で、もう 1 つは、JSON 形式のロールポリシー割り当てドキュメントへのファイルパスです。使用するポリシードキュメントによって、CloudTrail に `AssumeRole` アクセス許可が付与されます。`create-role` コマンドを実行すると、必要なアクセス許可を持ったロールが作成されます。
ポリシードキュメントを含んだ JSON ファイルを作成するには、テキストエディタを開き、`assume_role_policy_document.json` という名前のファイルに次のポリシーコンテンツを保存します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
次のコマンドを実行して、`AssumeRole` アクセス許可を使用した CloudTrail 用のロールを作成します。
```
aws iam create-role --role-name role_name --assume-role-policy-document file://.json
```
コマンドが完了したら、出力内のロール ARN を書き留めておきます。
### ポリシードキュメントを作成する
CloudTrail 用に、次のロールポリシードキュメントを作成します。指定したロググループ内に CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための必要なアクセス許可は、このドキュメントによって CloudTrail に付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
}
]
}
```
------
`role-policy-document.json` という名前のファイルにポリシードキュメントを保存します。
組織の証跡にも使用される可能性があるポリシーを作成している場合は、少し異なる方法で構成する必要があります。例えば、次のポリシー CloudTrail は、指定したロググループに CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111 の証跡と、*o-exampleorgid* の ID を持つ AWS Organizations 組織に適用される 111111111111 アカウントで作成された組織の証跡の両方について、CloudTrail イベントをそのログストリームに配信するために必要なアクセス許可を CloudTrail に付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
}
]
}
```
------
組織の証跡の詳細については、「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
次のマンドを実行して、ロールにポリシーを適用します。
```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://.json
```
### 証跡を更新する
CloudTrail の `update-trail` コマンドを使用して、証跡のロググループとロール情報を更新します。
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```
AWS CLI コマンドの詳細については、[AWS CloudTrail 「 コマンドラインリファレンス](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/)」を参照してください。
## 制限
CloudWatch Logs と EventBridge ごとに[最大 256 KB のイベントサイズを許可します](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。ほとんどのサービスイベントの最大サイズは 256 KB ですが、一部のサービスにはまだこれより大きなイベントがあります。CloudTrail は、これらのイベントを CloudWatch Logs や EventBridge に送信しません。
CloudTrail イベントバージョン 1.05 で開始し、イベントの最大サイズは 256 KB です。これは、悪意のあるアクターによる悪用を防ぎ、CloudWatch Logs や EventBridge などの他の AWS サービスでイベントを消費できるようにするためです。
# CloudTrail イベントの CloudWatch アラームの作成: 例
このトピックでは、CloudTrail イベントのアラームを設定する方法について説明します。また、その例を示します。
**Topics**
+ [前提条件](#cloudwatch-alarms-prerequisites)
+ [メトリックスフィルタを作成し、アラームを作成する](#cloudwatch-alarms-metric-filter-alarm)
+ [例 : セキュリティグループの設定の変更](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [AWS マネジメントコンソール サインイン失敗の例](#cloudwatch-alarms-for-cloudtrail-signin)
+ [例: IAM ポリシーの変更](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [CloudWatch Logs アラームの通知の設定](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)
## 前提条件
このトピックの例を使用する前に、次のことを行う必要があります。
+ コンソールまたは CLI を使用して証跡を作成します。
+ ロググループを作成します。ロググループは、証跡の作成の一部として実行できます。証跡の作成方法の詳細については、「[CloudTrail コンソールで証跡を作成する](cloudtrail-create-a-trail-using-the-console-first-time.md)」を参照してください。
+ 指定したロググループに CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するためのアクセス許可を CloudTrail に付与する IAM ロールを指定または作成します。これは、デフォルト `CloudTrail_CloudWatchLogs_Role` によって行われます。
詳細については、「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。このセクションの例は、Amazon CloudWatch Logs コンソールで実行されます。メトリクスフィルターとアラームを作成する方法の詳細については、*Amazon CloudWatch ユーザーガイド*の「[フィルターを使用したログイベントからのメトリクスの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)」および「[Amazon CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
## メトリックスフィルタを作成し、アラームを作成する
アラームを作成するには、まずメトリックスフィルタを作成してから、そのフィルタに基づいてアラームを設定する必要があります。すべての例の手順が示されます。メトリクスフィルターおよび CloudTrail ログイベントのパターンの構文の詳細については、*Amazon CloudWatch Logsユーザーガイド*の[フィルターとパターンの構文](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html)の JSON 関連のセクションを参照してください。
## 例 : セキュリティグループの設定の変更
セキュリティグループに関連する設定変更が発生したときにトリガーされる Amazon CloudWatch アラームを作成するには、この手順を実行します。
### メトリックフィルタを作成する
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインの **[ログ]** で、**[ロググループ]** を選択します。
1. ロググループのリストで、 証跡のために作成したロググループを選択します。
1. **[メトリクスフィルター]** または **[アクション]** メニューから **[メトリクスフィルターの作成]** を選択します。
1. [**パターンを定義**] ページの [**フィルターパターンの作成**] で、[**フィルターパターン**] に以下の値を入力します。
```
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
```
1. [**テストパターン**] のデフォルト値はそのままにしておきます。[**次へ**] を選択します。
1. **[メトリクスの割り当て]** ページの **[フィルター名]**に「**SecurityGroupEvents**」と入力します。
1. **[メトリクスの詳細]** ページで、**[新しく作成する]** をオンにして **[メトリクス名前空間]** に「**CloudTrailMetrics**」と入手します。
1. **[メトリクス名]** に「**SecurityGroupEventCount**」と入力します。
1. [**メトリクス値**] に「**1**」と入力します。
1. [**Default value**] は空白のままにします。
1. [**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[**Create metric filter**] を選択してフィルターを作成するか、[**編集**] を選択して戻って値を変更します。
### アラームの作成
メトリクスフィルターを作成した後、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。
1. [**メトリクスフィルター**] タブで、[メトリックフィルタを作成する](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter) で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[**メトリクスフィルター**] バーで、[**アラームの作成**] を選択します。
1. **[メトリクスと条件の指定]** で、以下を入力します。
1. [**グラフ**] には、アラームを作成したときに設定した他の設定に基づいてラインが **1** で設定されています。
1. [**メトリクス名**] は、現在のメトリクス名、**SecurityGroupEventCount** のままにしておきます。
1. [**Statistic**] は、デフォルト値、**Sum** のままにしておきます。
1. [**Period**] は、デフォルト値、**5 minutes** のままにしておきます。
1. [**条件**] セクションの [**しきい値のタイプ**] で、[**静的**] を選択します。
1. [**Whenever *metric\$1name* is**] は、[**Greater/Equal**] を選択します。
1. しきい値に「**1**」と入力します。
1. [**Additional configuration**] は、デフォルト値のままにしておきます。[**次へ**] を選択します。
1. **[アクションの設定]** ページで **[通知]** を選択し、**[アラーム状態]** を選択します。これは、5 分間に 1 回の変更イベントのしきい値を超えたときにアクションが実行されることを示します。そして、**SecurityGroupEventCount** はアラーム状態です。
1. **[次の SNS トピックに通知を送信]** で、**[新しいトピックの作成]** を選択します。
1. 新しい Amazon SNS トピックの名前として「**SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic**」と入力します。
1. **[通知を受け取る E メールエンドポイント**] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。
それぞれの E メール受信者に Amazon SNS トピックのサブスクライブを確認する E メールが送信されます。
1. **[トピックを作成]** を選択します。
1. この例では、他のアクションタイプはスキップします。[**次へ**] を選択します。
1. [**Add name and description**] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「**Security group configuration changes**」、説明には「**Raises alarms if security group configuration changes occur**」を入力します。[**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[****] で変更を加えることができます。または、[**アラームの作成**] を選択してアラームを作成します。
アラームを作成すると、CloudWatch は [**アラーム**] ページが開きます。アラームの[**アクション**] 列に、 SNS トピックのすべての E メール受信者が SNS 通知のサブスクライブを希望していることを確認するまで、[**Pending confirmation**] が表示されます。
## AWS マネジメントコンソール サインイン失敗の例
5 分間に 3 回以上の AWS マネジメントコンソール サインイン失敗が発生したときにトリガーされる Amazon CloudWatch アラームを作成するには、次の手順に従います。
### メトリックフィルタを作成する
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインの **[ログ]** で、**[ロググループ]** を選択します。
1. ロググループのリストで、 証跡のために作成したロググループを選択します。
1. **[メトリクスフィルター]** または **[アクション]** メニューから **[メトリクスフィルターの作成]** を選択します。
1. [**パターンを定義**] ページの [**フィルターパターンの作成**] で、[**フィルターパターン**] に以下の値を入力します。
```
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
```
1. [**テストパターン**] のデフォルト値はそのままにしておきます。[**次へ**] を選択します。
1. **[メトリクスの割り当て]** ページの **[フィルター名]**に「**ConsoleSignInFailures**」と入力します。
1. **[メトリクスの詳細]** ページで、**[新しく作成する]** をオンにして **[メトリクス名前空間]** に「**CloudTrailMetrics**」と入手します。
1. **[メトリクス名]** に「**ConsoleSigninFailureCount**」と入力します。
1. [**メトリクス値**] に「**1**」と入力します。
1. [**Default value**] は空白のままにします。
1. [**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[**Create metric filter**] を選択してフィルターを作成するか、[**編集**] を選択して戻って値を変更します。
### アラームの作成
メトリクスフィルターを作成した後、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。
1. [**メトリクスフィルター**] タブで、[メトリックフィルタを作成する](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter) で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[**メトリクスフィルター**] バーで、[**アラームの作成**] を選択します。
1. [**アラームの作成**] ページの、[**メトリクスと条件を指定**] ページで、以下の値を入力します。
1. [**グラフ**] には、アラームを作成したときに設定した他の設定に基づいてラインが **3** で設定されています。
1. [**メトリクス名**] は、現在のメトリクス名、**ConsoleSigninFailureCount** のままにしておきます。
1. [**Statistic**] は、デフォルト値、**Sum** のままにしておきます。
1. [**Period**] は、デフォルト値、**5 minutes** のままにしておきます。
1. [**条件**] セクションの [**しきい値のタイプ**] で、[**静的**] を選択します。
1. [**Whenever *metric\$1name* is**] は、[**Greater/Equal**] を選択します。
1. しきい値に「**3**」と入力します。
1. [**Additional configuration**] は、デフォルト値のままにしておきます。[**次へ**] を選択します。
1. **[アクションの設定]** ページの **[通知]** で **[アラーム状態]** を選択します。これは、5 分間に 3 回の変更イベントのしきい値を超えたときにアクションが実行されることを示します。そして、**ConsoleSigninFailureCount** はアラーム状態です。
1. **[次の SNS トピックに通知を送信]** で、**[新しいトピックの作成]** を選択します。
1. 新しい Amazon SNS トピックの名前として「**ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic**」と入力します。
1. **[通知を受け取る E メールエンドポイント**] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。
それぞれの E メール受信者に Amazon SNS トピックのサブスクライブを確認する E メールが送信されます。
1. **[トピックを作成]** を選択します。
1. この例では、他のアクションタイプはスキップします。[**次へ**] を選択します。
1. [**Add name and description**] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「**Console sign-in failures**」、説明には「**Raises alarms if more than 3 console sign-in failures occur in 5 minutes**」を入力します。[**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[****] で変更を加えることができます。または、[**アラームの作成**] を選択してアラームを作成します。
アラームを作成すると、CloudWatch は [**アラーム**] ページが開きます。アラームの[**アクション**] 列に、 SNS トピックのすべての E メール受信者が SNS 通知のサブスクライブを希望していることを確認するまで、[**Pending confirmation**] が表示されます。
## 例: IAM ポリシーの変更
API コールを実行して IAM ポリシーを変更する場合にトリガーされる Amazon CloudWatch アラームを作成するには、この手順を実行します。
### メトリックフィルタを作成する
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで [**ログ**] を選択します。
1. ロググループのリストで、 証跡のために作成したロググループを選択します。
1. [**アクション**]、[**メトリクスフィルターの作成**] の順に選択します。
1. [**パターンを定義**] ページの [**フィルターパターンの作成**] で、[**フィルターパターン**] に以下の値を入力します。
```
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
```
1. [**テストパターン**] のデフォルト値はそのままにしておきます。[**次へ**] を選択します。
1. **[メトリクスの割り当て]** ページの **[フィルター名]**に「**IAMPolicyChanges**」と入力します。
1. **[メトリクスの詳細]** ページで、**[新しく作成する]** をオンにして **[メトリクス名前空間]** に「**CloudTrailMetrics**」と入手します。
1. **[メトリクス名]** に「**IAMPolicyEventCount**」と入力します。
1. [**メトリクス値**] に「**1**」と入力します。
1. [**Default value**] は空白のままにします。
1. [**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[**Create metric filter**] を選択してフィルターを作成するか、[**編集**] を選択して戻って値を変更します。
### アラームの作成
メトリクスフィルターを作成した後、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。
1. [**メトリクスフィルター**] タブで、[メトリックフィルタを作成する](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter) で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[**メトリクスフィルター**] バーで、[**アラームの作成**] を選択します。
1. [**アラームの作成**] ページの、[**メトリクスと条件を指定**] ページで、以下の値を入力します。
1. [**グラフ**] には、アラームを作成したときに設定した他の設定に基づいてラインが **1** で設定されています。
1. [**メトリクス名**] は、現在のメトリクス名、**IAMPolicyEventCount** のままにしておきます。
1. [**Statistic**] は、デフォルト値、**Sum** のままにしておきます。
1. [**Period**] は、デフォルト値、**5 minutes** のままにしておきます。
1. [**条件**] セクションの [**しきい値のタイプ**] で、[**静的**] を選択します。
1. [**Whenever *metric\$1name* is**] は、[**Greater/Equal**] を選択します。
1. しきい値に「**1**」と入力します。
1. [**Additional configuration**] は、デフォルト値のままにしておきます。[**次へ**] を選択します。
1. **[アクションの設定]** ページの **[通知]** で **[アラーム状態]** を選択します。これは、5 分間に 1 回の変更イベントのしきい値を超えたときにアクションが実行されることを示します。そして、**IAMPolicyEventCount** はアラーム状態です。
1. **[次の SNS トピックに通知を送信]** で、**[新しいトピックの作成]** を選択します。
1. 新しい Amazon SNS トピックの名前として「**IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic**」と入力します。
1. **[通知を受け取る E メールエンドポイント**] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。
それぞれの E メール受信者に Amazon SNS トピックのサブスクライブを確認する E メールが送信されます。
1. **[トピックを作成]** を選択します。
1. この例では、他のアクションタイプはスキップします。[**次へ**] を選択します。
1. [**Add name and description**] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「**IAM Policy Changes**」、説明には「**Raises alarms if IAM policy changes occur**」を入力します。[**次へ**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[****] で変更を加えることができます。または、[**アラームの作成**] を選択してアラームを作成します。
アラームを作成すると、CloudWatch は [**アラーム**] ページが開きます。アラームの[**アクション**] 列に、 SNS トピックのすべての E メール受信者が SNS 通知のサブスクライブを希望していることを確認するまで、[**Pending confirmation**] が表示されます。
## CloudWatch Logs アラームの通知の設定
CloudTrail に対してアラームがトリガーされるたびに通知を送信するように CloudWatch Logs を設定することができます。これにより、CloudTrail イベントでキャプチャされ、CloudWatch Logs によって検出された重要な運用イベントにすばやく応答できます。CloudWatch では、Amazon Simple Notification Service (SNS) を使用して E メールを送信しています。詳細については、「*CloudWatch ユーザーガイド*」の「[Amazon SNS 通知の設定](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS)」を参照してください。
# CloudTrail が CloudWatch Logs にイベントを送信しないようにする
証跡を更新して Amazon CloudWatch CloudWatch Logs への AWS CloudTrail イベントの送信を停止できます。
## CloudWatch Logs へのイベントの送信を停止する (コンソール)
**CloudWatch Logs への CloudTrail イベントの送信を停止するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインで、**[Trails]** (追跡) を選択します。
1. CloudWatch Logs の統合を無効にする証跡の名前を選択します。
1. [**CloudWatch Logs**] で、[**編集**] を選択します。
1. [**有効**] チェックボックスをオフにします。
1. **[Save changes]** (変更の保存) をクリックします。
## CloudWatch Logs (CLI) へのイベントの送信を停止する
[**update-trail**](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md) コマンドを実行して、配信エンドポイントとしての CloudWatch Logs ロググループを削除できます。次のコマンドを実行すると、ロググループ ARN と CloudWatch Logs ロール ARN の値を空の値に置き換えて、ロググループとロールが証跡設定から消去されます。
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
```
# CloudTrail の CloudWatch ロググループとログストリームの名前付け
Amazon CloudWatch では、CloudTrail イベントに対して作成されたロググループと、リージョン内の他のロググループが表示されます。他のロググループと簡単に区別できようなロググループ名を使用することをお勧めします。例えば、**CloudTrail/logs**。
ロググループの名前を指定する際は、これらのガイドラインに従います。
+ ロググループ名は AWS アカウントのリージョン内で一意である必要があります。
+ ロググループの名前は 1~512 文字で指定します。
+ ロググループ名には、a~z、A~Z、0~9、'\$1' (下線)、'-' (ハイフン)、'/' (スラッシュ)、 '.' (ピリオド) および '\$1' (番号記号) を使用できます。
CloudTrail は、ロググループのログストリームを作成するとき、ログストリームに *account\$1ID*\$1CloudTrail\$1*trail\$1region* という形式の名前を付けます。
**注記**
CloudTrail ログの量が多い場合、ロググループにログデータを配信するために複数のログストリームが作成されることがあります。複数のログストリームがある場合、CloudTrail は次の形式に従って各ログストリームに名前を付けます: *account\$1ID*\$1CloudTrail\$1*trail\$1region*\$1*number*。
CloudWatch ロググループの詳細については、*Amazon CloudWatch Logs ユーザーガイド*の「[ロググループとログストリームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」および *Amazon CloudWatch Logs API リファレンス*の「[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)」を参照してください。
# CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント
このセクションでは、CloudTrail ロールが CloudWatch Logs にログイベントを送信するために必要な許可ポリシーについて説明します。イベントを送信するように CloudTrail を設定するときは、ロールにポリシードキュメントをアタッチできます (「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照)。IAM を使用してロールを作成することもできます。詳細については、「[AWS のサービスにアクセス許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」または「[IAM ロール (AWS CLI) の作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli)」を参照してください。
以下のポリシードキュメントの例には、指定したロググループで CloudWatch ログストリームを作成し、CloudTrail イベントを 米国東部 (オハイオ) リージョンのログストリームに配信するために必要なアクセス許可が含まれます。(これは、デフォルトの IAM ロール `CloudTrail_CloudWatchLogs_Role` に対するデフォルトのポリシーです。)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
]
}
]
}
```
------
組織の証跡にも使用される可能性があるポリシーを作成している場合は、そのロール用に作成されたデフォルトポリシーから変更する必要があります。例えば、次のポリシーは、CloudTrail*\$1group\$1name* の値として指定したロググループに CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111 の証跡と、*o-exampleorgid* の ID を持つ AWS Organizations 組織に適用される 111111111111 アカウントで作成された組織の証跡の両方について、そのログストリームに CloudTrail イベントを配信するために必要なアクセス許可を CloudTrail に付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
]
}
]
}
```
------
組織の証跡の詳細については、「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。