コンソールを使用して証跡の Insights イベントを表示する - AWS CloudTrail
Insights イベントのフィルタリングInsights イベントの詳細の表示グラフのズーム、パン、ダウンロードグラフの期間設定の変更Insights イベントのダウンロード

コンソールを使用して証跡の Insights イベントを表示する

このセクションでは、CloudTrail コンソールの Insights ページから証跡の過去 90 日間の Insights イベントを表示、ルックアップ、ダウンロードする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「イベントデータストアの Insights ダッシュボードの表示」を参照してください。

Insights イベントが証跡でログ記録されると、それらのイベントは [インサイト] ページに 90 日間表示されます。[インサイト] ページからイベントを手動で削除することはできません。証跡に対して有効な Insights イベントは、その証跡用に設定された Amazon S3 バケットに保存されるため、バケットから Insights イベントを削除すると、それらのイベントが削除されます。

証跡ログをモニタリングでき、CloudWatch Logs を有効にすることで、特定の Insights イベントの発生時に通知を受けることができます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

注記

コンソールに Insights イベントを表示するには、証跡で CloudTrail Insights イベントを有効にする必要があります。その時間中に異常なアクティビティが検出された場合、CloudTrail が最初の Insights イベントを配信するまでに最大 36 時間かかることがあります。

API コール率に関する Insights イベントを記録するには、証跡が write 管理イベントをログ記録している必要があります。API エラー率に関する Insights イベントを記録するには、証跡が read または write 管理イベントをログ記録している必要があります。

Insights イベントを表示するには

  1. AWS マネジメントコンソール にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/home/)

  2. ナビゲーションペインで、[Insights] を選択して過去 90 日間にアカウントにログインしたすべての Insights イベントを表示します。[ダッシュボード] ページから最新の Insights イベントを 5 つ表示することもできます。

  3. [Insights] ページで、Insights イベントをイベントソース、イベント名、またはイベント ID でフィルタリングできます。Insights イベントのフィルタリングの詳細については、「Insights イベントのフィルタリング」を参照してください。

  4. さらに、リストを相対範囲または絶対範囲に制限できます。

Insights イベントのフィルタリング

デフォルトでは、[Insights] ページのイベントは、イベント開始時刻ごとに逆の時系列で表示されます。

次の 3 つの属性のいずれかを選択して、リストをフィルタリングできます。

イベント名

イベントの名前。通常は、異常なレベルのアクティビティが記録された AWS API です。

イベントソース

リクエスト先の AWS サービス (iam.amazonaws.com.rproxy.govskope.cas3.amazonaws.com など)。イベントソースでフィルタリングすることを選択すると、イベントソースのリストをスクロールできます。

イベント ID

Insights イベントの ID。イベント ID は [Insights] ページのテーブルには表示されませんが、Insights イベントをフィルタリングできる属性です。Insights イベントを生成するために分析される管理イベントのイベント ID は、Insights イベントのイベント ID とは異なります。

CloudTrail Insights イベントリストフィルター。

次のリストは、イベントのフィルタリングできない属性を示しています。

Insight タイプ

CloudTrail Insights イベントのタイプで、[API コール率] または [API エラー率] のいずれかです。[API コール率] の Insight タイプは、ベースライン API コール量に対して 1 分ごとに集計された書き込み専用の管理 API コールを分析します。[API エラー率] は、エラーコードを発生させた管理 API 呼び出しを分析します。API 呼び出しに失敗すると、エラーが表示されます。

イベント開始時間

Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[Insights] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。

ベースライン平均

ベースラインは、API コールレートまたはエラーレートアクティビティの通常のパターンを表し、毎日計算されます。ベースライン平均は、Insights イベントの開始前の 7 日間でのこれらの毎日のベースラインの平均です。この期間は一般的に 7 日間ですが、CloudTrail は計算期間を整数日に丸めるため、正確なベースライン期間はわずかに異なる場合があります。

インサイト平均

Insights イベントをトリガーした API コールの平均数、または API コールで返された特定エラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした発生率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。

レートの変化

測定されたベースライン平均インサイト平均の値 (割合) の差分。例えば、発生する AccessDenied エラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、[Rate change] (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、[ルックアップ値を入力] ボックスに値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 日時でフィルタリング から、次のいずれかを選択します。

    • [絶対範囲] - 特定の時間を選択できます。次のステップに進みます。

    • [相対範囲] - デフォルトで選択されます。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 3 に進みます。

  2. [絶対範囲] に設定するには、次の操作を行います。

    1. 時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、yyyy/mm/dd の形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値は hh:mm:ss の形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、18:30:00 を入力します。

    2. カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。[Apply] (適用) を選択します。

  3. [相対範囲] を設定するには、次の操作を行います。

    1. Insights イベントの開始時刻を基準としたプリセット期間を選択します。プリセットされた時間範囲は、30 分、1 時間、12 時間、または 1 日です。カスタムの時間範囲を指定するには、[Custom] を選択します。

    2. 相対時間を設定したら、[適用] を選択します。

  4. 時間範囲フィルタを削除するには、[日時でフィルタリング] ボックスの右側にあるカレンダーアイコンを選択し、[クリアして却下] を選択します。

Insights イベントの詳細の表示

  1. 結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。

    異常な API アクティビティを示す CloudTrail Insights 詳細ページ。

  2. 強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。

    Insights イベントにマウスカーソルを合わせると表示される Insights イベントの統計情報。

    では、次の情報が示されています。追加情報グラフの面積:

    • Insights タイプ。これは API コールレートまたは API エラーレートです。

    • [トリガー] (トリガー) これは、[Cloudtrail イベント] タブが表示されます。このタブには、異常なアクティビティが発生したと判断するために分析された管理イベントが一覧表示されます。

    • 1 分あたりの API コール または 1 分あたりのエラー

      • Baseline average (ベースライン平均) - アカウントの特定のリージョンで、過去約 7 日内に測定された、Insights イベント がログに記録された API での 1 分あたりの標準的な発生率。

      • Insights average (インサイト平均) - Insights イベントをトリガーしたこの API での 1 分あたりの発生率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした API での 1 分あたりの API コールまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティの期間における 1 分あたりの API コールまたはエラーの割合です。

    • イベントソース 異常な回数の API コールまたはエラーがログに記録された AWS サービスエンドポイント。前の画像では、ソースは ec2.amazonaws.com で、これは Amazon EC2 のサービスエンドポイントです。

    • Start event ID (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。

    • End event ID (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。

    • Shared event ID (共有イベント ID) - Insights イベントでは、共有イベント ID は、Insights イベントの開始と終了のペアを一意的に識別するために CloudTrail Insights が生成する GUID です。共有イベント ID は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。

  3. [Attributions] (属性) タブを選択して、ユーザーID、ユーザーエージェント、API コールレート Insight イベント、異常なベースラインアクティビティに相関するエラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [属性] タブのテーブルに表示されます。

  4. [CloudTrail events] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトで、フィルターはすでに Insights イベント名に適用されています。これは関連する API の名前でもあります。[CloudTrail イベント] タブには、Insights イベントの開始時刻 (マイナス 1 分) と終了時刻 (プラス 1 分) の間に発生したサブジェクト API に関連する CloudTrail 管理イベントが表示されます。

    グラフで他の Insights イベントを選択すると、[CloudTrail イベント] テーブルに表示されるイベントが変わります。これらのイベントは、より深い分析を実行して、Insights イベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。

    関連する API のイベントだけでなく、Insights イベント期間中に記録されたすべての CloudTrail イベントを表示するには、フィルターをオフにします。

  5. [Insights event record] タブを選択して、Insights の開始イベントと終了イベントを JSON 形式で表示します。

  6. リンクされた [イベントソース] を選択すると、そのイベントソースによってフィルタリングされた [インサイト] ページに戻ります。

グラフのズーム、パン、ダウンロード

右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。

PNG としてダウンロード、ズーム、パン、ズームイン、ズームアウト、および軸のリセットコマンドツールバー。

グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。

  • プロットを PNG としてダウンロード - 詳細ページに表示されているグラフ画像をダウンロードし、PNG 形式で保存します。

  • ズーム - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。

  • パン - グラフをシフトして、隣接する日付または時刻を表示します。

  • 軸のリセット - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。

グラフの期間設定の変更

グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (X 軸上に示される選択したイベントの継続時間) を変更できます。

Insights イベントのタイムスパンコントロール。

Insights イベントのダウンロード

記録された Insights イベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。

  1. ダウンロードするイベントのフィルタと時間範囲を指定します。例えば、イベント名 StartInstances を指定し、過去 12 時間のアクティビティの時間範囲を指定できます。

  2. [Download events] 選択し、その後 [Download as CSV] または [Download as JSON] を選択します。ファイルを保存する場所を選択するプロンプトが表示されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルする場合は、[キャンセル] を選択します。ダウンロードが完了する前にキャンセルした場合、ローカルコンピューター上の CSV ファイルまたは JSON ファイルにイベントの一部しか含まれていない可能性があります。