AMS 集計サービスログ

各 AWS サービスは、CloudWatch Logs または Amazon S3 バケット内の特定の場所にログ記録します。

注記

特に明記されていない限り、すべてのログの場所はログを生成したアカウントにローカルであり、中央のログ記録アカウントに集約されません。

SALZ および MALZ アカウントでデフォルトの AMS CloudTrail 証跡名を検索するには、CloudTrail の AWS コンソールに移動し、証跡ページに移動して AMS を検索します。AMS リソースにはタグがあるため、この方法で証跡を見つけることができます。AMS CloudTrail タグの例：


Environment	  AMSInfrastructure

ログにアクセスするには、必要な IAM ロールのいずれかがあり、AMS アカウントにあることを確認します。次に、表示されているディレクトリに移動します。

Multi-Account Landing Zone

AMS マルチアカウントランディングゾーン集約サービスログ
	サービス名	ログの詳細	ログの場所
1	Amazon Aurora	全般、スロークエリ、エラーログ。	CloudWatch LogGroup: /aws/rds/cluster/{`database_name`}/{`log_name`}
2	AWS CloudFormation (CFN)	API コールのログ記録のみ。	AWS CloudFormation API コールは CloudTrail を介して文書化されます。CloudTrail はログを CloudWatch LogGroup に送信し、ログを S3 バケットに同期します。ログはデフォルトで CloudWatch LogGroup に 14 日間保持され、S3 バケットに無期限に保持されます。 CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-ams-a{`account_ID`}-log-management-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
3	Amazon CloudFront (CloudFront)	ユーザーリクエストのログ記録。CloudFront ログ記録は明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。	S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: AWS/RedShift/{`CloudFront ディストリビューション ID`}
4	Amazon CloudWatch (CloudWatch)	API コールのログ記録のみ。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
5	Amazon Elastic Block Store (Amazon EBS)	EBS サービスによってログは生成されません。	該当しない
6	Amazon Elastic Compute Cloud (Amazon EC2)	システムログとアプリケーションログ。詳細については、「Amazon Elastic Compute Cloud (Amazon EC2) - システムレベルのログ」を参照してください。	CloudWatch Logs: /{`インスタンス ID`}
7	Amazon Elastic File System (Amazon EFS)	API コールのログ記録のみ。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
8	Elastic Load Balancing (ELB)	アクセスログエントリとエラーログエントリ。 Elastic Load Balancer は、バックエンドインスタンスにルーティングされないリクエストを含め、送信されたすべてのリクエストを記録します。たとえば、クライアントが不正な形式のリクエストを送信した場合や、応答する正常なインスタンスがない場合でも、リクエストはログに記録されます。 Elastic Load Balancing ログエントリの詳細については、「」を参照してください。 Classic Load Balancer: ログエントリにアクセスします。 Application Load Balancer: ログエントリにアクセスします。 Network Load Balancer: ログエントリにアクセスします。	API コールログ： CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/ アクセスログ: S3 バケット: mc-a{`account_ID`}-logs{`region`} パス: aws/elbaccess
9	Amazon OpenSearch Service (OpenSearch Service)	サービスエラーログ。 OpenSearch ログ記録を明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
10	Amazon ElastiCache	API コールのログ記録のみ。	CloudWatch LogGroup: //CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
11	Amazon GuardDuty
12	Amazon Inspector
13	Amazon Macie
14	Amazon Redshift	接続、ユーザー、アクティビティログ。ログ記録は、Redshift クラスターの作成 CT (ct-1malj7snzxrkr) を呼び出して Redshift クラスターを作成すると、デフォルトで有効になります。詳細については、「データベース監査ログ記録」を参照してください。	S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: /AWS/RedShift/{`CloudFront ディストリビューション ID`}
15	Amazon Relational Database Service (RDS)	データベースタイプに固有のログ。 RDS ログ記録を明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。 MSSQL ログにはストアドプロシージャを介してのみアクセスできます。詳細については、「ログファイルのアーカイブ」を参照してください。	CloudWatch LogGroup: /aws/rds/(`インスタンス`または`クラスター`)/{`database_name`}/{`log_name`}
16	Amazon S3 (S3)	バケットアクセスログ。各アクセスログレコードは、リクエスタ、バケット名、リクエスト時間、リクエストアクション、レスポンスステータス、エラーコード (存在する場合) など、単一のアクセスリクエストに関する詳細を提供します。アクセスログ情報は、セキュリティとアクセス監査に役立ちます。また、顧客基盤について知り、Amazon S3 の請求を理解することにも役立ちます。 S3 アクセスログエントリの詳細については、S3 サーバーアクセスログの形式」を参照してください。	S3 バケット: mc-a{`account_ID`}-log-management-{`region`} パス: /aws/s3access/{`bucket_name`} S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-s3-access-logs-{`account_ID`}-{`region`} パス: /
17	Amazon Simple Email Service (SES)	SES API サービスコール。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
18	Amazon Virtual Private Cloud (VPC)	VPC フローデータ (VPC のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報）。	CloudWatch LogGroup: /aws/vpcflow/{`VPC_ID`}
19	Auto Scaling	API コールのログ記録のみ。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
20	AWS Certificate Manager	API コールのログ記録のみ。
21	AWS CodeDeploy	インスタンス固有のデプロイログ。	インスタンス上
22	AWS Config	AWS Config API サービスコール。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
22	AWS Config	AWS Config によって追跡されるリソース設定の変更。	S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/Config/
23	AWS Database Migration Service	データベース移行ログ。詳細については、AWS Database Migration Service でのログ管理の紹介」を参照してください。	データベース移行コンソール
24	AWS Direct Connect (DX)	API コールのログ記録のみ。	CloudWatch LogGroup: /CloudTrail/Landing-Zone-Logs S3 バケット [中央ログ記録アカウント内]: aws-landing-zone-logs-{`account_ID`}-{`region`} パス: /AWSLogs/{`account_ID`}/CloudTrail/
25	AWS Glacier
26	AWS IAM (IAM)
27	AWS Key Management Service
28	AWS マネジメントコンソール (コンソールまたは AWS コンソール）
29	AWS Simple Notification Service (SNS)
30	AWS Simple Queueing Service (SQS)

Single-Account Landing Zone

AMS シングルアカウントランディングゾーン集約サービスログ
	サービス名	ログの詳細	ログの場所
1	Amazon Aurora	全般、スロークエリ、エラーログ。	CloudWatch LogGroup: /aws/rds/cluster/{`database_name`}/{`log_name`}
2	Amazon CloudFormation (CloudFormation または CFN)	API コールのログ記録のみ。	CloudFormation API コールは CloudTrail を介して文書化されます。CloudTrail はログを CloudWatch LogGroup に送信し、ログを S3 バケットに同期します。 CloudWatch LogGroup: /aws/ams/cloudtrail S3 バケット: ams-a{`account_ID`}-log-management-{`region`}
3	Amazon CloudFront (CloudFront)	ユーザーリクエストのログ記録。 CloudFront ログ記録を明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。	S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: AWS/RedShift/{`CloudFront_distribution_ID`}
4	Amazon CloudWatch (CloudWatch)	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
5	Amazon Elastic Block Store (EBS)	EBS サービスによってログは生成されません。	該当しない
6	Amazon Elastic Compute Cloud (EC2)	システムログとアプリケーションログ。詳細については、「Amazon Elastic Compute Cloud (Amazon EC2) - システムレベルのログ」を参照してください。	CloudWatch Logs: /{`instance_ID`}
7	Amazon Elastic File System (Amazon EFS)	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
8	Elastic Load Balancing (ELB)	アクセスログエントリとエラーログエントリ。 Elastic Load Balancer は、バックエンドインスタンスにルーティングされないリクエストを含め、送信されたすべてのリクエストを記録します。たとえば、クライアントが不正な形式のリクエストを送信した場合や、応答する正常なインスタンスがない場合でも、リクエストはログに記録されます。 Elastic Load Balancer ログエントリの詳細については、「」を参照してください。 Classic Load Balancer: ログエントリにアクセスします。 Application Load Balancer: ログエントリにアクセスします。 Network Load Balancer: ログエントリにアクセスします。	CloudWatch LogGroup: /aws/ams/cloudtrail S3 バケット: mc-a{`account_ID`}-logs-{`region`} パス: aws/elbaccess
9	Amazon OpenSearch Service (OpenSearch Service)	サービスエラーログ。 OpenSearch ログ記録を明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。	CloudWatch LogGroup: /aws/ams/cloudtrail
10	Amazon ElastiCache	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
11	Amazon GuardDuty
12	Amazon Inspector
13	Amazon Macie
14	Amazon Redshift	接続、ユーザー、アクティビティログ。ログ記録は、Redshift クラスターの作成 CT (ct-1malj7snzxrkr) を呼び出して Redshift クラスターを作成すると、デフォルトで有効になります。詳細については、「データベース監査ログ記録」を参照してください。	S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: /AWS/RedShift/{`CloudFront_Distribution_ID`}
15	Amazon Relational Database Service (RDS)	データベースタイプに固有のログ。 RDS ログ記録は明示的に有効にする必要があります。詳細については、「サポートされているサービスのログ記録の有効化」を参照してください。 MSSQL ログにはストアドプロシージャを介してのみアクセスできます。詳細については、「ログファイルのアーカイブ」を参照してください。	CloudWatch LogGroup: /aws/rds/(インスタンス\|クラスター)/{データベース名}/{ログ名}
16	Amazon S3 (S3)	バケットアクセスログ。各アクセスログレコードは、リクエスタ、バケット名、リクエスト時間、リクエストアクション、レスポンスステータス、エラーコード (存在する場合) など、単一のアクセスリクエストに関する詳細を提供します。アクセスログ情報は、セキュリティおよびアクセス監査に役立ちます。また、顧客ベースについて学び、Amazon S3 請求書を理解するのに役立ちます。 S3 アクセスログエントリの詳細については、S3 サーバーアクセスログの形式」を参照してください。	S3 バケット: mc-a{`account_ID`}-log-management-{`region`} パス: /aws/s3access/{`bucket_name`}
17	Amazon Simple Email Service (SES)	SES API サービスコール。	CloudWatch LogGroup: /aws/ams/cloudtrail S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: AWS/CloudTrail/AWSLogs/{`account_ID`}/CloudTrail/{`region`}
18	Amazon Virtual Private Cloud (VPC)	VPC フローデータ (VPC のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報）。	CloudWatch LogGroup: /aws/vpcflow/{vpc_id}
19	Auto Scaling	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
20	AWS Certificate Manager	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
21	AWS CodeDeploy	インスタンス固有のデプロイログ。	インスタンス上
22	AWS Config	AWS Config API サービスコール。	CloudWatch LogGroup: /aws/ams/cloudtrail S3 バケット: ams-a{`account_ID`}-log-management-{`region`} パス: AWS/CloudTrail/AWSLogs/{`account_ID`}/CloudTrail/{`region`}
23	AWS Database Migration Service	データベース移行ログ。詳細については、AWS Database Migration Service でのログ管理の紹介」を参照してください。	データベース移行コンソール
24	AWS Direct Connect (DX)	API コールのログ記録のみ。	CloudWatch LogGroup: /aws/ams/cloudtrail
25	AWS Glacier
26	AWS IAM (IAM)
27	AWS Key Management Service
28	AWS マネジメントコンソール (コンソールまたは AWS コンソール）
29	AWS Simple Notification Service (SNS)
30	AWS Simple Queueing Service (SQS)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ログのアクセス

AMS 共有サービスログ