Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
CloudTrail を使用して、AWS アカウントで発生した API コールとアクションを確認する方法を教えてください。
コンソールへのログインやインスタンスの削除などの、AWS アカウントで発生したアクションを確認する方法を教えてください。
概要
次の情報を使用すると、AWS CloudTrail データを使用してアカウントに対する API コールを確認し、追跡できます。
- CloudTrail イベント履歴
- CloudTrail Lake
- Amazon CloudWatch Logs
- Amazon Athena クエリ
- Amazon Simple Storage Service (Amazon S3) でアーカイブされたログファイル
注: 一部の AWS サービスではログが記録されないため、ログを CloudTrail で使用することはできません。CloudTrail と統合された AWS サービスのリストについては、「CloudTrail 用の AWS サービストピック」を参照してください。
解決策
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、使用している AWS CLI が最新バージョンであることを確認してください。
CloudTrail イベント履歴
CloudTrail コンソールを使用して CloudTrail イベント履歴を確認する
過去 90 日間の、サポートされているすべてのサービスと統合、およびイベントタイプ (作成、変更、削除、変更不可能なアクティビティ) を確認できます。CloudTrail イベント履歴を使用するために証跡を設定する必要はありません。
手順については、「CloudTrail コンソールで CloudTrail イベントを確認する」を参照してください。
AWS CLI を使用して CloudTrail イベント履歴を確認する
注: AWS CLI を使用してイベントを検索するには、CloudWatch Logs に記録するための証跡を作成し、設定する必要があります。詳細については、「証跡を作成する」を参照してください。「CloudWatch Logs にイベントを送信する」も参照してください。
filter-log-events コマンドを実行してメトリクスフィルターを適用し、ログイベント内の特定の用語、フレーズ、値を検索します。次に、フィルター結果を CloudWatch メトリクスとアラームに変換します。
詳細については、「フィルターとパターンの構文」を参照してください。
注: filter-log-events コマンドを大規模に (オートメーションやスクリプトなどで) 使用するには、CloudWatch Logs のサブスクリプションフィルターを使用することをお勧めします。その理由は、filter-log-events API アクションには API 制限があるためです。サブスクリプションフィルターには、その制限がかかりません。サブスクリプションフィルターは、大量のログデータをリアルタイムで処理する機能も備えています。詳細については、「CloudWatch Logs のクォータ」を参照してください。
CloudTrail Lake
CloudTrail Lake では、イベントを集約し、不変に保存し、SQL ベースのクエリを実行することができます。CloudTrail Lake には、最大 7 年間 (2,555 日間) データを保存することもできます。
詳細については、「CloudTrail Lake を使用する」を参照してください。
Amazon CloudWatch Logs
注: CloudWatch Logs を使用するには、CloudWatch Logs に記録するための証跡を作成し、設定する必要があります。詳細については、「証跡を作成する」を参照してください。「CloudWatch Logs にイベントを送信する」も参照してください。
CloudWatch Logs を使用すると、リソースの状態を変更する操作 (StopInstances など) を検索できます。リソースの状態を変更しない操作 (DescribeInstances など) も、CloudWatch ログを使用して検索できます。手順については、「CloudWatch Logs に送信されたログデータを表示する」を参照してください。
次の点に注意してください。
- 証跡を作成済みであっても、CloudTrail がイベントを CloudWatch Logs に送信するように明示的に設定する必要があります。
- ログを設定するよりも前のアクティビティを確認することはできません。
- イベントのサイズと量によっては、ログストリームが複数になる可能性があります。すべてのストリームを検索するには、個別のストリームを選択する前に [検索ロググループ] を選択します。
- CloudWatch Logs のイベントサイズは 256 KB に制限されているため、CloudTrail は 256 KB を超えるイベントは CloudWatch Logs に送信しません。
Amazon Athena クエリ
Amazon Athena を使用すると、Amazon S3 バケットに保存されている CloudTrail データイベントと管理イベントを確認できます。
詳細については、「Amazon Athena に AWS CloudTrail ログを検索するためのテーブルを自動的に作成する方法を教えてください」を参照してください。 「手動パーティショニングにより、Athena で CloudTrail ログ用のテーブルを作成する」も参照してください。
Amazon S3 でアーカイブされたログファイル
注: Amazon S3 でアーカイブされたログファイルを閲覧するには、S3 バケットに記録するための証跡を作成し、設定する必要があります。詳細については、「証跡を作成する」を参照してください。
CloudTrail によってキャプチャされたすべてのイベントは Amazon S3 ログファイルに表示されます。CloudTrail Processing Library または AWS CLI を使用して S3 バケットのログファイルを手動で解析したり、ログを AWS CloudTrail パートナーに送信したりすることもできます。
手順については、「Amazon S3 の CloudTrail イベント」を参照してください。
注: S3 バケットに記録するには、証跡を有効にする必要があります。
関連情報
- 言語
- 日本語
