AWS CloudTrailでEC2の起動を確認する

AWSのCloudTrailでEC2の起動を確認するサンプルです。

目次

サンプル CloudTrailとは
  CloudTrailでEC2の起動を確認する
  EC2の起動時のJSONイメージ
CloudTrailを停止する
管理イベント、データイベント、インサイトイベントの設定
データのダウンロード

CloudTrailとは

  • 誰がどのような操作したかを確認できます。
  • 以下の3つのイベントを対象としています。デフォルトでは管理イベントのみ記録されます。
  • 管理イベント・・・ログインやEC2インスタンス等の作成、削除等を指します。
  • データイベント・・・S3バケット内のデータ等の作成、削除等を指します。
  • インサイトイベント・・・異常時に記録されます。

 

CloudTrailでEC2の起動を確認する

1.EC2のインスタンスを開始します。

2.検索入力欄で「CloudTrail」と入力し、表示された「CloudTrail」をクリックします。

3.左側のダッシュボードをクリックします。

4.イベント履歴の「StartInstances」をクリックします。

 

5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID、AWS リージョン、エラーコード等もわかります。

 

6.JSON形式でイベントレコードを確認できます。

 

EC2の起動時のJSONイメージ

3-18行目はユーザ情報です。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDx",
        "arn": "arn:aws:iam::452x:user/addUser1",
        "accountId": "452x",
        "accessKeyId": "ASIx",
        "userName": "addUser1",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-08-02T13:45:49Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2022-08-02T14:41:21Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-05211bcf2b7629dbe"
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-05211bcf2b7629dbe",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    },
    "requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
    "eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "452x",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
6行目 arn Amazonリソースネームの略です。
AWSリソースを一意に識別します。
20行目 eventSource リクエストが行われたサービス
→ec2.amazonaws.com
21行目 eventName リクエストされたアクション
→StartInstances
22行目 awsRegion リクエストが行われた AWSリージョン
→ap-northeast-1
25行目 requestParameters リクエストとともに送信されたパラメータ
→指定のインスタンスID
34行目 responseElements 変更を行うアクションのレスポンスの要素
→結果で現在はpending

 

CloudTrailを停止する

CloudTrailのダッシュボードにあるCloudTrailの名称(上記サンプルではtest-cloud-trail)のリンクをクリックし、「ログ記録の停止」または「削除」をクリックします。

 

管理イベント、データイベント、インサイトイベントの設定

作成したCloudTrailのリンクをクリックすると設定画面が表示されます。
デフォルトでは管理イベントのみ記録されています。

 

データのダウンロード

特定の項目の指定と日時の期間等とCSVまたはJSON形式でのデータのダウンロードも可能です。

関連の記事

AWS CloudTrail のデータをAthenaで確認するサンプル
AWS CloudTrail Lakeの設定とSQLで確認する

△上に戻る