目次
| サンプル | CloudTrailとは |
| CloudTrailでEC2の起動を確認する | |
| EC2の起動時のJSONイメージ | |
| データのダウンロード |
CloudTrailとは
- CloudTrailは誰がどのような操作したかを確認できます。
- デフォルトで証跡無しで90日間、管理イベントが記録されます。
イベントは以下の3つの種類があります。
→管理イベント・・・ログインやEC2インスタンス等の作成、削除等を指します。
→データイベント・・・S3バケット内のデータ等の作成、削除等を指します。
→インサイトイベント・・・異常時に記録されます。 - データイベントを取得する場合、証跡を作成しAthenaテーブルからSQLで検索します。
→証跡はS3に作成され90日以上の保存が可能です。S3の保存料金はかかります。 - このページはデフォルトのCloudtrailのログを確認します。
CloudTrailでEC2の起動を確認する
1.EC2のインスタンスを開始します。
2.検索入力欄で「CloudTrail」と入力し、表示された「CloudTrail」をクリックします。
3.左側のダッシュボードをクリックします。
4.イベント履歴の「StartInstances」をクリックします。
5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID、AWS リージョン、エラーコード等もわかります。
6.JSON形式でイベントレコードを確認できます。
EC2の起動時のJSONイメージ
3-18行目はユーザ情報です。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDx",
"arn": "arn:aws:iam::452x:user/addUser1",
"accountId": "452x",
"accessKeyId": "ASIx",
"userName": "addUser1",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-08-02T13:45:49Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2022-08-02T14:41:21Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "StartInstances",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"instanceId": "i-05211bcf2b7629dbe"
}
]
}
},
"responseElements": {
"requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"instancesSet": {
"items": [
{
"instanceId": "i-05211bcf2b7629dbe",
"currentState": {
"code": 0,
"name": "pending"
},
"previousState": {
"code": 80,
"name": "stopped"
}
}
]
}
},
"requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "452x",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}| 6行目 | arn | Amazonリソースネームの略です。 AWSリソースを一意に識別します。 |
| 20行目 | eventSource | リクエストが行われたサービス →ec2.amazonaws.com |
| 21行目 | eventName | リクエストされたアクション →StartInstances |
| 22行目 | awsRegion | リクエストが行われた AWSリージョン →ap-northeast-1 |
| 25行目 | requestParameters | リクエストとともに送信されたパラメータ →指定のインスタンスID |
| 34行目 | responseElements | 変更を行うアクションのレスポンスの要素 →結果で現在はpending |
データのダウンロード
特定の項目の指定と日時の期間等とCSVまたはJSON形式でのデータのダウンロードも可能です。
関連の記事
AWS CloudTrail のデータをAthenaで確認するサンプル
AWS CloudTrail Lakeの設定とSQLで確認する