AWS CloudTrailでEC2の起動を確認する

目次

サンプル CloudTrailとは
  CloudTrailでEC2の起動を確認する
  EC2の起動時のJSONイメージ
データのダウンロード

CloudTrailとは

  • CloudTrailは誰がどのような操作したかを確認できます。
  • デフォルトで証跡無しで90日間、管理イベントが記録されます。
    イベントは以下の3つの種類があります。
    →管理イベント・・・ログインやEC2インスタンス等の作成、削除等を指します。
    →データイベント・・・S3バケット内のデータ等の作成、削除等を指します。
    →インサイトイベント・・・異常時に記録されます。
  • データイベントを取得する場合、証跡を作成しAthenaテーブルからSQLで検索します。
    →証跡はS3に作成され90日以上の保存が可能です。S3の保存料金はかかります。
  • このページはデフォルトのCloudtrailのログを確認します。

 

CloudTrailでEC2の起動を確認する

1.EC2のインスタンスを開始します。

2.検索入力欄で「CloudTrail」と入力し、表示された「CloudTrail」をクリックします。

3.左側のダッシュボードをクリックします。

4.イベント履歴の「StartInstances」をクリックします。

 

5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID、AWS リージョン、エラーコード等もわかります。

 

6.JSON形式でイベントレコードを確認できます。

 

EC2の起動時のJSONイメージ

3-18行目はユーザ情報です。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDx",
        "arn": "arn:aws:iam::452x:user/addUser1",
        "accountId": "452x",
        "accessKeyId": "ASIx",
        "userName": "addUser1",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-08-02T13:45:49Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2022-08-02T14:41:21Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-05211bcf2b7629dbe"
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-05211bcf2b7629dbe",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    },
    "requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
    "eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "452x",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
6行目 arn Amazonリソースネームの略です。
AWSリソースを一意に識別します。
20行目 eventSource リクエストが行われたサービス
→ec2.amazonaws.com
21行目 eventName リクエストされたアクション
→StartInstances
22行目 awsRegion リクエストが行われた AWSリージョン
→ap-northeast-1
25行目 requestParameters リクエストとともに送信されたパラメータ
→指定のインスタンスID
34行目 responseElements 変更を行うアクションのレスポンスの要素
→結果で現在はpending

 

データのダウンロード

特定の項目の指定と日時の期間等とCSVまたはJSON形式でのデータのダウンロードも可能です。

関連の記事

AWS CloudTrail のデータをAthenaで確認するサンプル
AWS CloudTrail Lakeの設定とSQLで確認する

△上に戻る