AWSのCloudTrailでEC2の起動を確認するサンプルです。
目次
| サンプル | CloudTrailとは |
| CloudTrailでEC2の起動を確認する | |
| EC2の起動時のJSONイメージ | |
| CloudTrailを停止する | |
| 管理イベント、データイベント、インサイトイベントの設定 | |
| データのダウンロード |
CloudTrailとは
- 誰がどのような操作したかを確認できます。
- 以下の3つのイベントを対象としています。デフォルトでは管理イベントのみ記録されます。
- 管理イベント・・・ログインやEC2インスタンス等の作成、削除等を指します。
- データイベント・・・S3バケット内のデータ等の作成、削除等を指します。
- インサイトイベント・・・異常時に記録されます。
CloudTrailでEC2の起動を確認する
1.EC2のインスタンスを開始します。
2.検索入力欄で「CloudTrail」と入力し、表示された「CloudTrail」をクリックします。
3.左側のダッシュボードをクリックします。
4.イベント履歴の「StartInstances」をクリックします。
5.詳細でイベント時間、ユーザー名、イベント名、イベントソース、AWS アクセスキー、発信元 IP アドレス、イベント ID、リクエスト ID、AWS リージョン、エラーコード等もわかります。
6.JSON形式でイベントレコードを確認できます。
EC2の起動時のJSONイメージ
3-18行目はユーザ情報です。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDx",
"arn": "arn:aws:iam::452x:user/addUser1",
"accountId": "452x",
"accessKeyId": "ASIx",
"userName": "addUser1",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-08-02T13:45:49Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2022-08-02T14:41:21Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "StartInstances",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"instancesSet": {
"items": [
{
"instanceId": "i-05211bcf2b7629dbe"
}
]
}
},
"responseElements": {
"requestId": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"instancesSet": {
"items": [
{
"instanceId": "i-05211bcf2b7629dbe",
"currentState": {
"code": 0,
"name": "pending"
},
"previousState": {
"code": 80,
"name": "stopped"
}
}
]
}
},
"requestID": "7f97c4c2-7394-4ac6-b833-aec58bff4c3a",
"eventID": "45aef5af-ef55-4946-a46b-a0bc723f2897",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "452x",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}| 6行目 | arn | Amazonリソースネームの略です。 AWSリソースを一意に識別します。 |
| 20行目 | eventSource | リクエストが行われたサービス →ec2.amazonaws.com |
| 21行目 | eventName | リクエストされたアクション →StartInstances |
| 22行目 | awsRegion | リクエストが行われた AWSリージョン →ap-northeast-1 |
| 25行目 | requestParameters | リクエストとともに送信されたパラメータ →指定のインスタンスID |
| 34行目 | responseElements | 変更を行うアクションのレスポンスの要素 →結果で現在はpending |
CloudTrailを停止する
CloudTrailのダッシュボードにあるCloudTrailの名称(上記サンプルではtest-cloud-trail)のリンクをクリックし、「ログ記録の停止」または「削除」をクリックします。
管理イベント、データイベント、インサイトイベントの設定
作成したCloudTrailのリンクをクリックすると設定画面が表示されます。
デフォルトでは管理イベントのみ記録されています。
データのダウンロード
特定の項目の指定と日時の期間等とCSVまたはJSON形式でのデータのダウンロードも可能です。
関連の記事
AWS CloudTrail のデータをAthenaで確認するサンプル
AWS CloudTrail Lakeの設定とSQLで確認する