Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
CloudTrail のデータイベントと管理イベントの相違点について教えてください。
AWS CloudTrail における、データイベントと管理イベントの相違点を把握したいです。2 種類の CloudTrail イベントの相違点について教えてください。
解決策
CloudTrail データイベント
CloudTrail データイベント (「データプレーン操作」とも呼ばれます) は、AWS アカウントのリソースに対して、またはリソース内で実行されるリソース操作を表示します。多くの場合、これらの操作は大量のアクティビティです。
データイベントの例
- Amazon Simple Storage Service (Amazon S3) のオブジェクトレベルの API アクティビティ (API 操作 GetObject、DeleteObject、PutObject など)
- AWS Lambda 関数の呼び出しアクティビティ (InvokeFunction API 操作など)
- テーブルに対する Amazon DynamoDB オブジェクトレベルの API アクティビティ (API 操作 PutItem、DeleteItem、UpdateItem など)
データイベントを確認する
デフォルトでは、証跡はデータイベントを記録せず、データイベントは CloudTrail イベント履歴に表示されません。データイベントの記録を有効にするには、サポートされているリソースまたはリソースタイプを証跡に明示的に追加する必要があります。
データイベントの記録を有効にする手順については、「証跡のデータイベントを記録する」を参照してください。
データイベントを閲覧する手順については、「CloudTrail ログファイルを取得し、閲覧する」を参照してください。
注: データイベントの記録には追加料金が適用されます。詳細については、「AWS CloudTrail の料金」を参照してください。
CloudTrail 管理イベント
CloudTrail 管理イベント (「コントロールプレーン操作」とも呼ばれます) は、AWS アカウント内のリソースで実行される管理操作を示します。
管理イベントの例
- Amazon Simple Storage Service (Amazon S3) バケットの作成
- AWS Identity and Access Management (IAM) リソースの作成と管理
- デバイスの登録
- ルーティングテーブルルールの設定
- ログ記録の設定
管理イベントを閲覧する
デフォルトでは、証跡は AWS サービス全般にわたる管理イベントを記録し、無料で使用できます。CloudTrail イベント履歴または LookupEvents API を使用すると、アカウントの管理イベントの最新の 90 日間の履歴を確認し、ダウンロードすることができます。
詳細については、「証跡の管理イベントを記録する」を参照してください。
注: 証跡を作成することで、進行中の管理イベントのコピーを 1 点、無料で Amazon S3 に配信できます。証跡を作成すると、イベントを Amazon S3 に最大 90 日間保存できます。管理イベントのコピーを増やす場合は、料金が発生します。詳細については、「AWS CloudTrail の料金」を参照してください。
90 日経過後に、Amazon S3 バケットに保存された CloudTrail データイベントと管理イベントを閲覧する方法
Amazon Athena を使用すると、Amazon S3 バケットに保存された CloudTrail データイベントと管理イベントを閲覧できます。
手順については、「AWS CloudTrail ログを検索するための Amazon Athena テーブルを自動的に作成する方法を教えてください」を参照してください。 「手動パーティショニングにより、Athena で CloudTrail ログ用のテーブルを作成する」も参照してください。
関連情報
CloudTrail を使用して、AWS アカウントで発生した API コールとアクションを確認する方法を教えてください。
関連するコンテンツ
- 質問済み 5ヶ月前
- AWS公式更新しました 1年前
- AWS公式更新しました 1ヶ月前
- AWS公式更新しました 3年前
