AWS CloudTrailはデフォルトとユーザー作成で何が違う?

CloudTrail

AWS Summit 2017 New Yorkで発表されたようにAWSCloudTrailが全ユーザでデフォルトで有効化されました。

[新機能] CloudTrailイベント履歴が全ユーザで有効化されました

デフォルトで有効になったとは言え、従来のトレイルの存在意義がなくなったわけではありません。

本稿では、デフォルトで有効になったトレイル(以下「デフォルト」)従来型のユーザーが明示的に有効にするトレイル(以下「オプション」)の違いを解説します。

機能比較

機能 デフォルト オプション
有効/無効のタイミング 常に有効。 ユーザーがTrailを作成後、ユーザーの意思で有効・無効を設定
ログ保持期間 7日 任意(ログ配信先S3のライフサイクルで制御)
CloudTrail Event Historyの対象 作成・更新・削除の管理イベントのみ 参照も含めた全管理イベント・データイベント(S3など)
他サービスとの連携 なし S3, CloudWatch Logs, CloudWatch Events などとの連携が可能
イベントに対応するログファイルの取得 あり あり
生ログファイルの取得 なし あり(S3から)
費用 無料 CloudTrail設定だけに限定すると、同一リージョンへのログ出力であれば、一つ目は無料。

グローバルトレイルやリージョン2つ目のトレイルは利用料が発生。

ログファイルに関して、S3の費用が別途発生。

管理コンソール・AWS CLI・AWS SDKの利用 あり あり

 

 

まとめ

アプリケーションのデバッグをログなしに行うのは難しいように、AWSの障害調査でも、CloudTrailのような操作ログは不可欠です。

操作履歴を無条件で過去7日分の操作履歴をトレース出来るようになったのは大きな進歩ですが、気づくのが遅かったり、関係者とのやり取りに時間を取られると、ログ保持期間の7日はあっという間に過ぎてしまいます。

そのため、S3の(爆安)ストレージ費用を負担するだけで利用可能な、従来型のCloudTrailも有効にしておくと、トラブル時に大きな助けになるのではないでしょうか。

なお、弊社のメンバーズサービスでは、お客様の各AWSアカウントに対して、CloudTrailログを400日保持するようにしております。

参照