AWS CloudTrailはデフォルトとユーザー作成で何が違う?
AWS Summit 2017 New Yorkで発表されたようにAWSCloudTrailが全ユーザでデフォルトで有効化されました。
デフォルトで有効になったとは言え、従来のトレイルの存在意義がなくなったわけではありません。
本稿では、デフォルトで有効になったトレイル(以下「デフォルト」)と従来型のユーザーが明示的に有効にするトレイル(以下「オプション」)の違いを解説します。
機能比較
| 機能 | デフォルト | オプション |
| 有効/無効のタイミング | 常に有効。 | ユーザーがTrailを作成後、ユーザーの意思で有効・無効を設定 |
| ログ保持期間 | 7日 | 任意(ログ配信先S3のライフサイクルで制御) |
| CloudTrail Event Historyの対象 | 作成・更新・削除の管理イベントのみ | 参照も含めた全管理イベント・データイベント(S3など) |
| 他サービスとの連携 | なし | S3, CloudWatch Logs, CloudWatch Events などとの連携が可能 |
| イベントに対応するログファイルの取得 | あり | あり |
| 生ログファイルの取得 | なし | あり(S3から) |
| 費用 | 無料 | CloudTrail設定だけに限定すると、同一リージョンへのログ出力であれば、一つ目は無料。
グローバルトレイルやリージョン2つ目のトレイルは利用料が発生。 ログファイルに関して、S3の費用が別途発生。 |
| 管理コンソール・AWS CLI・AWS SDKの利用 | あり | あり |
まとめ
アプリケーションのデバッグをログなしに行うのは難しいように、AWSの障害調査でも、CloudTrailのような操作ログは不可欠です。
操作履歴を無条件で過去7日分の操作履歴をトレース出来るようになったのは大きな進歩ですが、気づくのが遅かったり、関係者とのやり取りに時間を取られると、ログ保持期間の7日はあっという間に過ぎてしまいます。
そのため、S3の(爆安)ストレージ費用を負担するだけで利用可能な、従来型のCloudTrailも有効にしておくと、トラブル時に大きな助けになるのではないでしょうか。
なお、弊社のメンバーズサービスでは、お客様の各AWSアカウントに対して、CloudTrailログを400日保持するようにしております。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
