![[アップデート] AWS CloudTrail のデータイベントで 5 分単位の集約情報を記録できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail?w=3840&fm=webp)
[アップデート] AWS CloudTrail のデータイベントで 5 分単位の集約情報を記録できるようになりました
2025.11.24
AWS CloudTrail のデータイベントを5分単位で集約して出力する機能である Aggregating data events が追加されました。
AWS Cloudtrail のデータイベントを記録する際に追加で有効化することができ、追加料金を支払うことで5分単位で次の集約情報を記録できます。
| 集約テンプレート名 | 概要 |
|---|---|
| API Activity | API 毎(GetObject など)の集約 |
| Resource Access | リソース毎の集約 |
| User Actions | IAM プリンシパル毎(IAM ユーザーなど)の集約 |
料金は、S3 に配信されて集計のために分析されたデータイベント 100,000 件あたり $0.03 です。
AWS ユーザーガイドでは次のページに記載されています。本ブログ執筆時点では英語のページのみです。
試してみた
Aggregating data events を有効化して、S3 に配信された集約情報を確認してみます。
Aggregating data events の有効化
マネジメントコンソールから設定する場合は、データイベントを有効化した場合に Aggregating data events の設定ステップが追加されました。今回は S3 のすべてのイベントを記録する設定で試してみます。
Aggregation templates 毎に有効化するかどうかを選択できます。今回は3種類のテンプレートすべてを有効化して証跡を作成してみます。
作成した証跡の設定において、Aggregating data events が有効化されていることを確認できました。
AWS CLI で Aggregating data events の設定を確認した場合は次のコマンドで確認できます。
aws cloudtrail get-event-configuration \
--trail-name <your-trail-name> \
--region ap-northeast-1
有効化されている場合のコマンド実行結果例です。
$ aws cloudtrail get-event-configuration \
> --trail-name cloudtrail-for-organizations \
> --region ap-northeast-1
{
"TrailARN": "arn:aws:cloudtrail:ap-northeast-1:111122223333:trail/cloudtrail-for-organizations",
"AggregationConfigurations": [
{
"Templates": [
"API_ACTIVITY",
"RESOURCE_ACCESS",
"USER_ACTIONS"
],
"EventCategory": "Data"
}
]
}
無効化されている場合のコマンド実行結果例です。
$ aws cloudtrail get-event-configuration \
> --trail-name test-cloudtrail \
> --region ap-northeast-1
{
"TrailARN": "arn:aws:cloudtrail:ap-northeast-1:111122223333:trail/Members",
"AggregationConfigurations": []
}
Aggregating data events の確認
既存で作成済みの S3 バケット test-on-aaa-20251122 test-on-bbb-20251122 から3回ずつオブジェクトをダウンロードしておきます。
for i in {1..3}; do aws s3 cp s3://test-on-aaa-20251122/download.txt .; done
for i in {1..3}; do aws s3 cp s3://test-on-bbb-20251122/download.txt .; done
AWS CloudTrail の配信先の S3 バケットでは次のフォルダ構成となっていました。今回は組織の証跡を作成していますが、アカウント単独の証跡の場合は組織 ID がないためフォルダ構成が一部変わると思われます。
AWSLogs/
└── o-1jnexample/
└── 111122223333/
└── CloudTrail-Aggregated/
└── ap-northeast-1/
└── 2025/
└── 11/
└── 23/
約5分間隔でファイルが出力されていました。5分単位で集約していることが関係していると思われます。
S3 バケットにアクセスした時刻の情報を確認してみます。コマンドを実行したのは 00:15 頃であり、今回の場合はその情報は 00:31 に配信されたファイル内にありました。
集約情報は下表のようにまとめられており、集約テンプレート毎に何にフォーカスして集計されているのかが異なっていました。表には行数を記載していますが、ブログ中では表示されないため、手元でコピーして確認いただくと分かりやすいかもしれません。
| 記載行 | 集約テンプレート名 | 集約内容 | 備考 |
|---|---|---|---|
| 2~93行目 | API Activity | GetObject イベント | |
| 93~185行目 | API Activity | HeadObject イベント | |
| 186~265行目 | Resource Access | test-on-aaa-20251122 バケット | |
| 266~345行目 | Resource Access | test-on-bbb-20251122 バケット | |
| 346~441行目 | User Actions | test-s3-user ユーザー | コマンドを実行した IAM ユーザー |
[
{
"eventVersion": "1.0",
"accountId": "444455556666",
"eventId": "14ff0257-c7de-4f1b-92ec-0e11291eb79e",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "ap-northeast-1",
"eventSource": "s3.amazonaws.com",
"timeWindow": {
"windowStart": "2025-11-23T15:15:00Z",
"windowEnd": "2025-11-23T15:20:00Z",
"windowSize": "PT5M"
},
"summary": {
"primaryDimension": {
"dimension": "eventName",
"statistics": [
{
"name": "GetObject",
"value": 6
}
],
"aggregationType": "Count"
},
"details": [
{
"dimension": "resourceARN",
"statistics": [
{
"name": "arn:aws:s3:::test-on-aaa-20251122",
"value": 3
},
{
"name": "arn:aws:s3:::test-on-bbb-20251122",
"value": 3
}
],
"aggregationType": "Count"
},
{
"dimension": "userIdentity",
"statistics": [
{
"name": "ARN:arn:aws:iam::444455556666:user/test-s3-user",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics": [
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/E,G,Z,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,E,b,Z cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,Z,E,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/Z,E,G,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,E,G cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,G,E cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics": [
{
"name": "192.0.2.1",
"value": 6
}
],
"aggregationType": "Count"
}
]
}
},
{
"eventVersion": "1.0",
"accountId": "444455556666",
"eventId": "82305865-f48d-4a82-97ac-f58fdf0841d3",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "ap-northeast-1",
"eventSource": "s3.amazonaws.com",
"timeWindow": {
"windowStart": "2025-11-23T15:15:00Z",
"windowEnd": "2025-11-23T15:20:00Z",
"windowSize": "PT5M"
},
"summary": {
"primaryDimension": {
"dimension": "eventName",
"statistics": [
{
"name": "HeadObject",
"value": 6
}
],
"aggregationType": "Count"
},
"details": [
{
"dimension": "resourceARN",
"statistics": [
{
"name": "arn:aws:s3:::test-on-aaa-20251122",
"value": 3
},
{
"name": "arn:aws:s3:::test-on-bbb-20251122",
"value": 3
}
],
"aggregationType": "Count"
},
{
"dimension": "userIdentity",
"statistics": [
{
"name": "ARN:arn:aws:iam::444455556666:user/test-s3-user",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics": [
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/E,G,Z,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,E,b,Z cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,Z,E,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/Z,E,G,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,E,G cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,G,E cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 1
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics": [
{
"name": "192.0.2.1",
"value": 6
}
],
"aggregationType": "Count"
}
]
}
},
{
"eventVersion": "1.0",
"accountId": "444455556666",
"eventId": "c512ee92-f012-4887-8690-825ea6389d8f",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "ap-northeast-1",
"eventSource": "s3.amazonaws.com",
"timeWindow": {
"windowStart": "2025-11-23T15:15:00Z",
"windowEnd": "2025-11-23T15:20:00Z",
"windowSize": "PT5M"
},
"summary": {
"primaryDimension": {
"dimension": "resourceARN",
"statistics": [
{
"name": "arn:aws:s3:::test-on-aaa-20251122",
"value": 6
}
],
"aggregationType": "Count"
},
"details": [
{
"dimension": "eventName",
"statistics": [
{
"name": "GetObject",
"value": 3
},
{
"name": "HeadObject",
"value": 3
}
],
"aggregationType": "Count"
},
{
"dimension": "userIdentity",
"statistics": [
{
"name": "ARN:arn:aws:iam::444455556666:user/test-s3-user",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics": [
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,E,b,Z cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,Z,E,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/Z,E,G,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics": [
{
"name": "192.0.2.1",
"value": 6
}
],
"aggregationType": "Count"
}
]
}
},
{
"eventVersion": "1.0",
"accountId": "444455556666",
"eventId": "e13fe544-0ce5-4452-a068-0b9ae60defa4",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "ap-northeast-1",
"eventSource": "s3.amazonaws.com",
"timeWindow": {
"windowStart": "2025-11-23T15:15:00Z",
"windowEnd": "2025-11-23T15:20:00Z",
"windowSize": "PT5M"
},
"summary": {
"primaryDimension": {
"dimension": "resourceARN",
"statistics": [
{
"name": "arn:aws:s3:::test-on-bbb-20251122",
"value": 6
}
],
"aggregationType": "Count"
},
"details": [
{
"dimension": "eventName",
"statistics": [
{
"name": "GetObject",
"value": 3
},
{
"name": "HeadObject",
"value": 3
}
],
"aggregationType": "Count"
},
{
"dimension": "userIdentity",
"statistics": [
{
"name": "ARN:arn:aws:iam::444455556666:user/test-s3-user",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics": [
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/E,G,Z,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,E,G cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,G,E cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics": [
{
"name": "192.0.2.1",
"value": 6
}
],
"aggregationType": "Count"
}
]
}
},
{
"eventVersion": "1.0",
"accountId": "444455556666",
"eventId": "fe8aab53-b00b-44d1-aef6-4bb5139d5e9d",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "ap-northeast-1",
"eventSource": "s3.amazonaws.com",
"timeWindow": {
"windowStart": "2025-11-23T15:15:00Z",
"windowEnd": "2025-11-23T15:20:00Z",
"windowSize": "PT5M"
},
"summary": {
"primaryDimension": {
"dimension": "userIdentity",
"statistics": [
{
"name": "ARN:arn:aws:iam::444455556666:user/test-s3-user",
"value": 12
}
],
"aggregationType": "Count"
},
"details": [
{
"dimension": "resourceARN",
"statistics": [
{
"name": "arn:aws:s3:::test-on-aaa-20251122",
"value": 6
},
{
"name": "arn:aws:s3:::test-on-bbb-20251122",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "eventName",
"statistics": [
{
"name": "GetObject",
"value": 6
},
{
"name": "HeadObject",
"value": 6
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics": [
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/E,G,Z,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,E,b,Z cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/G,Z,E,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/Z,E,G,b cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,E,G cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
},
{
"name": "[aws-cli/2.32.3 md/awscrt#0.28.4 ua/2.1 os/macos#24.6.0 md/arch#arm64 lang/python#3.13.9 md/pyimpl#CPython m/b,Z,G,E cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#s3.cp]",
"value": 2
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics": [
{
"name": "192.0.2.1",
"value": 12
}
],
"aggregationType": "Count"
}
]
}
}
]
これで Aggregating data events の確認は終わりです。
さいごに
AWS CloudTrail のデータイベントを5分単位で集約して出力する機能である Aggregating data events が追加されたため、試してみました。既存のデータイベントを残しつつ、追加で集約情報を記録できました。データイベントを分析するための仕組みを作っていない場合に、手軽にサマリを確認したい場合に便利な機能だと思いました。
以上、このブログがどなたかのご参考になれば幸いです。
