CloudTrail Lake で Lambda のデータイベントを確認してみた
アノテーションテクニカルサポートの小川です。
CloudTrail Lake で Lambda のデータイベントを確認してみたので、その内容をブログにしました。
前提
- Lambda 関数は作成済み
CloudTrail Lakeのイベントデータストアの作成
まず、CloudTrail Lake のイベントデータストアを作成します。
基本的にデフォルト設定のまま作成していきます。
今回は Lambda 関数のデータイベントを確認したいので、「CloudTrail イベント」でデータイベントを選択します。
「データイベント」では、リソースタイプに「Lambda」を設定し、「ログセレクターテンプレート」を「カスタム」にします。
「カスタム」に設定したのは、特定の Lambda 関数のデータイベントのみ確認するためです。
「高度なイベントセレクター」の「フィールド」に「resources.ARN」を設定し、オペレーターに「次と等しい:」を設定します。
そして、「Value」にデータイベントを確認したい Lambda 関数の ARN を設定します。
その他の設定はデフォルトのままにし、イベントデータストアを作成します。
CloudTrail Lake でクエリ
作成が完了したら、Lambda 関数をテスト実行した後に CloudTrail Lake でクエリしてみます。
実行結果を整形した内容が以下です。
[
{
"eventVersion": "1.11",
"userIdentity": "{type=AssumedRole, principalid=xxx:cm-test, arn=arn:aws:sts::xxx:assumed-role/cm-test/cm-test, accountid=xxx, accesskeyid=xxx, username=null, sessioncontext={attributes={creationdate=2025-12-04 23:06:50.000, mfaauthenticated=true}, sessionissuer={type=Role, principalid=xxx, arn=arn:aws:iam::xxx:role/cm-test, accountid=xxx, username=cm-test}, webidfederationdata=null, sourceidentity=null, ec2roledelivery=null, ec2issuedinvpc=null, assumedroot=null}, invokedby=null, invokedbydelegate=null, identityprovider=null, credentialid=null, onbehalfof=null, inscopeof=null}",
"eventTime": "2025-12-05 01:54:53.000",
"eventSource": "lambda.amazonaws.com",
"eventName": "Invoke",
"awsRegion": "ap-northeast-1",
"sourceIPAddress": "xxx",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
"errorCode": "",
"errorMessage": "",
"requestParameters": "{logType=Tail, invocationType=RequestResponse, functionName=arn:aws:lambda:ap-northeast-1:xxx:function:test-lambda-data-event, contentType=application/octet-stream}",
"responseElements": "",
"additionalEventData": "{customerEniId=, functionVersion=arn:aws:lambda:ap-northeast-1:xxx:function:test-lambda-data-event:$LATEST}",
"requestID": "f9cadba5-16cc-455c-b8cf-5a1e4c8881a3",
"eventID": "5e7b9fb8-e8c2-48bb-b91a-da5416eb68d8",
"readOnly": "false",
"resources": "[{accountid=xxx, type=AWS::Lambda::Function, arn=arn:aws:lambda:ap-northeast-1:xxx:function:test-lambda-data-event, arnprefix=null}]",
"eventType": "AwsApiCall",
"apiVersion": "",
"managementEvent": "false",
"recipientAccountId": "xxx",
"sharedEventID": "",
"annotation": "",
"vpcEndpointId": "",
"vpcEndpointAccountId": "",
"serviceEventDetails": "",
"addendum": "",
"edgeDeviceDetails": "",
"insightDetails": "",
"eventCategory": "Data",
"tlsDetails": "{tlsversion=TLSv1.3, ciphersuite=null, keyexchange=null, clientprovidedhostheader=lambda.ap-northeast-1.amazonaws.com}",
"sessionCredentialFromConsole": "true",
"eventContext": ""
}
]
上記で 1 点、additionalEventData.customerEniId で値がないのが気になったので、Lambda 関数に VPC 設定を行ってからテスト実行を行うと ENI ID が追加されたデータイベントを確認できました。
以下は確認した際の抜粋です。
"additionalEventData": "{customerEniId=eni-0b48d1ebfc4934b70, functionVersion=arn:aws:lambda:ap-northeast-1:xxx:function:test-lambda-data-event:$LATEST}",
さいごに
簡単に Lambda のデータイベントが確認できました。
本ブログが誰かの参考になれば幸いです。
参考資料
コンソールを使用してイベントデータストアを作成、更新、管理する
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
