![[アップデート]Amazon CloudWatch で AWS CloudTrail イベントの簡素化された有効化を開始されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d6a3bc85cad6419960fbda152152cd8c/ba5841cea06b96f4933878762028b090/amazon-cloudwatch?w=3840&fm=webp)
[アップデート]Amazon CloudWatch で AWS CloudTrail イベントの簡素化された有効化を開始されました
こんにちは。たかやまです。
Amazon CloudWatchでAWS CloudTrailイベントの簡素化された有効化が開始されました。
機能としては、テレメトリ設定の有効化ルールを利用しており、以下のVPCフローログ自動有効化設定のから新たにCloudTrailイベントの有効化設定が追加されたものになります。
では実際にやってみたいと思います。
さきにまとめ
- CloudWatchコンソールから直接CloudTrailイベントのCloudWatch Logs保存の設定ができるようになった
- この時、CloudTrailの証跡は作成しなくても良い
- 内部的にはCloudTrailのサービスリンクチャネルを利用してCloudWatch Logsに配信される
- マルチリージョン展開には現時点で未対応のため、各リージョンで設定が必要な場合は従来のCloudTrail証跡を利用することが推奨
- VPCフローログなど他のテレメトリと同様にCloudWatchから一元的に管理したい場合に活用できそう
やってみる
こちらのドキュメントをもとにやっていきます。
テレメトリ設定の作成
CloudWatchコンソールの 「Ingestion」>「有効化ルール」>「ルールを追加」を選択します。
「AWS CloudTrail」から「テレメトリを設定」選択します。
(8月のアップデートから対象テレメトリがかなり増えている...?)
テレメトリ設定画面が開きます。今回はすべての組織を対象にイベントを有効化します。
送信先の指定ではログの保存期間を設定できます。
ロググループ名はシステム側で自動的に作成されるため、ユーザー側で変更することはできません。
データオプションの選択画面では、記録するイベントタイプを選択できます。Management eventsではすべてのイベント、読み取り専用、書き込み専用から選択可能で、Data eventsではS3オブジェクトなどのリソースタイプを指定できます。
設定内容を確認し、問題なければ有効化します。
有効化が完了すると、有効化ルールにテレメトリルールが追加されます。
これで、CloudTrailイベントがCloudWatch Logsに自動的に送信されるようになります。
CloudWatch Logsの確認
CloudWatch ロググループを確認すると aws/cloudtrail のプレフィックスで選択時に有効にした、CloudTrailの「管理イベント」と「データイベント」のログが保存されていることがわかります。
aws/cloudtrail/managementsevents のロググループを確認すると以下のようにログストリームを生成されていることが確認できます。
ログストリームの生成名的にCloudTrailのCloudWatch Logsへのイベント配信と動作は同じようですね。
CloudTrail ログの量が多い場合、ロググループにログデータを配信するために複数のログストリームが作成されることがあります。複数のログストリームがある場合、CloudTrail は次の形式に従って各ログストリームに名前を付けます:
account_IDCloudTrailtrail_region_number
CloudTrailの設定確認
CloudTrailの証跡を確認すると、新たに証跡は作成されていないことがわかります。
配信の仕組みとしてはCloudTrailのサービスリンクチャネルを利用しているようです
こちらのCloudWatchにCloudTrail イベント有効化ですが、注意点として、CloudWatchとしてマルチリージョン展開に未対応です。
リージョンごとに集約設定を有効にしたい場合には各AWSリージョンで個別に設定する必要があります。
マルチリージョン集約が必要な場合は、従来のCloudTrail証跡を使用することが推奨されています。
Important: For multi-region deployments: CloudWatch Enablement rules requires separate configuration in each AWS region and is not yet available in all regions. For comprehensive multi-region coverage, consider continuing to use CloudTrail trails sending events to CloudWatch until regional availability expands.
(翻訳)
重要: マルチリージョン展開の場合: CloudWatch Enablementルールは各AWSリージョンで個別に設定が必要であり、まだすべてのリージョンで利用可能ではありません。リージョン提供が拡大するまで、包括的なマルチリージョン対応のためには、CloudTrail Trailを継続して使用し、イベントをCloudWatchに送信することを検討してください。
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-rules.html
構想としてCloudWatch Logsに集めるものはCloudWatch テレメトリ設定で一元管理するコンセプトなのかなと思いますが、現時点ではCloudTrailから設定を有効化するのが無難そうですね。
料金
料金についてはCloudTrail側から設定と変わらずCloudTrailイベント配信料金とCloudWatch ログの取り込み料金の両方が発生します。(2025/12月時点)
最後に
CloudWatchコンソールからCloudTrailイベントの簡素化された有効化を試してみました。
従来はCloudTrailコンソールで証跡を作成してCloudWatch Logsへの配信を設定する必要がありましたが、CloudWatchのテレメトリ設定から直接有効化できるようになり、設定手順が簡素化されました。
内部的にはCloudTrailのサービスリンクチャネルを利用しており、証跡を作成せずにCloudWatch Logsへイベントを配信できます。
ただし、現時点ではマルチリージョン展開に未対応のため、複数リージョンでCloudTrailイベントを収集する場合は各リージョンで個別に設定が必要です。包括的なマルチリージョン対応が必要な場合は、従来のCloudTrail証跡の利用が推奨されています。
CloudWatch Logsへのテレメトリ集約が一元化される方向性は便利ですが、マルチリージョン対応が拡大されるまでは用途に応じて使い分けることになりそうですね。
このブログがどなたかの参考になれば幸いです。
以上、たかやま(@nyan_kotaroo)でした。
