CloudTrail のイベント履歴で実行したアクションが見当たらないときの対処方法

CloudTrail のイベント履歴で実行したアクションが見当たらないときの対処方法

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS CloudTrail
#AWS
hato

hato

facebook logohatena logotwitter logo
Clock Icon2022.03.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

CloudTrail の「イベント履歴」から実行したアクションを探しましたが、見当たりませんでした。なぜでしょうか?

どう対応すればいいの?

次の条件を満たしているか確認してください。

  1. アクション実行から15分以上経過している
  2. アクション実行から90日を経過していない
  3. アクションを処理した AWS リージョンを確認している
  4. アクションは管理イベントである
  5. ログ記録がサポートされている AWS サービスかつアクションである

いずれかの条件を満たさない場合、イベント履歴に実行したアクションは表示されません。

アクション実行から15分以上経過している

イベント履歴はアクション実行から通常15分以内に表示されます。アクション実行直後にイベント履歴を確認してもイベントは見当たらない場合がありますので、15分以上待ってからご確認ください。

よくある質問 - AWS CloudTrail | AWS

通常、CloudTrail は、API 呼び出しから 15 分以内にイベントを送信します。

アクション実行から90日を経過していない

イベント履歴は過去90日間のイベントを表示します。90日を経過したイベントはイベント履歴からは確認できないため、90日を経過したイベントの記録が必要な場合は、証跡の利用をご検討ください。

CloudTrail Event 履歴でのイベントの表示 - AWS CloudTrail

CloudTrail コンソールで過去 90 日間の運用およびセキュリティインシデントのトラブルシューティングを行うには、[イベント履歴] を表示します。

…(中略)…

証跡を作成し、過去 90 日間より前のイベントの記録を保持する方法の詳細については、「証跡の作成」および「CloudTrail ログファイルの取得と表示」を参照してください。

アクションを処理した AWS リージョンを確認している

基本的にイベントはアクションを処理したリージョンに記録されます。例えば、東京リージョンを選択した状態のアクションは、東京リージョンの CloudTrail コンソールから確認できます。

注意:CloudFront や IAM などのグローバルサービスは、米国東部 (バージニア北部) リージョンなどのその他のリージョンに記録される場合があります。

CloudTrail のコンセプト - AWS CloudTrail

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS Identity and Access Management (IAM)、AWS STS、Amazon CloudFront などのグローバルサービスの場合、イベントはグローバルサービスが含まれている証跡に配信されます。

ほとんどのグローバルサービスの場合、イベントは米国東部 (バージニア北部) リージョンで発生しているものとしてログに記録されますが、一部のグローバルサービスイベントは米国東部 (オハイオ) リージョンや米国西部 (オレゴン) リージョンなどのその他のリージョンで発生しているものとしてログに記録されます。

アクションは管理イベントである

CloudTrail イベントは3種類に分類され、イベント履歴では管理イベント(例:S3 バケットの作成)のみが表示されます。データイベント(例:S3 オブジェクトの追加)、CloudTrail Insights イベント(大量の S3 バケットの削除)はデフォルトでは記録されません。データイベント・CloudTrail Insights イベントの記録が必要な場合は、証跡の利用をご検討ください。

なお、イベントの種別は各サービスのドキュメントをご確認ください。

CloudTrail のサポートされているサービスと統合 - AWS CloudTrail

CloudTrail イベントとは - AWS CloudTrail

CloudTrail には、3 種類の記録可能なイベント (管理イベント、データイベント、CloudTrail Insights イベント) があります。

CloudTrail コンソールでの CloudTrail イベントの表示 - AWS CloudTrail

CloudTrail コンソールを使用して、AWS リージョンの過去 90 日間に記録された API アクティビティ (管理イベント) を表示できます。

ログ記録がサポートされている AWS サービスかつアクションである

CloudTrail は必ずしもすべての AWS サービスおよびアクションを記録しません。プレビュー中などのサービスはサポートされない場合があり、サポートされているサービスでも、一部のアクションはサポートされていない場合があります。サポート状況は次のドキュメントをご確認ください。

参考資料

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

User avatar
あしざわ
2024.11.17
EventBridge を使って特定の IP 以外からのアクセスキー利用をメール通知してみる

EventBridge を使って特定の IP 以外からのアクセスキー利用をメール通知してみる

User avatar
ヒラネ
2024.11.16
【小ネタ】EC2 のマネジメントコンソール画面より対象リソースに関する CloudTrail イベント履歴を確認する方法

【小ネタ】EC2 のマネジメントコンソール画面より対象リソースに関する CloudTrail イベント履歴を確認する方法

User avatar
片方 裕人
2024.11.05
หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

User avatar
SamindaSansaiya
2024.10.18
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.