困っていること
CloudTrail のイベント履歴から、S3 バケットのオブジェクトに対するアクションを確認可能か教えてください。
どう対応すればいいの?
結論から申し上げると、CloudTrail のイベント履歴から確認することはできません。
イベント履歴 では 90 日以内の管理イベントのみ確認が可能です。
S3 バケット内のオブジェクトに対してのアクション、"GetObject" "DeleteObject" "PutObject" などのイベントは管理イベントとは異なり、データイベントとして扱われるためです。
CloudTrail コンソールの [イベント履歴] ページには、管理イベントのみが表示されます。データイベントや Insights イベントは表示されません。
Amazon S3 コンソールを使用し、AWS CloudTrail 証跡を設定して、S3 バケット内のオブジェクトのデータイベントをログに記録できます。CloudTrail では、GetObject、DeleteObject、PutObject など、Amazon S3 オブジェクトレベルの API オペレーションのログ記録がサポートされます。これらのイベントは、データイベントと呼ばれます。
確認方法
CloudTrail の証跡の作成から、オブジェクトレベルのログ記録を有効にすることで CloudTrail はデータイベントのログも記録可能になります。しかしながら、そのログの保存先は CloudTrail ではなく証跡としてログの配信先に設定する S3 バケットとなります。
その後、ログ配信先として設定した S3 バケットへ配信されたログを Amazon Athena を使用して検索する方法が考えられます。
AWS re:Post と 弊社ブログを参考にご対応してください。
7
