翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コンソールで証跡を作成および更新する
CloudTrail コンソールを使用して、証跡を作成、更新、または削除することができます。コンソールを使用して作成した証跡はマルチリージョンです。イベントを 1 つのみに記録する証跡を作成するには AWS リージョン、 [を使用します AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single)。
リージョンごとに最大 5 つの証跡を作成できます。証跡を作成すると、アカウントでの API コールと関連するイベントの、指定する Amazon S3 バケットへのログ記録が CloudTrail で自動的に開始されます。
CloudTrail コンソールを使用して、証跡の次の設定を変更できます。
+ S3 バケットの場所を変更し、プレフィックスを指定できます。
+ AWS Organizations 組織の管理アカウントは、アカウントレベルの証跡を組織の証跡に変換することも、組織の証跡をアカウントレベルの証跡に変換することもできます。
+ KMS キー暗号化を有効または無効にできます。
+ [ログファイルの検証](cloudtrail-log-file-validation-intro.md)を有効または無効にできます。ログファイルを検証することで、CloudTrail がログファイルを配信した後に変更または削除されていないか、あるいは何も変更されていないかを判断することができます。デフォルトでは、ログファイルの検証は有効になっています。
+ Amazon SNS トピックに通知を送信するように証跡を設定できます。
+ CloudWatch Logs ロググループにイベントを送信するように証跡を設定できます。ロググループと IAM ロールの両方が独自のアカウントに存在する必要があります。
+ 管理イベント、データイベント、ネットワークアクティビティイベント、および Insights イベントの設定を更新できます。
+ タグを追加または削除できます。証跡を識別できるように、最大 50 個のタグキーペアを追加できます。
CloudTrail コンソールを使用して証跡を作成または更新すると、次のような利点があります。
+ 証跡を初めて作成する場合は、CloudTrail コンソールを使用することで利用できる機能とオプションを表示できます。
+ データイベントを記録するために証跡を設定している場合は、CloudTrail コンソールを使用すると利用できるデータタイプを表示できます。詳細については、「[データイベントをログ記録する](logging-data-events-with-cloudtrail.md)」を参照してください。
+ ネットワークアクティビティイベントへの証跡を設定する場合、CloudTrail コンソールを使用すると、利用できるイベントソースを表示できます。詳細については、「[ネットワークアクティビティイベントのログ記録](logging-network-events-with-cloudtrail.md)」を参照してください。
での組織の証跡の作成に固有の情報については AWS Organizations、「」を参照してください[組織の証跡の作成](creating-trail-organization.md)。
**Topics**
+ [
# CloudTrail コンソールで証跡を作成する
](cloudtrail-create-a-trail-using-the-console-first-time.md)
+ [
# CloudTrail コンソールで証跡を更新する
](cloudtrail-update-a-trail-console.md)
+ [
# CloudTrail コンソールで証跡を削除する
](cloudtrail-delete-trails-console.md)
+ [
# 証跡のログ記録をオフにする
](cloudtrail-turning-off-logging.md)
# CloudTrail コンソールで証跡を作成する
証跡は、 で[有効](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) AWS リージョン になっているすべての に適用することも AWS アカウント、単一のリージョンに適用することもできます。で有効になっているすべての に適用される証跡 AWS リージョン は、*マルチリージョン証跡* AWS アカウント と呼ばれます。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、すべての有効になっているリージョンのアクティビティをキャプチャするからです。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョン証跡になります。単一リージョンの証跡は、 AWS CLI または [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html) API オペレーションを使用してのみ作成できます。
**注記**
証跡を作成したら、CloudTrail ログで収集されたイベントデータをさらに分析して処理 AWS のサービス するように他の を設定できます。詳細については、「[AWS CloudTrail ログとの サービス統合](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations)」を参照してください。
**Topics**
+ [
## コンソールでの証跡の作成
](#creating-a-trail-in-the-console)
+ [
## 次の手順
](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)
## コンソールでの証跡の作成
マルチリージョン証跡を作成するには、以下の手順を使用します。単一リージョンでイベントのログ記録を行うには (非推奨)、[AWS CLIを使用します](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single)。
**を使用して CloudTrail 証跡を作成するには AWS マネジメントコンソール**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. CloudTrail サービスのホームページ、[**証跡**] ページ、または [**ダッシュボード**] ページの [**証跡**] セクションで、[**証跡の作成**] を選択します。
1. **[Create Trail]** (証跡の作成) ページの **[Trail name]** (証跡名) に証跡の名前を入力します。詳細については、「[CloudTrail リソース、Amazon S3 バケット、KMS キーの命名要件](cloudtrail-trail-naming-requirements.md)」を参照してください。
1. これが AWS Organizations 組織の証跡である場合は、組織内のすべてのアカウントの証跡を有効にできます。このオプションを表示するには、管理アカウントまたは委任された管理者アカウントのユーザーまたはロールでコンソールにサインインする必要があります。組織の証跡を正しく作成するには、ユーザーまたはロールに[十分なアクセス許可](creating-an-organizational-trail-prepare.md#org_trail_permissions)があることを確認してください。詳細については、「[組織の証跡の作成](creating-trail-organization.md) 」を参照してください。
1. [**ストレージの場所**] で、[**新しい S3 バケットを作成する**] を選択すると、新しいバケットが作成されます。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。
**注記**
**[既存の S3 バケットを使用する]** を選択した場合、**[証跡ログバケット名]** のバケットを指定するか、**[参照]** を選択してお使いのアカウントのバケットを選択します。別のアカウントのバケットを使用する場合は、バケット名を指定する必要があります。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md) を参照してください。
ログを見つけやすくするために、新しいフォルダ (*プレフィックス*とも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。プレフィックスを [**プレフィックス**] に入力します。
1. **[Log file SSE-KMS encryption]** (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルとダイジェストファイルを暗号化する場合は、**[Enabled]** (有効) を選択します。デフォルトは [**Enabled**] です。SSE-KMS 暗号化を有効にしない場合、ログファイルとダイジェストファイルは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、[AWS Key Management Service 「 (SSE-KMS) でのサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。SSE-S3 暗号化の詳細については、「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。
SSE-KMS 暗号化を有効にする場合は、**新規**または**既存** AWS KMS keyを選択します。[**AWS KMS Alias**] で、`alias/` *MyAliasName* フォーマットのエイリアスを指定します。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
**注記**
別のアカウントのキーの ARN を入力することもできます。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。このキーポリシーは、CloudTrail がキーを使用してログファイルとダイジェストファイルを暗号化できるようにし、指定したユーザーが暗号化されていない形式でログファイルまたはダイジェストファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md) を参照してください。
1. [**Additional settings**] で、次の操作を行います。
1. [**ログファイル検証を有効にする**] で [**Enabled**] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「[CloudTrail ログファイルの整合性の検証](cloudtrail-log-file-validation-intro.md)」を参照してください。
1. バケットにログが配信されるたびに通知を受け取る場合は、[**SNS notification delivery**] で [**Enabled**] を選択します。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「[「CloudTrail の Amazon SNS 通知の設定」](configure-sns-notifications-for-cloudtrail.md)」を参照してください。
SNS 通知を有効にすると、[**Create a new SNS topic**] で、[**New**] を選択してトピックを作成するか、[**Existing**] を選択して既存のトピックを使用します。マルチリージョンの証跡を作成した場合、有効になっているすべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。
[**New**] を選択した場合、CloudTrail は新しいトピックの名前を指定します。または、自分で名前を入力できます。[**Existing**] を選択した場合、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「[CloudTrail の Amazon SNS トピックポリシー](cloudtrail-permissions-for-sns-notifications.md)」を参照してください。
トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の使用開始](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」を参照してください。
1. オプションで、CloudTrail がログファイルを CloudWatch Logs に送信するように CloudTrail を設定するには、[**CloudWatch Logs**] の [**Enabled**] を選択します。詳細については、「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照してください。
1. CloudWatch Logs との統合を有効にする場合は、[**New**] を選択して新しいロググループを作成するか、[**Existing**] を選択して既存のものを使用します。[**New**] を選択した場合、CloudTrail は新しいロググループの名前を指定します。または、自分で名前を入力できます。
1. [**Existing**] を選択した場合、ドロップダウンリストからロググループを選択します。
1. [**New**] を選択して、CloudWatch Logs にログを送信するためのアクセス許可のための新しい IAM ロールを作成します。[**Existing**] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[**ポリシードキュメント**] を展開すると表示されます。このロールの詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
**注記**
証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
1. **[タグ]** セクションでは、証跡を特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。CloudTrail 証跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのにタグが役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)」および「[タグ](cloudtrail-concepts.md#cloudtrail-concepts-tags)」を参照してください。
1. [**Choose log events**] ページで、ログに記録するイベントタイプを選択します。[**管理イベント**] で、次の操作を行います。
1. [**API activity**] で、証跡で記録する対象を [**読み取り**] イベント、[**書き込み**] イベント、またはその両方を選択します。詳細については、「[管理イベント](logging-management-events-with-cloudtrail.md#logging-management-events)」を参照してください。
1. ** AWS KMS イベントを除外**を選択して、証跡から AWS Key Management Service (AWS KMS) イベントをフィルタリングします。デフォルト設定では、すべての AWS KMS イベントが含まれます。
AWS KMS イベントを記録または除外するオプションは、証跡で管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないことを選択した場合、 AWS KMS イベントはログに記録されず、 AWS KMS イベントログ設定を変更することはできません。
AWS KMS `Encrypt`、、 などの アクションは`Decrypt`、`GenerateDataKey`通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[**読み取り**] イベントとしてログに記録されるようになりました。`Disable`、、 `ScheduleKey` (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) などの少量の関連 AWS KMS アクションは`Delete`、**書き込み**イベントとして記録されます。
`Encrypt`、`Decrypt`、 などの大量のイベントを除外しても`GenerateDataKey`、、`Disable`、 などの関連イベントをログに記録するには`Delete``ScheduleKey`、**書き込み**管理イベントをログに記録し、**除外 AWS KMS イベントの**チェックボックスをオフにします。
1. [**Exclude Amazon RDS Data API events**] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、*Aurora の Amazon RDS Amazon RDS ユーザーガイド*の「[AWS CloudTrailによる Data API コールのログ記録](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)」を参照してください。
1. データイベントをログに記録するには、[**データイベント**] を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
1.
**重要**
ステップ 12 ~ 16 は、デフォルトである高度なイベントセレクターを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くの[リソースタイプ](logging-data-events-with-cloudtrail.md#logging-data-events)を設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。基本的なイベントセレクターを使用する場合は、[基本的なイベントセレクターを使用してデータイベント設定を構成する](#trail-data-events-basic-selectors) のステップを完了してから、この手順のステップ 17 に戻ってください。
**[リソースタイプ]** で、データイベントをログ記録するリソースのタイプを選択します。使用可能なリソースタイプの詳細については、「[データイベント](logging-data-events-with-cloudtrail.md#logging-data-events)」を参照してください。
1. ログセレクタテンプレートを選択します。定義済みテンプレートを選択するか、**[カスタム]** を選択して独自のイベントコレクション条件を定義できます。
次の定義済みテンプレートから選択できます。
+ **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
+ **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
+ **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
+ **ログのみの AWS マネジメントコンソール イベント** – このテンプレートを選択して、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。
+ ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択すると、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs
**注記**
S3 バケットの事前定義されたテンプレートを選択すると、 AWS 現在アカウントにあるすべてのバケットと、証跡の作成後に作成したバケットのデータイベントログ記録が有効になります。また、別のアカウントに属するバケットでそのアクティビティが実行された場合でも、アカウントの AWS 任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします AWS 。
証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。
Lambda 関数の事前定義されたテンプレートを選択するマルチリージョンの証跡を作成する場合、 AWS 証跡の作成後に任意のリージョンで作成できるアカウント内のすべての関数と Lambda 関数のデータイベントログ記録を有効にします。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により AWS 、アカウントのそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。
すべての関数のデータイベントのログ記録では、そのアクティビティが別の AWS アカウントに属する関数で実行されている場合でも、アカウントの任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能です AWS 。
1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[カスタム]** を選択した場合、**[高度なイベントセレクタ]** で高度なイベントセレクタフィールドの値に基づいて式を構築します。
**注記**
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。
1. 次のフィールドから選択します。
+ **`readOnly`** – `readOnly` は、`true` または `false` の値と **[等しい]** になるように設定できます。読み取り専用データイベントは、`Get*` または `Describe*` イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。`read` および `write` イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
+ **`eventName`** - `eventName` は任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (`PutBucket`、`GetItem`、または `GetSnapshotBlock`) を含めるまたは除外します。
+ **`eventSource`** – 含めるまたは除外するイベントソース。このフィールドは任意の演算子を使用できます。
+ **[eventType]** – 含めるまたは除外するイベントタイプ。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md) を除外できます。イベントタイプのリストについては、[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md) の「[`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)」を参照してください。
+ **sessionCredentialFromConsole** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
+ **[userIdentity.arn]** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
+ **`resources.ARN`** – `resources.ARN` には任意の演算子を使用することができますが、**[指定の値に等しい]** または **[指定の値に等しくない]** を使用する場合、値は、テンプレートで `resources.type` の値として指定したタイプの有効なリソースの ARN と正確に一致する必要があります。
**注記**
`resources.ARN` フィールドを使用して ARN を持たないリソースタイプをフィルタリングすることはできません。
データイベントリソースの ARN 形式の詳細については、「*サービス認可リファレンス*」の「[AWS のサービスのアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、イベントデータストアに記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを **[resources.ARN]** に、演算子を **[指定の値で始まらない]** に設定し、イベントをログに記録しない S3 バケット ARN に貼り付けます。
2 番目の S3 バケットを追加するには、**[条件の追加]** を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。
CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。ステップ 12 からこのステップまでを繰り返し、リソースタイプの高度なイベントセレクタを設定します。
1. データイベントの集約を有効にするには、1 つ以上の集約テンプレートを選択します。これらのテンプレートは、データイベントの要約方法を定義します。次のテンプレートから選択できます。
1. **API **アクティビティ: 実行された API コールに基づいて、データイベントの概要を 5 分間取得します。これを使用して、頻度、発信者、ソースなど、API の使用パターンを理解します。
1. リソースのアクティビティパターンを取得するための AWS リソース**アクセス**。これを使用して、 AWS リソースへのアクセス方法、5 分間のウィンドウでアクセスされる回数、リソースにアクセスするユーザー、実行されるアクションを理解します。
1. **ユーザー** アカウントで API コールを行う IAM プリンシパルに基づいてアクティビティパターンを取得するアクション。
**注記**
集計は、証跡で収集されたすべてのデータイベントに適用されます。
1. ネットワークアクティビティイベントをログに記録するには、**[ネットワークアクティビティイベント]** を選択します。ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
ネットワークアクティビティイベントをログに記録するには、以下を実行します。
1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。
1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。
1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
+ **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
+ **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
+ **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. 証跡に CloudTrail Insights イベントをログに記録させたい場合は、[**Insights イベント**] を選択します。
[**Event type**] で、[**Insights events**] を選択します。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。
CloudTrail Insights が異常なアクティビティの管理イベントを分析し、異常が検出されたときにイベントをログに記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。Insights イベントの記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
Insights イベントは、証跡詳細ページの [**ストレージの場所**] 領域で指定されている同じ S3 バケットの、`/CloudTrail-Insight` という名前の異なるフォルダへ配信されます。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が `amzn-s3-demo-bucket/AWSLogs/CloudTrail/` の場合、新しいプレフィックスが付いた S3 バケットの名前は `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/` になります。
1. ログに記録するイベントタイプの選択が終了したら、[**Next**] を選択します。
1. [**Review and create**] ページで選択内容を確認します。[**Edit**] を選択して、そのセクションに表示される証跡設定を変更します。証跡を作成する準備ができたら、[**Create trail**] を選択します。
1. 新しい証跡が **[Trails]** (証跡) ページに表示されます。約 5 分で CloudTrail によってログファイルが発行され、アカウント内で実行された AWS API コールが表示されます。ユーザーは、指定した S3 バケット内のログファイルを確認することができます。
証跡で Insights イベントを有効にした場合、CloudTrail がこれらのイベントの配信を開始するまで、最大 36 時間かかる場合があります (その間に異常なアクティビティが検出された場合)。
**注記**
CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
### 基本的なイベントセレクターを使用してデータイベント設定を構成する
高度なイベントセレクタを使用すると、すべてのデータイベントタイプとネットワークアクティビティイベントを設定することができます。高度なイベントセレクタを使用すると、対象のイベントのみをログに記録するきめ詳細なセレクタを作成できます。
ベーシックなイベントセレクタを使用してデータイベントのログを記録すると、Amazon S3 バケット、 AWS Lambda 関数、Amazon DynamoDB テーブルのデータイベントのみに制限されます。ベーシックなイベントセレクタを使用して `eventName` フィールドをフィルタリングすることはできません。また、[ネットワークアクティビティイベント](logging-network-events-with-cloudtrail.md)をログに記録することはできません。
![\[証跡のデータイベント用の基本的なイベントセレクター\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
以下の手順で、基本的なイベントセレクターを使用して、データイベント設定を構成します。
**基本的なイベントセレクターを使用してデータイベント設定を構成するには**
1. データイベントをログ記録するには、**[イベント]** で **[データイベント]** を選択します。データイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
1. Amazon S3 バケットの場合
1. [**Data source**] で、[**S3**] を選択します。
1. **すべての現在および将来の S3 バケット**を記録することを選択するか、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。
**注記**
デフォルトの**すべての現在および将来の S3 バケット**オプションを保持すると、 AWS 現在アカウント内のすべてのバケットと、証跡の作成が完了した後に作成したバケットのデータイベントログ記録が有効になります。また、別の AWS アカウントに属するバケットでそのアクティビティが実行された場合でも、アカウントの任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も有効にします AWS 。
単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、**現在および将来のすべての S3 バケットを選択すると、**証跡と同じリージョン内のすべてのバケットと、そのリージョンで後で作成するバケットのデータイベントログ記録が有効になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。
1. デフォルトの [**All current and future S3 buckets**] で、[**読み取り**] イベント、[**書き込み**] イベント、またはその両方をログ記録することを選択します。
1. 個々のバケットを選択するには、[**All current and future S3 buckets**] の [**読み取り**] および [**書き込み**] のチェックボックスをオフにします。[**Individual bucket selection**] で、データイベントをログ記録するバケットを参照します。目的のバケットのバケットプレフィックスを入力して、特定のバケットを検索します。このウィンドウで、複数のバケットを選択できます。[**Add bucket**] を選択してより多くのバケットのデータイベントをログ記録します。[**読み取り**] イベント (例: `GetObject`) か、[**書き込み**] イベント (例: `PutObject`)、または両方を選択します。
この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [**読み取り**] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [**読み取り**] が設定されています。選択を解除することはできません。[**書き込み**] のオプションしか設定することができません。
ログ記録からバケットを削除するには、[**X**] を選択します。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。
1. Lambda 関数の場合
1. [**Data source**] で、[**Lambda**] を選択します。
1. [**Lambda 関数**] で、[**All regions**] を選択してすべての Lambda 関数をログ記録するか、[**Input function as ARN**] を使用して、特定の関数のデータイベントをログ記録します。
AWS アカウント内のすべての Lambda 関数のデータイベントをログに記録するには、**現在および将来の関数をすべてログ**に記録するを選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。
**注記**
マルチリージョン証跡を作成している場合は、この選択によって、 AWS アカウントの現時点のすべての関数や、証跡作成後に任意のリージョンに作成する可能性のある Lambda 関数のデータイベントのログ記録が有効になります。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により AWS 、アカウントのそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。
すべての関数のデータイベントのログ記録では、そのアクティビティが別のアカウントに属する関数で実行されている場合でも、アカウントの AWS 任意の IAM ID によって実行されるデータイベントアクティビティのログ記録も可能です AWS 。
1. [**Input function as ARN**] を選択した場合、Lambda 関数の ARN を入力します。
**注記**
15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡の作成を終了し、 AWS CLI および **put-event-selectors** コマンドを使用して、特定の Lambda 関数のデータイベントログ記録を設定することもできます。詳細については、「[を使用した証跡の管理 AWS CLI](cloudtrail-additional-cli-commands.md)」を参照してください。
1. DynamoDB テーブルの場合
1. [**Data event source**] で、[**DynamoDB**] を選択します。
1. [**DynamoDB table selection**] で、[**Browse**] を選択してテーブルを選択するか、アクセス許可を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は次の形式です。
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
別のテーブルを追加するには、[**Add row**] を選択し、テーブルを参照するか、アクセス許可のあるテーブルの ARN に貼り付けます。
1. 証跡の Insights イベントとその他の設定を行うには、このトピックで前述した手順、[コンソールでの証跡の作成](#creating-a-trail-in-the-console) に戻ります。
## 次の手順
証跡を作成したら、証跡に戻って次の変更を加えることができます。
+ まだ作成していない場合は、CloudTrail を設定して CloudWatch Logs にログファイルを送信できます。詳細については、「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md) 」を参照してください。
+ テーブルを作成し、Amazon Athena でのクエリの実行に使用して、 AWS サービスアクティビティを分析します。詳細については、[Amazon Athena User Guide (Amazon Athena ユーザーガイド)](https://docs.aws.amazon.com/athena/latest/ug/)の「[Creating a Table for CloudTrail Logs in the CloudTrail Console (CloudTrail コンソールで CloudTrail ログのテーブルの作成)](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct)」を参照してください。
+ 証跡にカスタムタグ (キーと値のペア) を追加する。
+ 別の証跡を作成するには、**[証跡]** ページを開き、**[証跡の作成]** を選択します。
# CloudTrail コンソールで証跡を更新する
このセクションでは、証跡の設定を変更する方法について説明します。
単一リージョン証跡をマルチリージョン証跡に変換するか、マルチリージョン証跡を更新して単一リージョンのみのイベントをログに記録する場合は、 AWS CLI を使用する必要があります。単一リージョン証跡をマルチリージョン証跡に変換する方法の詳細については、「[単一リージョンの証跡からマルチリージョンの証跡への変換](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)」を参照してください。マルチリージョン証跡を更新して単一リージョンのイベントをログに記録する方法の詳細については、「[マルチリージョンの証跡から単一リージョンの証跡への変換](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)」を参照してください。
Amazon Security Lake で CloudTrail 管理イベントを有効にしている場合は、`read` と `write` の両方の管理イベントのログ記録を行うマルチリージョンの組織証跡を、1 つ以上作成する必要があります。資格を満たしている証跡を、Security Lake の要件に従わない方法で更新することはできません。例えば、証跡を単一リージョンに変更したり、`read` または `write` 管理イベントのログ記録をオフにしたりするなどです。
**注記**
CloudTrail は、リソースの検証に失敗した場合でも、メンバーアカウントの組織の証跡を更新します。検証の失敗例を次に示します。
Amazon S3 バケットポリシーに誤りがある
Amazon SNS トピックポリシーに誤りがある
CloudWatch Logs ロググループに配信できない
KMS キーを使用して暗号化するアクセス許可が不十分
CloudTrail アクセス許可を持つメンバーアカウントは、CloudTrail コンソールで証跡の詳細ページを表示するか、 コマンドを実行して AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)、組織の証跡の検証の失敗を確認できます。
**を使用して証跡を更新するには AWS マネジメントコンソール**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションメニューで、 [**証跡**] を選択し、証跡を選択します。
1. [**General details**] で、[**Edit**] を選択して次の設定を変更します。証跡の名前は変更できません。
+ **組織に証跡を適用する** - この証跡が AWS Organizations 組織の証跡であるかどうかを変更します。
**注記**
組織の証跡を非組織の証跡に変換したり、非組織の証跡を組織の証跡に変換したりできるのは、組織の管理アカウントだけです。
+ [**Trail log location**] - この証跡のログを保存する S3 バケットまたはプレフィックスの名前を変更します。
+ [**Log file SSE-KMS encryption**] で、SSE-S3 を使用する代わりに SSE-KMS を使用してログファイルを暗号化の有効または無効を選択します。
+ [**Log file validation**] - ログファイルの整合性の検証の有効または無効を選択します。
+ [**SNS notification delivery**] - 証跡に指定されているバケットにログファイルが配信された Amazon Simple Notification Service (Amazon SNS) 通知の有効または無効を選択します。
1. 証跡を AWS Organizations 組織の証跡に変更するには、組織内のすべてのアカウントの証跡を有効にすることを選択できます。詳細については、「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
1. 指定したバケットを [**ストレージの場所**] で、[**新しい S3 バケットの作成**] を選択してバケットを作成します。新しいバケットを作成すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。新しい S3 バケットを作成する場合は、デフォルトでバケットのサーバー側の暗号化が有効になっているため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。
**注記**
[**Use existing S3 bucket**] を選択した場合、[**Trail log bucket name**] のバケットを指定するか、[**Browse**] を選択してバケットを選択します。バケットポリシーでは、バケットへの書き込み権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md) を参照してください。
ログを見つけやすくするために、新しいフォルダ (*プレフィックス*とも呼ばれます) を既存のバケットに作成して CloudTrail ログを保存します。プレフィックスを [**プレフィックス**] に入力します。
1. **[Log file SSE-KMS encryption]** (ログファイルの SSE-KMS 暗号化) で、SSE-S3 暗号化を使用する代わりに SSE-KMS 暗号化を使用してログファイルとダイジェストファイルを暗号化する場合は、**[Enabled]** (有効) を選択します。デフォルトは [**Enabled**] です。SSE-KMS 暗号化を有効にしない場合、ログファイルとダイジェストファイルは SSE-S3 暗号化を使用して暗号化されます。SSE-KMS 暗号化の詳細については、[AWS Key Management Service 「 (SSE-KMS) でのサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)の使用」を参照してください。SSE-S3 暗号化の詳細については、「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。
SSE-KMS 暗号化を有効にする場合は、**新規**または**既存** AWS KMS keyを選択します。[**AWS KMS Alias**] で、`alias/` *MyAliasName* フォーマットのエイリアスを指定します。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、*AWS Key Management Service デベロッパーガイド*の「[マルチリージョンキーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)」を参照してください。
**注記**
別のアカウントのキーの ARN を入力することもできます。詳細については、「[コンソールで KMS キーを使用するようにリソースを更新する](create-kms-key-policy-for-cloudtrail-update-trail.md)」を参照してください。このキーポリシーは、CloudTrail がキーを使用してログファイルとダイジェストファイルを暗号化できるようにし、指定したユーザーが暗号化されていない形式でログファイルまたはダイジェストファイルを読み取れるようにする必要があります。キーポリシーを手動で編集する方法については、[CloudTrail の AWS KMS キーポリシーを設定する](create-kms-key-policy-for-cloudtrail.md) を参照してください。
1. [**ログファイル検証を有効にする**] で [**Enabled**] を選択して、S3 バケットにログダイジェストが配信されるようにします。ダイジェストファイルは、ログファイルが CloudTrail に配信された後に変更されていないことを確認するために使用できます。詳細については、「[CloudTrail ログファイルの整合性の検証](cloudtrail-log-file-validation-intro.md)」を参照してください。
1. バケットにログが配信されるたびに通知を受け取る場合は、[**SNS notification delivery**] で [**Enabled**] を選択します。CloudTrail は、1 つのログファイルに複数のイベントを保存します。SNS 通知は、ログファイルごとに送信されます (イベントごとではありません)。詳細については、「[「CloudTrail の Amazon SNS 通知の設定」](configure-sns-notifications-for-cloudtrail.md)」を参照してください。
SNS 通知を有効にすると、[**Create a new SNS topic**] で、[**New**] を選択してトピックを作成するか、[**Existing**] を選択して既存のトピックを使用します。マルチリージョン証跡を作成した場合、アカウント内で有効になっているすべてのリージョンからのログファイル配信を知らせる SNS 通知は、ユーザーが作成した単一の SNS トピックに送信されます。
[**New**] を選択した場合、CloudTrail は新しいトピックの名前を指定します。または、自分で名前を入力できます。[**Existing**] を選択した場合、ドロップダウンリストから SNS トピックを選択します。別のリージョンにあるトピックの ARN を入力したり、適切なアクセス許可を持ったアカウントにあるトピックの ARN を入力することもできます。詳細については、「[CloudTrail の Amazon SNS トピックポリシー](cloudtrail-permissions-for-sns-notifications.md)」を参照してください。
トピックを作成する場合は、ログファイル配信の通知を受けるトピックを受信登録する必要があります。受信登録は Amazon SNS コンソールから行うことができます。通知頻度の都合上、受信登録については、Amazon SQS キューを使用して通知をプログラムで処理するように設定することをお勧めします。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の使用開始](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」を参照してください。
1. [**CloudWatch Logs**] で、[**編集**] を選択して、CloudTrail ログファイルを CloudWatch Logs に送信するための設定を変更します。[**CloudWatch Logs**] で [**Enabled**] をクリックして、ログファイルの送信を有効にします。詳細については、「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md) 」を参照してください。
1. CloudWatch Logs との統合を有効にする場合は、[**New**] を選択して新しいロググループを作成するか、[**Existing**] を選択して既存のものを使用します。[**New**] を選択した場合、CloudTrail は新しいロググループの名前を指定します。または、自分で名前を入力できます。
1. [**Existing**] を選択した場合、ドロップダウンリストからロググループを選択します。
1. [**New**] を選択して、CloudWatch Logs にログを送信するためのアクセス許可のための新しい IAM ロールを作成します。[**Existing**] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[**ポリシードキュメント**] を展開すると表示されます。このロールの詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
**注記**
証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
1. [**タグ**] で、[**編集**] を選択して、証跡のタグを変更、追加、または削除します。証跡を特定、ソート、および制御できるようにするタグキーのペアは、最大 50 個追加することができます。CloudTrail 証跡と CloudTrail ログファイルを含む Amazon S3 バケットの両方を識別するのにタグが役立ちます。その後、CloudTrail リソースのリソースグループを使用できます。詳細については、「[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)」および「[タグ](cloudtrail-concepts.md#cloudtrail-concepts-tags)」を参照してください。
1. [**Management events**] で、[**編集**] を選択して、管理イベントのログ設定を変更します。
1. [**API activity**] で、証跡で記録する対象を [**読み取り**] イベント、[**書き込み**] イベント、またはその両方を選択します。詳細については、「[管理イベント](logging-management-events-with-cloudtrail.md#logging-management-events)」を参照してください。
1. ** AWS KMS イベントを除外**を選択して、証跡から (AWS KMS) イベントをフィルタリング AWS Key Management Service します。デフォルト設定では、すべての AWS KMS イベントが含まれています。
AWS KMS イベントを記録または除外するオプションは、証跡で管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないことを選択した場合、 AWS KMS イベントはログに記録されず、 AWS KMS イベントログ設定を変更することはできません。
AWS KMS `Encrypt`、、 などの アクションは`Decrypt`、`GenerateDataKey`通常、大量のイベント (99% 以上) を生成します。これらのアクションは、[**読み取り**] イベントとしてログに記録されるようになりました。`Disable`、、 `ScheduleKey` (通常は AWS KMS イベントボリュームの 0.5% 未満を占める) などの少量の関連 AWS KMS アクションは`Delete`、**書き込み**イベントとして記録されます。
`Encrypt`、`Decrypt`、`GenerateDataKey` のようなボリュームの大きなイベントを除外し、`Disable`、`Delete`、`ScheduleKey` などの関連イベントを記録する場合は、[**書き込み**] 管理イベントを記録することを選択し、[**Exclude AWS KMS events**] チェックボックスをオフにします。
1. [**Exclude Amazon RDS Data API events**] を選択して、証跡から Amazon Relational Database Service データ API イベントを除外できます。デフォルト設定では、すべての Amazon RDS Data API イベントが含まれています。Amazon RDS Data API イベントの詳細については、「Aurora の Amazon RDS Amazon RDS ユーザーガイド」の「[AWS CloudTrailによる Data API コールのログ記録](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)」を参照してください。
1.
**重要**
ステップ 7~11 は、デフォルトである高度なイベントセレクタを使用してデータイベントを設定するためのものです。高度なイベントセレクターでは、より多くの[データイベントタイプ](logging-data-events-with-cloudtrail.md#logging-data-events)を設定し、証跡でキャプチャするデータイベントをきめ細かく制御できます。ネットワークアクティビティイベントをログに記録する予定がある場合は、高度なイベントセレクタを使用する必要があります。基本的なイベントセレクターを使用している場合は、「[基本的なイベントセレクターを使用したデータイベント設定の更新](#cloudtrail-update-basic-event-selectors-console)」を参照してから、この手順のステップ 12 に戻ってください。
[**Data events**] で、[**編集**] を選択して、データイベントのログ設定を変更します。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**[リソースタイプ]** で、データイベントをログ記録するリソースのタイプを選択します。使用可能なリソースタイプの詳細については、「[データイベント](logging-data-events-with-cloudtrail.md#logging-data-events)」を参照してください。
1. ログセレクタテンプレートを選択します。定義済みテンプレートを選択するか、**[カスタム]** を選択して独自のイベントコレクション条件を定義できます。
次の定義済みテンプレートから選択できます。
+ **[すべてのイベントをログに記録する]** – このテンプレートを選択すると、すべてのイベントを記録します。
+ **[読み取りイベントのみをログに記録する]** – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、`Get*` または `Describe*` イベントなど、リソースの状態を変更しないイベントです。
+ **[書き込みイベントのみをログに記録する]** – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。
+ ** AWS マネジメントコンソール イベントのみをログに記録する** – このテンプレートを選択すると、 から発生したイベントのみをログに記録します AWS マネジメントコンソール。
+ ** AWS のサービス 開始されたイベントを除外**する – このテンプレートを選択して、 `eventType`の を持つ AWS のサービス イベントと`AwsServiceEvent`、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外します。 SLRs
**注記**
S3 バケットの事前定義されたテンプレートを選択すると、 AWS 現在アカウントにあるすべてのバケットと、証跡の作成後に作成したバケットのデータイベントログ記録が有効になります。また、そのアクティビティが別の AWS AWS アカウントに属するバケットで実行されている場合でも、アカウントの任意のユーザーまたはロールによって実行されたデータイベントアクティビティのログ記録も有効にします。
証跡が 1 つのリージョンのみに適用される場合、すべての S3 バケットをログ記録する事前定義済みテンプレートを選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウント内の他のリージョンの Amazon S3 バケットのデータイベントは記録されません。
マルチリージョンの証跡を作成する場合は、Lambda 関数の事前定義されたテンプレートを選択すると、 AWS アカウントに現在存在するすべての関数と、証跡の作成後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。1 つのリージョンの証跡を作成する場合 ( を使用して実行 AWS CLI)、この選択により、アカウントのそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります AWS 。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。
すべての関数のデータイベントのログ記録では、そのアクティビティが別の AWS AWS アカウントに属する関数で実行されている場合でも、アカウントの任意のユーザーまたはロールによって実行されるデータイベントアクティビティのログ記録も可能です。
1. (オプション) **[セレクタ名]** に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名は、拡張イベントセレクタに「`Name`」と表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[カスタム]** を選択した場合、**[高度なイベントセレクタ]** で高度なイベントセレクタフィールドの値に基づいて式を構築します。
**注記**
セレクタは、`*` のようなワイルドカードの使用をサポートしていません。複数の値を 1 つの条件と一致させるには、`StartsWith`、`EndsWith`、`NotStartsWith`、または `NotEndsWith` を使用して、イベントフィールドの先頭または末尾を明示的に一致させることができます。
1. 次のフィールドから選択します。
+ **`readOnly`** – `readOnly` は、`true` または `false` の値と **[等しい]** になるように設定できます。読み取り専用データイベントは、`Get*` または `Describe*` イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、`Put*`、`Delete*`、または `Write*` イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。`read` および `write` イベントの両方を記録するには、`readOnly` セレクタを追加しないでください。
+ **`eventName`** - `eventName` は任意の演算子を使用できます。これを使用して、CloudTrail に記録されるデータイベント (`PutBucket`、`GetItem`、または `GetSnapshotBlock`) を含めるまたは除外します。
+ **`eventSource`** – 含めるまたは除外するイベントソース。このフィールドは任意の演算子を使用できます。
+ **[eventType]** – 含めるまたは除外するイベントタイプ。例えば、このフィールドを **[次と等しくない]** `AwsServiceEvent` に設定して、[AWS のサービス イベント](non-api-aws-service-events.md) を除外できます。イベントタイプのリストについては、[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md) の「[`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)」を参照してください。
+ **sessionCredentialFromConsole** – AWS マネジメントコンソール セッションから発生するイベントを含めるか除外します。このフィールドは、`true` の値で **[次と等しい]** または **[次と等しくない]** に設定できます。
+ **[userIdentity.arn]** – 特定の IAM アイデンティティによって実行されたアクションのイベントを含めるか、除外します。詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。
+ **`resources.ARN`** – `resources.ARN` には任意の演算子を使用することができますが、**[指定の値に等しい]** または **[指定の値に等しくない]** を使用する場合、値は、テンプレートで `resources.type` の値として指定したタイプの有効なリソースの ARN と正確に一致する必要があります。
**注記**
`resources.ARN` フィールドを使用して ARN を持たないリソースタイプをフィルタリングすることはできません。
データイベントリソースの ARN 形式の詳細については、「*サービス認可リファレンス*」の「[AWS のサービスのアクション、リソース、条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、イベントデータストアに記録されているデータイベントから 2 つの S3 バケットのデータイベントを除外するには、フィールドを **[resources.ARN]** に、演算子を **[指定の値で始まらない]** に設定し、イベントをログに記録しない S3 バケット ARN に貼り付けます。
2 番目の S3 バケットを追加するには、**[条件の追加]** を選択した後に上記の手順を繰り返し、ARN に貼り付けるか、別のバケットをブラウズします。
CloudTrail が複数の条件を評価する方法については、「[CloudTrail がフィールドの複数の条件を評価する方法](filtering-data-events.md#filtering-data-events-conditions)」を参照してください。
**注記**
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、`eventName` などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタで ARN を値と等しく指定せず、次に、別のセレクタで同じ値に等しくない ARN を指定します。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。ステップ 3 からこのステップまでを繰り返し、リソースタイプの高度なイベントセレクタを設定します。
1. **[ネットワークアクティビティイベント]** で、**[編集]** を選択してネットワークアクティビティイベントのログ記録設定を変更します。デフォルトでは、証跡はネットワークアクティビティイベントをログに記録しません。ネットワークアクティビティイベントのログ記録には追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
ネットワークアクティビティイベントをログに記録するには、以下を実行します。
1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。
1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。
1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
+ **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
+ **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
+ **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. 証跡に CloudTrail Insights イベントをログに記録させたい場合は、[**Insights イベント**] で、[**編集**] を選択します。
[**Event type**] で、[**Insights events**] を選択します。
**Insights イベント**で、**API コールレート**、**API エラーレート**、または両方を選択します。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。
CloudTrail Insights が異常なアクティビティの管理イベントを分析し、異常が検出されたときにイベントをログに記録します。デフォルトでは、証跡は Insights イベントを記録しません。Insights トイベントの詳細については、「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。Insights イベントの記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
Insights イベントは、証跡詳細ページの [**ストレージの場所**] 領域で指定されている同じ S3 バケットの、`/CloudTrail-Insight` という名前の異なるフォルダへ配信されます。CloudTrail によって新しいプレフィックスが作成されます。たとえば、現在の送信先 S3 バケットの名前が `amzn-s3-demo-bucket/AWSLogs/CloudTrail/` の場合、新しいプレフィックスが付いた S3 バケットの名前は `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/` になります。
1. 証跡の設定を変更し終えたら、[**Update trail**] を選択します。
## 基本的なイベントセレクターを使用したデータイベント設定の更新
高度なイベントセレクタを使用すると、すべてのデータイベントタイプとネットワークアクティビティイベントを設定することができます。高度なイベントセレクタを使用すると、対象のイベントのみをログに記録するきめ詳細なセレクタを作成できます。
ベーシックなイベントセレクタを使用してデータイベントのログを記録すると、Amazon S3 バケット、 AWS Lambda 関数、Amazon DynamoDB テーブルのデータイベントのみに制限されます。ベーシックなイベントセレクタを使用して `eventName` フィールドをフィルタリングすることはできません。また、[ネットワークアクティビティイベント](logging-network-events-with-cloudtrail.md)をログに記録することはできません。
![\[証跡のデータイベント用の基本的なイベントセレクター\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
以下の手順で、基本的なイベントセレクターを使用して、データイベント設定を構成します。
1. [**Data events**] で、[**編集**] を選択して、データイベントのログ設定を変更します。基本的なイベントセレクタを使用すると、Amazon S3 バケット、 AWS Lambda 関数、DynamoDBtables、またはそれらのリソースの組み合わせのデータイベントのログ記録を指定できます。追加のデータイベントリソースタイプは、高度なイベントセレクタでサポートされています。デフォルトでは、証跡はデータイベントを記録しません。データイベントのログ記録には追加料金が適用されます。詳細については、「[データイベント](logging-data-events-with-cloudtrail.md#logging-data-events)」を参照してください。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
Amazon S3 バケットの場合
1. [**Data source**] で、[**S3**] を選択します。
1. **すべての現在および将来の S3 バケット**を記録することを選択するか、バケットまたは関数を個々に指定することができます。デフォルトでは、現在および将来のすべての S3 バケットのデータイベントが記録されます。
**注記**
デフォルトの**すべての現在および将来の S3 バケット**オプションを保持すると、 AWS 現在アカウント内のすべてのバケットと、証跡の作成後に作成したバケットのデータイベントログ記録が有効になります。また、そのアクティビティが別の AWS AWS アカウントに属するバケットで実行されている場合でも、アカウントの任意のユーザーまたはロールによって実行されたデータイベントアクティビティのログ記録も有効にします。
証跡が 1 つのリージョンのみに適用される場合、**すべての現在および将来の S3 バケット**を選択すると、同じリージョン内のすべてのバケット、およびそのリージョンで後に作成するバケットに対して、データイベントのログ記録が可能になります。 AWS アカウントの他のリージョンの Amazon S3 バケットのデータイベントはログに記録されません。
1. デフォルトの [**All current and future S3 buckets**] で、[**読み取り**] イベント、[**書き込み**] イベント、またはその両方をログ記録することを選択します。
1. 個々のバケットを選択するには、[**All current and future S3 buckets**] の [**読み取り**] および [**書き込み**] のチェックボックスをオフにします。[**Individual bucket selection**] で、データイベントをログ記録するバケットを参照します。特定のバケットを検索するには、目的のバケットのバケットプレフィックスを入力します。このウィンドウで、複数のバケットを選択できます。[**Add bucket**] を選択してより多くのバケットのデータイベントをログ記録します。[**読み取り**] イベント (例: `GetObject`) か、[**書き込み**] イベント (例: `PutObject`)、または両方を選択します。
この設定は、個別のバケットに設定した個々の設定よりも優先されます。たとえば、すべての S3 バケットにログ記録 [**読み取り**] イベントを指定し、データイベントログ記録に特定のバケットの追加を選択した場合、追加したバケットには既に [**読み取り**] が設定されています。選択を解除することはできません。[**書き込み**] のオプションしか設定することができません。
ログ記録からバケットを削除するには、[**X**] を選択します。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。
1. Lambda 関数の場合
1. [**Data source**] で、[**Lambda**] を選択します。
1. [**Lambda 関数**] で、[**All regions**] を選択してすべての Lambda 関数をログ記録するか、[**Input function as ARN**] を使用して、特定の関数のデータイベントをログ記録します。
AWS アカウント内のすべての Lambda 関数のデータイベントをログに記録するには、**現在および将来の関数をすべてログ**に記録するを選択します。この設定は、関数に個々に設定した各設定よりも優先されます。すべての関数が表示されていなくても、関数はすべてログ記録されます。
**注記**
マルチリージョンの証跡を作成する場合、この選択により、 AWS アカウントに現在存在するすべての関数と、証跡の作成が完了した後に任意のリージョンで作成できる Lambda 関数のデータイベントログ記録が有効になります。単一のリージョンの証跡を作成する場合 ( を使用して作成 AWS CLI)、この選択により AWS 、アカウントのそのリージョンに現在存在するすべての関数と、証跡の作成後にそのリージョンで作成する可能性のある Lambda 関数のデータイベントログ記録が有効になります。他のリージョンで作成された Lambda 関数のデータイベントのログ記録は有効になりません。
すべての関数のデータイベントのログ記録では、そのアクティビティが別の AWS アカウントに属する関数で実行されている場合でも、アカウントの任意のユーザーまたはロールによって実行されたデータイベントアクティビティのログ記録も可能です AWS 。
1. [**Input function as ARN**] を選択した場合、Lambda 関数の ARN を入力します。
**注記**
15,000 を超える Lambda 関数がアカウントに存在する場合は、証跡作成時に CloudTrail コンソールですべての関数を表示または選択することはできません。表示されていない場合でも、すべての関数をログ記録するオプションを選択することができます。特定の関数のデータイベントをログ記録する場合、ARN が分かれば、関数を手動で追加することができます。コンソールで証跡を作成したら、 AWS CLI や **put-event-selectors** コマンドを使用して、特定の Lambda 関数のデータイベントのログ記録を設定することもできます。詳細については、「[を使用した証跡の管理 AWS CLI](cloudtrail-additional-cli-commands.md)」を参照してください。
1. データイベントをログに記録する別のリソースタイプを追加するには、[**データイベントタイプの追加**] を選択します。
1. DynamoDB テーブルの場合
1. [**Data event source**] で、[**DynamoDB**] を選択します。
1. [**DynamoDB table selection**] で、[**Browse**] を選択してテーブルを選択するか、アクセス許可を持つ DynamoDB テーブルの ARN に貼り付けます。DynamoDB テーブルの ARN は次の形式です。
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
別のテーブルを追加するには、[**Add row**] を選択し、テーブルを参照するか、アクセス許可のあるテーブルの ARN に貼り付けます。
1. 証跡の Insights イベントとその他の設定を行うには、このトピックで前述した手順、[CloudTrail コンソールで証跡を更新する](#cloudtrail-update-a-trail-console) に戻ります。
# CloudTrail コンソールで証跡を削除する
CloudTrail コンソールで証跡を削除することができます。組織の管理アカウントまたは委任された管理者アカウントが組織の証跡を削除すると、その証跡は、組織のすべてのメンバーアカウントから削除されます。
**重要**
CloudTrail 証跡の削除は元に戻せないアクションですが、CloudTrail はその証跡の Amazon S3 バケット内のログファイル、Amazon S3 バケット自体、または証跡がイベントを配信する CloudWatch ロググループを削除しません。マルチリージョン証跡を削除すると、 で有効になっているすべての AWS リージョンでイベントのログ記録が停止します AWS アカウント。単一リージョンの証跡を削除すると、そのリージョンのみのイベントのログ記録が停止します。他のリージョンの証跡が削除された証跡と同じ名前であっても、他のリージョンのイベントのログ記録は停止されません。
アカウント閉鎖と CloudTrail 証跡の削除については、「[AWS アカウント クロージャと証跡](cloudtrail-account-closure.md)」を参照してください。
Amazon Security Lake で CloudTrail 管理イベントを有効にしている場合は、`read` と `write` の両方の管理イベントのログ記録を行うマルチリージョンの組織証跡を、1 つ以上作成する必要があります。これが、ユーザーが使用する中で唯一この要件を満たしている証跡である場合、Security Lake で CloudTrail 管理イベントをオフにしない限り、この証跡を削除することはできません。
**CloudTrail コンソールで証跡を削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. CloudTrail コンソールの [**Trails**] ページを開きます。
1. 証跡名を選択します。
1. 証跡の詳細ページの上部で、[**削除**] を選択します。
1. 削除の確認を求められたら、[**削除**] を選択して証跡を永久的に削除します。証跡のリストから証跡が削除されます。すでに Amazon S3 バケットに配信されているログファイルは削除されず、S3 料金は発生しつづけます。
**注記**
Amazon S3 バケットに配信されるコンテンツには、カスタマーコンテンツが含まれている場合があります。機密データの削除の詳細については、「*Amazon S3 ユーザーガイド*」の「[バケットを空にする](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html)」および「[バケットの削除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)」を参照してください。
# 証跡のログ記録をオフにする
証跡を作成すると、自動的にログ記録が有効になります。証跡の詳細ページから証跡のログ記録をオフにすることができます。
**注記**
ログへの記録をオフにしても、既存のログは引き続き証跡の Amazon S3 バケットに保存され、引き続き S3 料金が発生します。S3 にかかる料金については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
**ログ記録が停止した後のイベント配信**
証跡のログ記録をオフにしても、証跡はログ記録がオフになる前に発生したイベントを受信できます。イベントは、ネットワークトラフィックの増加、接続の問題、サービスの停止、既存のイベントの更新など、さまざまな理由で遅延する可能性があります。CloudTrail は、ログ記録がオフになった最新の時刻を使用して、イベント発生時の証跡のログ記録状態ではなく、遅延イベントを配信するかどうかを判断します。その結果、ログ記録が最後にオフになる前に発生した遅延イベントは、引き続き証跡に配信できます。遅延イベント配信の詳細については、「」の`addendum`「」フィールドを参照してください[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md)。
さらに、イベントセレクタとアドバンストイベントセレクタは、ログ記録がオフになった後に証跡に配信される遅延イベントについて評価されません。つまり、証跡は、証跡のイベントセレクタ設定に関係なく、ログ記録がオフになる前に発生した任意のタイプのイベントを受信できます。
**CloudTrail コンソールで証跡のログ記録をオフにするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションメニューで、 [**証跡**] を選択し、証跡の名前を選択します。
1. 証跡の詳細ページの上部で、[**Stop logging**] を選択して証跡のログ記録をオフにします。
1. 確認を求められたら、[**Stop logging**] を選択します。CloudTrail はその証跡のログ記録アクティビティを停止します。
1. その証跡のログ記録を再開するには、証跡設定ページの [**Start logging**] を選択します。