翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudTrail ログファイルの取得と表示
<a name="get-and-view-cloudtrail-log-files"></a>

証跡を作成して必要なログファイルをキャプチャするように設定した後は、ログファイルを検索し、含まれる情報を解釈できるようにする必要があります。

CloudTrail は、証跡の作成時に指定された Amazon S3 バケットに、ログファイルを配信します。CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。インサイトイベントは、通常、異常なアクティビティから 30 分以内にバケットに配信されます。インサイトイベントを初めて有効にした後、異常なアクティビティが検出された場合に、最初のインサイトイベントが表示されるまで最大 36 時間かかります。

**注記**  
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

**Topics**
+ [CloudTrail ログファイルの検索](#cloudtrail-find-log-files)
+ [CloudTrail ログファイルのダウンロード](cloudtrail-read-log-files.md)

## CloudTrail ログファイルの検索
<a name="cloudtrail-find-log-files"></a>

CloudTrail は、ログファイルを gzip アーカイブで S3 バケットに発行します。S3 バケットでは、ログファイルに次の要素を含む形式の名前が付けられます。
+ トレイルを作成したときに指定したバケット名 (CloudTrail コンソールのトレイルページにあります)
+ トレイルを作成したときに指定した (オプションの) プレフィックス
+ 文字列「AWSLogs」
+ アカウント番号
+ データ、管理イベントの文字列「CloudTrail」
+ インサイトイベントの文字列「CloudTrail-Insight」
+ ネットワークアクティビティイベントの文字列「CloudTrail-NetworkActivity」
+ データイベントの集計イベントの文字列「CloudTrail-Aggregated」
+ リージョン識別子 (us-west-1 など)
+ ログファイルが発行された年 (`YYYY` 形式)
+ ログファイルが発行された月 (`MM` 形式)
+ ログファイルが発行された日 (`DD` 形式)
+ 同じ期間をカバーする他のファイルから当該ファイルを区別するための英数字の文字列 

次の例は、データ、管理イベントの完全なログファイルオブジェクト名を示しています。

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

次の例は、インサイトイベントの完全なログファイルオブジェクト名を示しています。

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-Insight/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

次の例は、ネットワークアクティビティイベントの完全なログファイルオブジェクト名を示しています。

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-NetworkActivity/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

次の例は、データイベント集約の完全なログファイルオブジェクト名を示しています。

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-Aggregated/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

**注記**  
組織の証跡の場合、S3 バケットのログファイルオブジェクト名には、次のようにパスに組織ユニット ID が含まれます。  

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{O-ID}}/{{Account ID}}/CloudTrail/{{Region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

ログファイルを取得するには、Amazon S3 コンソール、Amazon S3 コマンドラインインターフェイス (CLI)、または API を使用します。

**Amazon S3 コンソールでログファイルを検索するには**

1. Amazon S3 コンソールを開きます。

1. 指定したバケットを選択します。

1. 必要なログファイルが見つかるまでオブジェクト階層内を移動します。

   ログファイルの拡張子はすべて .gz です。

次の例のように、オブジェクト階層を移動しますが、バケット名、アカウント ID、リージョン、および日付は異なります。

```
All Buckets
    amzn-s3-demo-bucket
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20
```

先のオブジェクト階層のログファイルは、次のようになります。

```
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
```

**注記**  
めったに起こることではありませんが、1 つ以上の重複したイベントを含むログファイルを受け取ることがあります。ほとんどの場合、重複するイベントは同じ `eventID` を持っています。[`eventID`] フィールドの詳細については、「[管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ](cloudtrail-event-reference-record-contents.md)」を参照してください。