翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ネットワークアクティビティイベントのログ記録
CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントでは、VPC 内で実行されたリソースオペレーションについて知ることができます。例えば、ネットワークアクティビティイベントのログを記録することで、VPC エンドポイント所有者は、組織外の認証情報を使用した VPC エンドポイントへのアクセスの試みを検出することができます。
次のサービスのネットワークアクティビティイベントを記録できます。
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B Data Interchange
+ AWS Backup gateway
+ Amazon Bedrock
+ 請求情報とコスト管理
+ AWS 料金見積りツール
+ AWS Cost Explorer
+ AWS クラウドコントロール API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Application Signals
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS Data Exports
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ エラスティックロードバランシング
+ Amazon EventBridge
+ Amazon EventBridge スケジューラ
+ Amazon Fraud Detector
+ AWS 無料利用枠
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS Invoicing
+ Amazon Keyspaces (Apache Cassandra 向け)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注記**
Amazon S3 [マルチリージョンアクセスポイント](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)はサポートされていません。
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
証跡とイベントデータストアの両方を設定して、ネットワークアクティビティイベントをログに記録することができます。
デフォルトでは、証跡とイベントデータストアはネットワークアクティビティイベントをログに記録しません。ネットワークアクティビティイベントには追加料金が適用されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**Contents**
+ [ネットワークアクティビティイベントの高度なイベントセレクタフィールド](#logging-network-events)
+ [を使用したネットワークアクティビティイベントのログ記録 AWS マネジメントコンソール](#creating-network-event-selectors-with-the-console)
+ [既存の証跡を更新してネットワークアクティビティイベントのログを記録する](#log-network-events-trail-console)
+ [既存のイベントデータストアを更新してネットワークアクティビティイベントのログを記録する](#log-network-events-lake-console)
+ [を使用したネットワークアクティビティイベントのログ記録 AWS Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [例: 証跡のネットワークアクティビティイベントをログに記録する](#logging-network-events-CLI-trail-examples)
+ [例: CloudTrail オペレーションのネットワークアクティビティイベントを記録する](#logging-network-events-CLI-trail-all-ct)
+ [例: の`VpceAccessDenied`イベントをログに記録する AWS KMS](#logging-network-events-CLI-trail-kms)
+ [例: Amazon S3 のログ `VpceAccessDenied` イベント](#logging-network-events-CLI-trail-s3)
+ [例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する](#logging-network-events-CLI-trail-ec2)
+ [例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する](#logging-network-events-CLI-trail-multiple)
+ [例: イベントデータストアのネットワークアクティビティイベントのログを記録する](#logging-network-events-CLI-eds-examples)
+ [例: CloudTrail オペレーションのすべてのネットワークアクティビティイベントを記録する](#creating-network-events-eds-CLI-ct)
+ [例: の`VpceAccessDenied`イベントをログに記録する AWS KMS](#creating-network-events-eds-CLI-kms)
+ [例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する](#creating-network-events-eds-CLI-ec2)
+ [例: Amazon S3 のログ `VpceAccessDenied` イベント](#creating-network-events-eds-CLI-s3)
+ [例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する](#creating-network-events-eds-CLI-multiple)
+ [AWS SDKs を使用したイベントのログ記録](#logging-network-events-with-the-AWS-SDKs)
## ネットワークアクティビティイベントの高度なイベントセレクタフィールド
高度なイベントセレクタを設定して、アクティビティを記録するイベントソースを指定して、ネットワークアクティビティイベントを記録します。高度なイベントセレクタは、 AWS SDKs AWS CLI、、または CloudTrail コンソールを使用して設定できます。
ネットワークアクティビティイベントをログに記録するには、次の高度なイベントセレクタフィールドが必要です。
+ `eventCategory` – ネットワークアクティビティイベントをログに記録するには、値は `NetworkActivity` である必要があります。`eventCategory` は `Equals` 演算子のみを使用できます。
+ `eventSource` – ネットワークアクティビティイベントのログを記録するイベントソース。`eventSource` は `Equals` 演算子のみを使用できます。複数のイベントソースのネットワークアクティビティイベントのログを記録する場合は、各イベントソースごとに個別のフィールドセレクタを作成する必要があります。
有効な値を次に示します。
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
次の高度なイベントセレクタフィールドはオプションです。
+ `eventName` – フィルタリングするリクエストされたアクション。例えば、`CreateKey` または `ListKeys` など。`eventName` では任意の演算子を使用できます。
+ `errorCode` – フィルタリングするリクエストされたエラーコード。現在、有効な `errorCode` は `VpceAccessDenied` のみです。`errorCode` では、`Equals` 演算子のみを使用できます。
+ `vpcEndpointId` – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
証跡またはイベントデータストアの作成時、デフォルトでは、アクティビティイベントはログに記録されません。CloudTrail ネットワークアクティビティイベントを記録するには、アクティビティを収集する各イベントソースを明示的に設定する必要があります。
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
## を使用したネットワークアクティビティイベントのログ記録 AWS マネジメントコンソール
既存の証跡またはイベントデータストアを更新することで、コンソールを使用してネットワークアクティビティイベントをログに記録できます。
**Topics**
+ [既存の証跡を更新してネットワークアクティビティイベントのログを記録する](#log-network-events-trail-console)
+ [既存のイベントデータストアを更新してネットワークアクティビティイベントのログを記録する](#log-network-events-lake-console)
### 既存の証跡を更新してネットワークアクティビティイベントのログを記録する
既存の証跡を更新してネットワークアクティビティイベントのログを記録するには、次の手順に従います。
**注記**
ネットワークアクティビティイベントのログ記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. CloudTrail コンソールの左のナビゲーションペインで [**証跡**] を選択し、証跡の名前を選択します。
1. 証跡が基本的なイベントセレクタを使用してデータイベントをログ記録している場合は、高度なイベントセレクタに切り替えてネットワークアクティビティイベントをログに記録する必要があります。
高度なイベントセレクタに切り替えるには、次の手順に従います。
1. **[データイベント]** エリアで、現在のデータイベントセレクタを書き留めます。高度なイベントセレクタに切り替えると、既存のデータイベントセレクタがクリアされます。
1. **[編集]** を選択し、**[高度なイベントセレクタに切り替える]** を選択します。
1. 高度なイベントセレクタを使用して、データイベントの選択を再適用します。詳細については、「[コンソールを使用して、高度なイベントセレクターでデータイベントをログに記録するように既存の証跡を更新する](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv)」を参照してください。
1. **[ネットワークアクティビティイベント]** で、**[編集]** を選択します。
ネットワークアクティビティイベントのログを記録するには、次の手順を実行します。
1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。
1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。
1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
+ **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
+ **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
+ **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. **[変更を保存]** を選択して、変更を保存します。
### 既存のイベントデータストアを更新してネットワークアクティビティイベントのログを記録する
以下の手順を実行して既存のイベントデータストアを更新し、ネットワークアクティビティイベントをログに記録します。
**注記**
ネットワークアクティビティイベントは、**[CloudTrail イベント]** タイプのイベントデータストアにのみログを記録できます。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. CloudTrail コンソールの左側にあるナビゲーションペインで、**[Lake]** の下にある **[イベントデータストア]** を選択します。
1. イベントデータストアの名前を選択します。
1. **[ネットワークアクティビティイベント]** で、**[編集]** を選択します。
ネットワークアクティビティイベントのログを記録するには、次の手順を実行します。
1. **[ネットワークアクティビティイベントソース]** から、ネットワークアクティビティイベントのソースを選択します。
1. **[Log selector template]** (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録したり、すべてのネットワークアクティビティアクセス拒否イベントをログに記録したり、**[カスタム]** を選択してカスタムログセレクタを構築し、`eventName` や `vpcEndpointId` などの複数のフィールドでフィルタリングすることができます。
1. (オプション) セレクターを識別する名前を入力します。セレクタ名は、高度なイベントセレクタに**[名前]** として表示され、**[JSON ビュー]** を展開すると表示されます。
1. **[高度なイベントセレクタ]** で、**[フィールド]**、**[演算子]**、**[値]** の値を選択して式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
1. ネットワークアクティビティイベントを除外するか含める場合は、コンソールの次のフィールドから選択できます。
+ **`eventName`** – `eventName` では任意の演算子を使用できます。これを使用して、`CreateKey` などの任意のイベントを含めるか除外することができます。
+ **`errorCode`** – エラーコードをフィルタリングするために使用できます。現在サポートされている `errorCode` は、`VpceAccessDenied` のみです。
+ **`vpcEndpointId`** – オペレーションが通過した VPC エンドポイントを識別します。`vpcEndpointId` では任意の演算子を使用できます。
1. 各フィールドについて、**[条件の追加]** を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。
1. **[フィールドの追加]** を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。
1. ネットワークアクティビティイベントのログを記録する別のイベントソースを追加するには、**[ネットワークアクティビティイベントセレクタの追加]** を選択します。
1. オプションで、**[JSON view]** (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。
1. **[変更を保存]** を選択して、変更を保存します。
## を使用したネットワークアクティビティイベントのログ記録 AWS Command Line Interface
AWS CLIを使用して、ネットワークアクティビティイベントのログを記録するように、証跡またはイベントデータストアを設定できます。
**Topics**
+ [例: 証跡のネットワークアクティビティイベントをログに記録する](#logging-network-events-CLI-trail-examples)
+ [例: イベントデータストアのネットワークアクティビティイベントのログを記録する](#logging-network-events-CLI-eds-examples)
### 例: 証跡のネットワークアクティビティイベントをログに記録する
AWS CLIを使用して、ネットワークアクティビティイベントのログを記録するように、証跡を設定できます。[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) コマンドを実行して、証跡の高度なイベントセレクタを設定します。
証跡がネットワークアクティビティイベントをログに記録しているかどうかを確認するには、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html) コマンドを実行します。
**Topics**
+ [例: CloudTrail オペレーションのネットワークアクティビティイベントを記録する](#logging-network-events-CLI-trail-all-ct)
+ [例: の`VpceAccessDenied`イベントをログに記録する AWS KMS](#logging-network-events-CLI-trail-kms)
+ [例: Amazon S3 のログ `VpceAccessDenied` イベント](#logging-network-events-CLI-trail-s3)
+ [例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する](#logging-network-events-CLI-trail-ec2)
+ [例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する](#logging-network-events-CLI-trail-multiple)
#### 例: CloudTrail オペレーションのネットワークアクティビティイベントを記録する
次の例は、`CreateTrail` や `CreateEventDataStore` 呼び出しなどの CloudTrail API オペレーションのすべてのネットワークアクティビティイベントを含めるように証跡を設定する方法を示しています。`eventSource` フィールドの値は `cloudtrail.amazonaws.com` です。
```
aws cloudtrail put-event-selectors /
--trail-name {{TrailName}} /
--region {{region}} /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### 例: の`VpceAccessDenied`イベントをログに記録する AWS KMS
次に、 AWS KMSの `VpceAccessDenied` イベントを含めるように証跡を設定する方法の例を示します。この例では、`errorCode` フィールドを `VpceAccessDenied` イベントに、`eventSource` フィールドを `kms.amazonaws.com` に指定します。
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 例: Amazon S3 のログ `VpceAccessDenied` イベント
次に、Amazon S3 の `VpceAccessDenied` イベントを含めるように証跡を設定する方法の例を示します。この例では、`errorCode` フィールドを `VpceAccessDenied` イベントに、`eventSource` フィールドを `s3.amazonaws.com` に指定します。
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する
次の例は、特定の VPC エンドポイントの Amazon EC2 の `VpceAccessDenied` イベントを含めるように証跡を設定する方法を示しています。この例では、`errorCode` フィールドが `VpceAccessDenied` イベント、`eventSource` フィールドが `ec2.amazonaws.com`、`vpcEndpointId` が対象の VPC エンドポイントになるように設定します。
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### 例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する
次の例では、CloudTrail、Amazon EC2、および Amazon S3 イベントソースの管理イベント AWS KMS AWS Secrets Managerとすべてのネットワークアクティビティイベントをログに記録するように証跡を設定します。
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### 例: イベントデータストアのネットワークアクティビティイベントのログを記録する
AWS CLIを使用して、ネットワークアクティビティイベントを含めるようにイベントデータストアを設定することができます。[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを使用して、ネットワークアクティビティイベントをログに記録する新しいイベントデータストアを作成します。[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) コマンドを使用して、既存のイベントデータストアに関する高度イベントセレクターを更新します。
イベントデータストアにネットワークアクティビティイベントが含まれているかどうかを確認するには、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html) コマンドを実行します。
```
aws cloudtrail get-event-data-store --event-data-store {{EventDataStoreARN}}
```
**Topics**
+ [例: CloudTrail オペレーションのすべてのネットワークアクティビティイベントを記録する](#creating-network-events-eds-CLI-ct)
+ [例: の`VpceAccessDenied`イベントをログに記録する AWS KMS](#creating-network-events-eds-CLI-kms)
+ [例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する](#creating-network-events-eds-CLI-ec2)
+ [例: Amazon S3 のログ `VpceAccessDenied` イベント](#creating-network-events-eds-CLI-s3)
+ [例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する](#creating-network-events-eds-CLI-multiple)
#### 例: CloudTrail オペレーションのすべてのネットワークアクティビティイベントを記録する
次の例は、`CreateTrail` や `CreateEventDataStore` の呼び出しなど、CloudTrail オペレーションに関連するすべてのネットワークアクティビティイベントを含むイベントデータストアを作成する方法を示しています。`eventSource` フィールドの値は `cloudtrail.amazonaws.com` に設定されます。
```
aws cloudtrail create-event-data-store \
--name "{{EventDataStoreName}}" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 例: の`VpceAccessDenied`イベントをログに記録する AWS KMS
次の例は、イベントを含めるイベントデータストアを作成する方法を示しています`VpceAccessDenied` AWS KMS。この例では、`errorCode` フィールドを `VpceAccessDenied` イベントに、`eventSource` フィールドを `kms.amazonaws.com` に指定します。
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 例: 特定の VPC エンドポイント経由で EC2 `VpceAccessDenied` イベントをログに記録する
次の例は、特定の VPC エンドポイントの Amazon EC2 の `VpceAccessDenied` イベントを含めるようにイベントデータストアを作成する方法を示しています。この例では、`errorCode` フィールドが `VpceAccessDenied` イベント、`eventSource` フィールドが `ec2.amazonaws.com`、`vpcEndpointId` が対象の VPC エンドポイントになるように設定します。
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 例: Amazon S3 のログ `VpceAccessDenied` イベント
次の例は、Amazon S3 の `VpceAccessDenied` イベントを含めるイベントデータストアを作成する方法を示しています。この例では、`errorCode` フィールドを `VpceAccessDenied` イベントに、`eventSource` フィールドを `s3.amazonaws.com` に指定します。
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 例: 複数のイベントソースのすべての管理イベントとネットワークアクティビティイベントをログに記録する
次の例では、現在管理イベントのみをログに記録しているイベントデータストアを更新し、複数のイベントソースのネットワークアクティビティイベントもログに記録します。イベントデータストアを更新して新しいイベントセレクタを追加するには、`get-event-data-store` コマンドを実行して現在の高度なイベントセレクタを返します。次に、`update-event-data-store` コマンドを実行し、現在のセレクタと新しいセレクタを含む `--advanced-event-selectors` を渡します。複数のイベントソースのネットワークアクティビティイベントをログに記録するには、ログに記録するイベントソースごとに 1 つのセレクタを含めます。
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## AWS SDKs を使用したイベントのログ記録
証跡がネットワークアクティビティイベントを記録しているかどうかを確認するには、[GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html) オペレーションを実行します。ネットワークアクティビティイベントを記録するように証跡を設定するには、[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html) オペレーションを実行します。詳細については、「[ APIリファレンスAWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)」を参照してください。
イベントデータストアがネットワークアクティビティイベントを記録しているかどうかを確認するには、[GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html) オペレーションを実行します。[CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html) または [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html) オペレーションを実行し、高度なイベントセレクタを指定することで、ネットワークアクティビティイベントを含むようにイベントデータストアを構成できます。詳細については、「[を使用してイベントデータストアを作成、更新、管理する AWS CLI](lake-eds-cli.md)」および [AWS CloudTrail API リファレンス](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)を参照してください。