翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 「CloudWatch Logs へのイベントの送信」
イベントを CloudWatch Logs に送信するように証跡を設定すると、CloudTrail は証跡設定に一致するイベントのみを送信します。たとえば、データイベントのみを送信するように設定した場合、証跡はデータイベントのみを CloudWatch Logs ロググループに送信します。CloudTrail は、CloudWatch Logs へのデータ、インサイト、および管理イベントの送信をサポートします。詳細については、「[CloudTrail ログファイルの使用](cloudtrail-working-with-log-files.md)」を参照してください。
**注記**
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
CloudWatch Logs のロググループにイベントを送信するには
+ IAM ロールを作成または指定するための十分なアクセス許可があることを確認してください。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」を参照してください。
+ を使用して CloudWatch Logs ロググループを設定する場合は AWS CLI、指定したロググループに CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための十分なアクセス許可があることを確認してください。詳細については、「[ポリシードキュメントを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)」を参照してください。
+ 新しい証跡を作成するか、既存の証跡を指定します。詳細については、「[コンソールで証跡を作成および更新する](cloudtrail-create-and-update-a-trail-by-using-the-console.md)」を参照してください。
+ ロググループを作成するか、既存のロググループを指定します。
+ IAM ロールを指定します。組織の証跡の既存の IAM ロールを変更する場合は、組織の証跡のログ記録を許可するように手動でポリシーを更新する必要があります。詳細については、[このポリシー例](#policy-cwl-org)と「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
+ ロールポリシーをアタッチするか、デフォルトを使用します。
**Contents**
+ [コンソールを使用して CloudWatch Logs のモニタリングを設定する](#send-cloudtrail-events-to-cloudwatch-logs-console)
+ [ロググループを作成するか、既存のロググループを指定する](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
+ [IAM ロールを指定する](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
+ [CloudWatch コンソールでのイベントの表示](#viewing-events-in-cloudwatch)
+ [を使用した CloudWatch Logs モニタリングの設定 AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
+ [ロググループを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
+ [ロールの作成](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
+ [ポリシードキュメントを作成する](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
+ [証跡を更新する](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [制限](#send-cloudtrail-events-to-cloudwatch-logs-limitations)
## コンソールを使用して CloudWatch Logs のモニタリングを設定する
を使用して AWS マネジメントコンソール 、モニタリングのために CloudWatch Logs にイベントを送信するように証跡を設定できます。
### ロググループを作成するか、既存のロググループを指定する
CloudTrail では、ログイベントの配信エンドポイントとして、CloudWatch Logs ロググループが使用されます。ユーザーは、ロググループを作成するか、既存のロググループを指定することができます。
**ロググループを作成または既存のロググループを指定するには**
1. CloudWatch Logs 統合を設定するのに十分なアクセス許可を持つ管理ユーザーまたはロールを使用してログインしていることを確認してください。詳細については、「[CloudTrail コンソールで Amazon CloudWatch Logs 情報を表示および設定するアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)」を参照してください。
**注記**
管理アカウントのみが、コンソールを使用して、組織の証跡用に CloudWatch Logs のロググループを設定できます。委任管理者は、 AWS CLI または CloudTrail または API オペレーションを使用して CloudWatch Logs ロググループを設定できます。 CloudTrail `CreateTrail` `UpdateTrail`
1. CloudTrail コンソールの [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) を開いてください。
1. 証跡名を選択します。マルチリージョン証跡を選択した場合は、その証跡の作成元のリージョンにリダイレクトされます。ロググループを作成することもできますし、証跡と同じリージョン内の既存のロググループを選択することもできます。
**注記**
マルチリージョン証跡は、 で有効なすべてのリージョンのログファイル AWS アカウント を、指定した CloudWatch Logs ロググループに送信します。
1. [**CloudWatch Logs**] で、[**編集**] を選択します。
1. **CloudWatch Logs** で **[有効]** を選択します。
1. **[ロググループ名]** で、**[新規]** を選択して新しいロググループを作成するか、[**既存**] を選択して既存のロググループを使用します。[**New**] を選択した場合、CloudTrail は新しいロググループの名前を指定します。または、自分で名前を入力できます。命名の詳細については、「[CloudTrail の CloudWatch ロググループとログストリームの名前付け](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)」を参照してください。
1. [**Existing**] を選択した場合、ドロップダウンリストからロググループを選択します。
1. **[ロール名]** で **[新規]** を選択して、CloudWatch Logs にログを送信するためのアクセス許可のための新しい IAM ロールを作成します。[**Existing**] を選択して、ドロップダウンリストから既存の IAM ロールを選択します。新しいロールまたは既存のロールのポリシーステートメントは、[**ポリシードキュメント**] を展開すると表示されます。このロールの詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
**注記**
証跡を設定する際には、別のアカウントに属している S3 バケットや SNS トピックを選択することもできます。ただし、CloudTrail から CloudWatch Logs ロググループにイベントを配信する場合は、現在のアカウント内に存在するロググループを選択する必要があります。
1. **[Save changes]** (変更の保存) をクリックします。
### IAM ロールを指定する
ログストリームへのイベント配信のために CloudTrail に割り当てるロールを指定できます。
**ロールを指定するには**
1. デフォルトでは、`CloudTrail_CloudWatchLogs_Role` が指定されます。デフォルトのロールポリシーには、指定したロググループ内に CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための必要なアクセス許可がアタッチされています。
**注記**
組織の証跡のロググループにこのロールを使用する場合は、ロールを作成した後に手動でポリシーを変更する必要があります。詳細については、[このポリシー例](#policy-cwl-org)と「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
1. ロールを確認するには、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) の AWS Identity and Access Management コンソールに移動します。
1. [**Roles**]、[**CloudTrail\$1CloudWatchLogs\$1Role**] の順に選択します。
1. **[アクセス許可]** タブからポリシーを展開して、その内容が表示されます。
1. 別のロールを指定することもできますが、そのロールを使用して CloudWatch Logs にイベントを送信する場合は、必要なロールポリシーを既存のロールにアタッチする必要があります。詳細については、「[CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント](cloudtrail-required-policy-for-cloudwatch-logs.md)」を参照してください。
### CloudWatch コンソールでのイベントの表示
CloudWatch Logs ロググループにイベントを送信するように証跡を設定したら、CloudWatch コンソールでイベントを表示することができます。CloudTrail は、通常、イベントを API コールからロググループへ平均 5 分以内に配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。
**CloudWatch コンソールでのイベントを表示するには**
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、**[ログ]**、**[ロググループ]** の順に選択します。
1. 証跡用に指定したロググループを選択します。
1. 表示するログストリームを選択します。
1. 証跡によって記録されたイベントの詳細を表示するには、イベントを選択します。
**注記**
CloudWatch コンソールの [**時刻 (UTC)**] 列には、イベントがロググループに配信された時刻が表示されます。イベントが CloudTrail によってログに記録された実際の時刻を確認するには、`eventTime` フィールドを参照してください。
## を使用した CloudWatch Logs モニタリングの設定 AWS CLI
を使用して AWS CLI 、モニタリングのために CloudWatch Logs にCloudWatch CloudTrail を設定できます。
### ロググループを作成する
1. 既存のロググループがない場合は、CloudWatch Logs `create-log-group` コマンドを使用して、ログイベントの配信エンドポイントとしての CloudWatch Logs ロググループを作成します。
```
aws logs create-log-group --log-group-name name
```
次の例では、`CloudTrail/logs` という名前のロググループが作成されます。
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
1. ロググループの Amazon リソースネーム (ARN) を取得します。
```
aws logs describe-log-groups
```
### ロールの作成
CloudWatch Logs ロググループにイベントを送信できるようにするための、CloudTrail 用のロールを作成します。IAM の `create-role` コマンドには、2 つのパラメータがあります。1 つはロール名で、もう 1 つは、JSON 形式のロールポリシー割り当てドキュメントへのファイルパスです。使用するポリシードキュメントによって、CloudTrail に `AssumeRole` アクセス許可が付与されます。`create-role` コマンドを実行すると、必要なアクセス許可を持ったロールが作成されます。
ポリシードキュメントを含んだ JSON ファイルを作成するには、テキストエディタを開き、`assume_role_policy_document.json` という名前のファイルに次のポリシーコンテンツを保存します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
次のコマンドを実行して、`AssumeRole` アクセス許可を使用した CloudTrail 用のロールを作成します。
```
aws iam create-role --role-name role_name --assume-role-policy-document file://.json
```
コマンドが完了したら、出力内のロール ARN を書き留めておきます。
### ポリシードキュメントを作成する
CloudTrail 用に、次のロールポリシードキュメントを作成します。指定したロググループ内に CloudWatch Logs ログストリームを作成し、そのログストリームに CloudTrail イベントを配信するための必要なアクセス許可は、このドキュメントによって CloudTrail に付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
}
]
}
```
------
`role-policy-document.json` という名前のファイルにポリシードキュメントを保存します。
組織の証跡にも使用される可能性があるポリシーを作成している場合は、少し異なる方法で構成する必要があります。例えば、次のポリシー CloudTrail は、指定したロググループに CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111 の証跡と、*o-exampleorgid* の ID を持つ AWS Organizations 組織に適用される 111111111111 アカウントで作成された組織の証跡の両方について、CloudTrail イベントをそのログストリームに配信するために必要なアクセス許可を CloudTrail に付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
}
]
}
```
------
組織の証跡の詳細については、「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。
次のマンドを実行して、ロールにポリシーを適用します。
```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://.json
```
### 証跡を更新する
CloudTrail の `update-trail` コマンドを使用して、証跡のロググループとロール情報を更新します。
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```
AWS CLI コマンドの詳細については、[AWS CloudTrail 「 コマンドラインリファレンス](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/)」を参照してください。
## 制限
CloudWatch Logs と EventBridge ごとに[最大 256 KB のイベントサイズを許可します](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。ほとんどのサービスイベントの最大サイズは 256 KB ですが、一部のサービスにはまだこれより大きなイベントがあります。CloudTrail は、これらのイベントを CloudWatch Logs や EventBridge に送信しません。
CloudTrail イベントバージョン 1.05 で開始し、イベントの最大サイズは 256 KB です。これは、悪意のあるアクターによる悪用を防ぎ、CloudWatch Logs や EventBridge などの他の AWS サービスでイベントを消費できるようにするためです。