翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した Amazon GuardDuty API コールのログ記録 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon GuardDuty は AWS CloudTrail、GuardDuty のユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、GuardDuty コンソールからの呼び出しや GuardDuty API へのコード呼び出しを含む、GuardDuty のすべての API コールをイベントとしてキャプチャします。追跡を作成する場合は、GuardDuty に関するイベントを含めた CloudTrail のイベントの Amazon Simple Storage Service (Amazon S3) バケットへの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、GuardDuty に対するリクエスト、そのリクエストが発信された IP アドレス、リクエストの作成者、リクエスト作成日時、その他の詳細情報などを確認できます。

CloudTrail を設定して有効にする方法などの詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)を参照してください。**

## CloudTrail での GuardDuty 情報
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。GuardDuty でサポートされているイベントアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「[CloudTrail Event 履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。

GuardDuty のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、ログファイルを CloudTrail で Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての リージョンに証跡が適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。詳細については、以下を参照してください。
+ [証跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ 「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)」
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストが、ルートユーザーまたは IAM ユーザーのどちらのサインイン認証情報を使用して送信されたか
+ リクエストの送信に使用された一時的なセキュリティ認証情報に、ロールとフェデレーテッドユーザーのどちらが使用されたか
+ リクエストが別の AWS サービスによって行われたかどうか

詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。

## CloudTrail の GuardDuty コントロールプレーンイベント
<a name="guardduty-control-plane-events-in-cloudtrail"></a>

デフォルトでは、CloudTrail は [Amazon GuardDuty API リファレンス](https://docs.aws.amazon.com/guardduty/latest/APIReference/)で提供されているすべての GuardDuty API オペレーションを CloudTrail ファイルにイベントとして記録します。

## CloudTrail の GuardDuty データイベント
<a name="guardduty-data-events-in-cloudtrail"></a>

[GuardDuty Runtime Monitoring](runtime-monitoring.md) は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、および AWS Fargate (Amazon Elastic Container Service (Amazon ECS) のみ) タスクにデプロイされた GuardDuty セキュリティエージェントを使用して、 AWS ワークロード[収集されたランタイムイベントタイプ](runtime-monitoring-collected-events.md)用に が収集するアドオン (`aws-guardduty-agent`) を収集し、脅威の検出と分析のために GuardDuty に送信します。

### データイベントのログとモニタリング
<a name="runtime-monitoring-add-on-cloudtrail-logs"></a>

オプションで、GuardDuty セキュリティエージェントのデータイベントを表示するように AWS CloudTrail ログを設定できます。

CloudTrail を作成して設定するには、「*AWS CloudTrail ユーザーガイド*」の「[データイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)」を参照して、「** AWS マネジメントコンソールの高度なイベントセレクターによるデータイベントのロギング**」の手順に従ってください。トレイルを記録するには、以下の変更を実行します。
+ **[データイベントタイプ]** には、**[GuardDuty ディテクター]** を選択します。
+ **[ログセレクターテンプレート]** では、**[すべてのイベントをログに記録する]** を選択します。
+ 設定の **[JSON ビュー]** を展開します。次の JSON と同じようになります。

  ```
  [
    {
      "name": "",
      "fieldSelectors": [
        {
          "field": "eventCategory",
          "equals": [
            "Data"
          ]
        },
        {
          "field": "resources.type",
          "equals": [
            "AWS::GuardDuty::Detector"
          ]
        }
      ]
    }
  ]
  ```

トレイルのセレクターを有効にした後、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) にある Amazon S3 コンソールに移動します。CloudTrail ログの設定時に選択した S3 バケットからデータイベントをダウンロードできます。