翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用したアプリケーションのログ記録とモニタリング AWS CloudTrail
<a name="cloudtrail"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) は、 の運用およびリスク監査、ガバナンス、コンプライアンスを有効にする AWS のサービス のに役立つ です AWS アカウント。ユーザー、ロール、または によって実行されたアクション AWS のサービス は、*イベント*として CloudTrail に記録されます。イベントには、、 AWS Command Line Interface (AWS CLI) AWS マネジメントコンソール、および AWS SDKs と APIs で実行されたアクションを含めることができます。

## CloudTrail の使用
<a name="using-cloudtrail"></a>

CloudTrail は、作成 AWS アカウント 時に で有効になります。でアクティビティが発生すると AWS アカウント、そのアクティビティは CloudTrail イベントに記録されます。**イベント履歴**に移動し、CloudTrail コンソールで簡単に最近のイベントを表示できます。

のアクティビティとイベントの継続的な記録については AWS アカウント、*証跡*を作成します。単一の AWS リージョン またはすべてのリージョンの証跡を作成できます。証跡は各リージョンのログファイルを記録し、CloudTrail はログファイルを単一の統合された Amazon Simple Storage Service (Amazon S3) バケットに配信します。

証跡が指定したイベントのみを処理してログに記録するように、複数の証跡を異なる方法で設定することができます。これは、 で発生したイベントを、アプリケーションで発生したイベント AWS アカウント でトリアージする場合に便利です。

**注記**  
CloudTrail には検証機能があり、CloudTrail がログファイルを配信した後で、ログファイルが変更、削除されているか、もしくは変更されていないかを判断するために使用できます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。を使用して AWS CLI 、CloudTrail がファイルを配信した場所にあるファイルを検証できます。この機能の詳細と有効化の方法については、「[CloudTrail ログファイルの整合性の検証](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html)」(CloudTrail ドキュメント) を参照してください。。

## CloudTrail のユースケース
<a name="cloudtrail-use-cases"></a>
+ **コンプライアンス支援** – CloudTrail を使用すると、 でイベント履歴を提供することで、内部ポリシーと規制基準に準拠するのに役立ちます AWS アカウント。
+ **セキュリティ分析** — CloudTrail ログファイルを CloudWatch Logs、Amazon EventBridge、Amazon Athena、Amazon OpenSearch Service、またはその他のサードパーティソリューションなどのログ管理および分析ソリューションに取り込むことで、セキュリティ分析を実行し、ユーザーの行動パターンを検出できます。
+ **データ流出** — CloudTrail に記録されたオブジェクトレベルの API イベントを介して Amazon S3 オブジェクトのアクティビティデータを収集することで、データ流出を検出できます。アクティビティデータを収集したら、EventBridge や AWS のサービスなどの他の を使用して自動応答を AWS Lambdaトリガーできます。
+ **運用上の問題のトラブルシューティング** — CloudTrail ログファイルを使用して、運用上の問題をトラブルシューティングできます。たとえば、リソースの作成、変更、削除など、環境内の AWS リソースに加えられた最新の変更をすばやく特定できます。

## CloudTrail のベストプラクティス
<a name="cloudtrail-best-practices"></a>
+ すべての AWS リージョンの CloudTrail を有効にします。
+ ログファイルの整合性検証を有効にします。
+ ログを暗号化します。
+ CloudTrail ログファイルを CloudWatch Logs に取り込みます。
+ すべての AWS アカウント および リージョンからのログを一元化します。
+ ログファイルを含む S3 バケットにライフサイクルポリシーを適用します。
+ ユーザーが CloudTrail でロギングをオフにできないようにします。次の[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) を に適用します AWS Organizations。この SCP は、組織全体の `StopLogging` および `DeleteTrail` アクションに明示的な拒否ルールを設定します。

  ```
  {
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement":
         [ 
                   { "Action": 
                       [
                       "cloudtrail:StopLogging",
                       "cloudtrail:DeleteTrail"
                        ],
                        "Resource": "*",
                        "Effect": "Deny"
                    }
          ]
  }
  ```