AWS CloudTrailで取得可能なイベントデータとは?まとめてみた。

はじめに

今回はCloudTrailが取得できるイベントデータについてざっくりまとめてみました。

CloudTrailが取得できるイベントデータは大きく分けて2つあります。

  • データイベント
  • 管理イベント

です。

その2つの全体像としては下記のような図になります。

参考 : CloudTrail のデータイベントと管理イベントの違いは何ですか。

それでは早速こちらの図をもとに深掘りしていきます。

データイベント

データイベントとは、S3やLambdaなどのAWSリソース内で実行されるリソース操作イベントのことです。

例えば、

  • S3のオブジェクトの追加・取得・削除
  • Lambda 関数呼び出し
  • Amazon DynamoDBのオブジェクト追加・削除・更新

などです。

また、データイベントはデータプレーンオペレーションとも呼称されます。

参考 : 証跡のデータイベントの記録

管理イベント

管理イベントとは、AWS アカウント内のEC2やS3などのリソースに対して実行される管理操作イベントのことです。

管理操作イベントは、読み取り専用イベントと書き込み専用イベントの2種類があります。

参考 : 証跡での管理イベントの記録

読み取り専用イベント

読み取り専用イベントとは、リソースの読み取りのみを行い、変更を行わない 管理イベントです。例えば、EC2のセキュリティグループの表示、サブネットの表示などが該当します。

参考 : 読み取りおよび書き込みイベント

書き込み専用イベント

書き込み専用イベントとは、リソースを変更する (または変更する可能性がある) 管理イベントです。例えば、EC2のインスタンス起動・削除などS3バケットの作成、IAMリソース作成などが該当します。

参考 : 読み取りおよび書き込みイベント

インサイトイベント

インサイトイベントとは、管理イベントの書き込み専用イベントで、異常なAPI アクティビティとしてCloudTrailに検出されたイベントのことです。例えば、リソースのプロビジョニングの急上昇、IAMアクションのバースト、定期的なメンテナンスアクティビティのギャップなどです。

さいごに

CloudTrailは、CloudTrail 単体ではなく、他サービスと組み合わせでこういったデータをモニタリング・保管・分析していきますので、全体像が掴みづらいのですが、一つずつ調べて理解していきたいと思います。

AWSを運用するにあたり、こういったサービスも活用していきたいですね〜。

Amazon CloudFrontとは?図解してみた。

AWS CloudTrailのイベントデータの確認・分析についてまとめてみる。