CloudTrailとは
・CLIやSDK、マネジメントコンソールからのユーザーアクティビティやAPI操作をログに記録する
「誰が、いつ、どのAPIで、どのリソースに対し、何をした」
・三種類のログがある
管理イベント:セキュリティ関連の設定とか
データイベント:AWSのリソースへの操作
insightイベント:アカウントの異常アクティビティやエラー
CloudTrailイベント履歴とは
・「誰が、いつ、どのAPIで、どのリソースに対し、何をした」のtrailsのこと
・90日しか保存できない
CloudTrail-insightとは
・異常な API アクティビティを示すイベント
・最初は無効、有効にすると、追加料金がかかる
・有効にすると、異常なアクティビティがログにある場合、Insights イベントがinsightのテーブルに 90 日間表示される。
CloudTrail-証跡とは
・CloudTrailイベント履歴は過去90日分しか保存できないため、それ以上保存したい場合は別途「CloudTrail-証跡」作る必要がある
・証跡はS3へ保存する形となる
・証跡ログをモニタリングし、特定のアクティビティが発生した場合は通知するように、CloudWatch-Logsと連携する設定ができる。(CloudWatch-Logshへのput権限のあるロール設定が必要)
・ユースケース:「S3へ証跡を送って、さらにAthenaでクエリ検索する」とか
CloudTrail-Lakeとは
・「S3へ証跡を送って、さらにAthenaでクエリ検索する」をしなくても、直接CloudTrailのほうでクエリを実行できる新機能
・イベントデータストアを作成することで、それに対してSQLクエリできる