0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@montopi(ayaka (AWS/SAP/GCP等資格40件以上持っております。))

CloudTrail・Config・CloudWatch、名前が似た監視3兄弟の違いを整理する

0
Posted at

CloudTrail・Config・CloudWatch、名前が似た監視3兄弟の違いを整理する

AWS を勉強していると、CloudTrail、AWS Config、CloudWatch の違いで一度は混乱します。

どれも「監視」「ログ」「見える化」に関係するので、雑に覚えると全部同じ箱に入ってしまいがちです。ですが、実際には見ている対象がかなり違います。

この記事では、この3つを 監査 / 構成管理 / 性能監視 という軸で整理します。試験対策でも実務でも、この切り分けができるだけで判断がかなり安定します。

まず結論

先に結論だけ書くと、役割はこう分かれます。

  • AWS CloudTrail:誰が・いつ・何をしたかを記録する
  • AWS Config:AWS リソースの設定がどう変わったかを追う
  • Amazon CloudWatch:システムの状態や性能を監視し、異常を通知する

つまり、

  • 操作履歴を見るなら CloudTrail
  • 設定変更や準拠状況を見るなら Config
  • メトリクスやアラームを見るなら CloudWatch

です。

1. CloudTrail は「誰が何をしたか」を見る

CloudTrail は、AWS アカウント内の API コールを記録するサービスです。

たとえば、

  • 誰が EC2 を削除したのか
  • 誰が IAM ポリシーを変更したのか
  • どのユーザーがどの時間に操作したのか

といった 監査や調査向けの証跡 を残すのが得意です。

CloudTrail が向いている場面

  • セキュリティインシデントの調査
  • コンプライアンス監査
  • 不正操作の追跡

キーワード:API コール、監査ログ、操作履歴、誰がやったか

2. AWS Config は「設定がどう変わったか」を見る

AWS Config は、AWS リソースの構成情報を記録し、その変更履歴やルール準拠を評価するサービスです。

CloudTrail が「操作」を見るのに対して、Config は 結果としての構成状態 を見るイメージです。

たとえば、

  • セキュリティグループがいつ変更されたか
  • S3 バケットが公開設定になっていないか
  • EBS ボリュームが暗号化されているか

といった 設定のズレやコンプライアンス違反 を追うのに向いています。

Config が向いている場面

  • 構成変更の追跡
  • コンプライアンス評価
  • 設定ルール違反の検知

キーワード:構成管理、設定履歴、ルール準拠、あるべき姿とのズレ

3. CloudWatch は「今、どう動いているか」を見る

CloudWatch は、システムのメトリクスやログを収集し、可視化し、必要に応じてアラームを飛ばすサービスです。

たとえば、

  • CPU 使用率が高い
  • ALB の 5xx エラーが増えている
  • Lambda の実行エラーが急増した
  • 特定ログにエラー文字列が出た

といった 稼働状況や性能の変化 を監視するのが主戦場です。

CloudWatch が向いている場面

  • パフォーマンス監視
  • アラーム通知
  • ログ監視
  • Auto Scaling のトリガー

キーワード:メトリクス、アラーム、ログ、正常に動いているか

比較表で整理

サービス 見ているもの 主な用途 一言でいうと
CloudTrail API 操作履歴 監査・調査 誰が何をしたか
AWS Config リソース設定 構成管理・準拠評価 設定がどう変わったか
CloudWatch メトリクス・ログ 監視・通知 今どう動いているか

試験で迷った時の切り分け

試験では、この3つをシナリオに埋め込んで使い分けを問われることが多いです。

  • 不正操作を追跡したい
    • → CloudTrail
  • 暗号化されていないリソースを検出したい
    • → AWS Config
  • CPU 使用率の急上昇を検知したい
    • → CloudWatch

ここを曖昧にすると、全部「監視系」でまとめて外します。

実務ではどう組み合わせるか

実務では、この3つは競合ではなく、むしろ組み合わせて使います。

たとえば、

  1. CloudTrail で API 操作を監査する
  2. AWS Config で 危険な設定変更を検知する
  3. CloudWatch で システムの性能と異常を監視する

という形で役割分担すると、運用がかなり整理されます。

まとめ

CloudTrail、AWS Config、CloudWatch は、どれも「見る系」のサービスですが、見ている対象が違います。

  • CloudTrail:操作履歴
  • AWS Config:構成状態
  • CloudWatch:性能とログ

この3本を切り分けて理解できるようになると、試験問題も実務の設計もかなり読みやすくなります。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?