概要

・Cloud Trailとは、暗号化のやり方

 ・ロギングされる内容

・有効化の範囲

・CloudWatch Logsと連携してログデータを転送、監視する

・API Activity Lookupでデータを検索

詳細

Cloud Trail

・AWSユーザの様々なAWSサービス上での操作をロギングする（記録する）サービス

・ロギングデータをSSE-KMSで暗号化し、S3へ保存する

　・SSE: サーバサイドの暗号化

　・AWS KMS: 鍵管理を行うマネージドサービス。鍵はAWS本体が持ち、SSEやCSE（クライアント側の暗号化）を実現できる

Cloud TrailによりロギングされるAPI

・API Call Event: サービスから発行されるAPI

・noAPI Call Event: ユーザーから発行されるAPI（サインインアクティビティ）

有効化

・各リージョンで全て有効化するのがベスト（デフォは無効）

・あるリージョンで複数のリージョンのログファイルを一元管理する

CloudWatch Logsとの連携

・CloudTrailのログをJSON形式でCloudWatchLogsへ転送

・転送はSSL暗号化することが可能

・CloudWatch Logs メトリックフィルタで、特定のAPIをメトリクスとして登録、監視し、SNSをつかって通知することができる

（例. rootログイン、認証失敗、セキュリティグループの変更など）

API Activity Lookup

・JSON形式でCloudTrailログを転送・S3に保存されたCloudWatchLogsのログを検索できる機能

・過去7日間

・リソースの作成・変更・削除

・フィルター検索（Username, Eventname, Resoucenameなど）

料金

・無料

・S3, SNSの利用料がかかる