CloudTrail は、AWSで 誰が いつ 何をしたか を後から確認するためのサービスです。AWSマネジメントコンソール、CLI、SDK、API経由の操作履歴を記録できるので、権限変更、EC2操作、設定変更、不審なAPIコールの追跡などで使います。AWS運用における監査ログの中心と考えると分かりやすいです。
まず押さえたいポイント
- AWS操作の事実を後から追うための仕組み
- まずは Event history で過去90日分の管理イベントを見られる
- 長期保存や広い取得には Trail や event data store の設計が必要
- 管理イベントとデータイベントは別物として考える
- IAM や権限変更、障害調査、不正操作の確認で役立つ
どんな場面で使うか
CloudTrailは、誰がIAMポリシーを変えたか、誰がEC2を停止したか、どのロールでS3や他サービスへ操作が行われたかを確認したいときに使います。複数人でAWSを触る環境では、誰がやったか分からない を減らすための基本になります。
また、セキュリティ用途だけでなく、障害調査でもよく使います。たとえば障害の直前に設定変更が入っていないか、誤って削除されたリソースがないかを見るときに便利です。
どう理解するとよいか
初心者向けには、CloudTrailを AWS側の操作履歴帳 と考えると分かりやすいです。ただし、最初から何でも長期で保存してくれるわけではありません。Event history は便利ですが、90日分の管理イベントが中心なので、長く残したい、対象を広げたい場合は追加設計が必要です。
特に重要なのは、最近の確認 と 継続的な保存 を分けて考えることです。前者が Event history、後者が Trail や event data store という見方をすると整理しやすいです。
注意点
CloudTrailがあっても、アプリ内部の挙動やOS内の細かい操作まですべて分かるわけではありません。CloudWatch Logs やアプリログ、OSログと組み合わせた方が調査しやすくなります。
また、どのイベントをどこまで取るかを決めないと、見たい記録が残っていないことがあります。特にデータイベントは、必要な対象を意識して設計した方が安全です。
詳しい整理は、CloudTrailとは?AWSで誰が何をしたか追う監査ログの基本 で解説しています。