Aクラウド標準/マネージド最終更新: 2026-02-05
AWS CloudTrail
AWSアカウント内の「誰が・いつ・何をしたか」という操作履歴(APIコール)を記録する監査専用サービス。ログ管理というより必須の監査基盤。
強い点・メリット
- AWSアカウントを作成した時点で有効化されている(デフォルト設定)
- 改ざん検知機能(Log File Validation)が標準で備わっている
- 管理イベントは90日間無料で保持される
注意点・デメリット
- データイベント(S3アクセス等)を有効にするとログ量が爆発的に増える
- あくまで「操作ログ」であり、アプリのエラーログ等は取れない
- 検索(Event History)は直近90日のみで、それ以上はAthena等が必要
向き・不向きの判断基準
おすすめなケース
AWSを利用する全ユーザー(必須)、セキュリティ監査、コンプライアンス対応
向いていないケース
アプリケーションログの収集(用途が違う)、OS内部のログ収集
監査・ログ管理スペック
- 検索性
- マネジメントコンソールで直近90日は無料検索可能。長期はAthenaで検索。
- 保持期間
- S3バケットに保存することで無期限保持が可能。
- エクスポート
- S3への保存が基本。CloudWatch Logsへの転送も可能。
- 権限管理
- IAMおよびS3バケットポリシーで厳密に保護可能。
コストと運用
課金モデルの考え方
管理イベントの1コピー目は無料。S3への保存料、データイベントの記録は従量課金。
運用負荷
有効化設定のみで動作。ログの定期チェック運用は必要。