CloudTrailのイベント履歴
IAMアクセスキーの棚卸をしていて、アクセスキーの前回の使用日とCloudTrailのイベント履歴が合わないので、ドキュメント確認したところ以下のような記述がありました。
デフォルトでは、CloudTrail は過去 90 日間の S3 バケットレベルの API コールをログに記録しますが、オブジェクトに対して行われたログリクエストは記録しません。バケットレベルの呼び出しには、CreateBucket、DeleteBucket、PutBucketLifeCycle、PutBucketPolicy などのイベントが含まれます。
Amazon S3 CloudTrail イベント - Amazon Simple Storage Service
CloudWatch は、CloudTrail ログファイルのイベントとして以下のアクションを記録します。
DeleteAlarms
DeleteAnomalyDetector
DeleteDashboards
DescribeAlarmHistory
DescribeAlarms
DescribeAlarmsForMetric
DescribeAnomalyDetectors
DisableAlarmActions
EnableAlarmActions
GetDashboard
ListDashboards
PutAnomalyDetector
PutDashboard
PutMetricAlarm
SetAlarmState
AWS CloudTrail を使用した Amazon CloudWatch API コールのログ記録 - Amazon CloudWatch
S3のオブジェクトレベルのAPIコールはもちろん、
CloudWatchのGetMetricDataとかも記録されないんですね、、
S3の方は「証跡」作成して、データイベントの設定を変えれば見れそうですが、CloudWatchの方はそれでも確認できなさそう、、
CloudWatchのAPIコールって監視サーバーによるものが多いイメージなので、確かにイベントログに残ると、ログがえらいことになってしまうのはわかりますが、、、
そもそもCloudWatchのAPIコールをアクセスキーでするなってことなんですかね、、、
参考文献