AWS CloudTrail は AWS の API の呼び出しを記録するサービスで、セキュリティ監査や GuardDuty など他のサービスで用いられる。

GuardDuty, Inspector, Macie などによって検出されたセキュリティ上の問題を AWS Security Hub で確認する - sambaiz-net

Event history

Event history はデフォルトでリージョンごとに記録されるログで、料金はかからない。 保存期間は90日で、Lambda の Invoke や S3 のオブジェクトレベルの操作といった data events は含まれない。

Trails

記録する Events を選んで Trail を作成すると全てのリージョンのログが S3 に出力される。

Data events を有効にすると件数に応じた料金が発生するが、ARN や eventName で対象を絞ることができる。

Lake

Lake にデータを取り込むと Athena のテーブルなどを作成することなくクエリを実行できる。

AWS Config のデータを取り込んで Trail のログと併せて見ることもできるようになった。