AWS CloudTrail と GCP Cloud Logging: クラウドの操作記録サービスを初心者向けに解説

クラウドサービスを使う上で、「誰が、いつ、どんな操作をしたか？」を知ることは、セキュリティを守ったり、問題が起きたときの原因調査にとても重要です。

AWS (Amazon Web Services) には CloudTrail、GCP (Google Cloud Platform) には Cloud Logging というサービスがあり、これらの操作記録（ログ）を管理するのに役立ちます。

この記事では、これらのサービスがどんなもので、何ができるのかを初心者の方にも分かりやすく解説します。

AWS CloudTrailは、あなたのAWSアカウントで行われた操作の記録（証跡）を残してくれるサービスです。AWSアカウントを作成すると、自動的に有効になり、過去90日間の操作履歴を確認できます。

まるで、AWSの世界での監視カメラのような役割を果たしてくれます 。

主な機能とできること

• 操作履歴の記録: AWSマネジメントコンソール（ウェブ画面）、AWS CLI（コマンド）、SDK（プログラム）からのAPI呼び出しを記録します。
• 「いつ」「誰が」「何を」を特定: ログには、操作したユーザー、時間、操作内容、対象のリソースなどが記録されます。
• セキュリティ分析: 不正なアクセスや操作がないかを確認できます。
• トラブルシューティング: 問題が発生した際に、原因となった操作を特定するのに役立ちます。
• コンプライアンス対応: 企業のルールや法律で定められた監査要件に対応するための証拠として利用できます。

記録されるイベントの種類

CloudTrailでは、主に以下の3種類のイベントが記録されます。

1. 管理イベント: AWSリソースの設定変更や管理操作（例: EC2インスタンスの起動・停止、IAMユーザーの作成、セキュリティグループの変更など）を記録します。デフォルトで記録され、90日間は無料で履歴を確認できます。
2. データイベント: リソースに対する操作（例: S3バケット内のオブジェクトのアップロード・ダウンロード、Lambda関数の実行など）を記録します。記録するには追加設定が必要で、有料になります。
3. Insightsイベント (インサイトイベント): 機械学習を使って、アカウント内の通常とは異なるアクティビティ（異常なAPI呼び出し量など）を自動で検出して記録します。こちらも追加設定が必要で、有料です。

簡単な使い方（イベント履歴の確認）

AWSマネジメントコンソールから「CloudTrail」サービスを開き、「イベント履歴」メニューを選択すると、過去90日間の管理イベントを簡単に確認できます。特定のイベント名やユーザー名でフィルタリングすることも可能です。

90日を超えてログを保存したい場合や、データイベント、Insightsイベントを記録したい場合は、「証跡（Trail）」を作成し、Amazon S3バケットなどにログを保存する設定が必要です。

料金

• イベント履歴 (90日間): 無料で利用できます。
• 証跡 (Trail):
  • 最初の管理イベントの証跡コピー1つは無料です（S3への配信）。
  • 2つ目以降の管理イベントの証跡コピーは有料です (例: 100,000イベントあたり 2.00 USD)。
  • データイベントの記録は有料です (例: 100,000イベントあたり 0.10 USD)。
  • Insightsイベントの分析は有料です (例: 100,000イベントあたり 0.35 USD)。
• CloudTrail Lake: SQLクエリでログを分析できる機能。取り込みデータ量や保持期間に応じて料金が発生します。
• その他: S3へのログ保存には別途S3のストレージ料金がかかります。

※料金は変更される可能性があるため、最新の情報はAWS公式サイトをご確認ください。

Cloud Loggingは、Google Cloud Platform (GCP) 上のリソースやアプリケーションが出力するログを一元的に収集、保存、分析、監視するためのフルマネージドサービスです。

GCP環境全体のログをまとめて管理できる便利なツール箱のようなものです 。

主な機能とできること

• ログの収集と保存: Compute Engine, GKE, Cloud Functionsなど、多くのGCPサービスから自動的にログを収集します。オンプレミスや他のクラウドからのログも収集可能です。
• リアルタイム処理: ログデータをリアルタイムで取り込み、表示できます。
• ログの検索と分析 (ログエクスプローラ): 強力なクエリ言語を使って、大量のログの中から必要な情報を素早く見つけ出すことができます。
• ログベースの指標とアラート: ログの内容に基づいて指標を作成し、特定パターン（エラーログの急増など）が発生した場合にアラート通知を設定できます (Cloud Monitoringとの連携)。
• ログの転送 (ログルーター): ログをBigQuery（データ分析）、Cloud Storage（長期保存）、Pub/Sub（他のサービス連携）などに転送（エクスポート）できます。
• Log Analytics: SQLを使ってログバケット内のログを直接分析できます（BigQueryとの連携も容易）。

収集できるログの種類

Cloud Loggingでは、主に以下のようなログを扱います。

• プラットフォームログ: GCPサービスが自動的に出力するログ（例: Compute Engineのイベントログ）。
• ユーザー作成ログ: ユーザーが開発したアプリケーションやサービスが出力するログ。クライアントライブラリやLoggingエージェントを使って送信します。
• 監査ログ (Cloud Audit Logs): 「誰が」「どこで」「いつ」「何をしたか」を記録するログ。管理アクティビティ、データアクセスなどが記録され、セキュリティ監査に不可欠です。AWS CloudTrailに相当します。
• セキュリティログ: 監査ログやアクセスの透明性ログなどが含まれます。

簡単な使い方（ログエクスプローラ）

Google Cloudコンソールから「Logging」>「ログ エクスプローラ」を開くと、収集されたログを閲覧・検索できます。リソースタイプやログレベル、期間を指定したり、クエリを入力して高度な絞り込みが可能です。ヒストグラム表示でログの発生頻度を視覚的に把握することもできます。

料金

• 無料枠: 毎月、プロジェクトごとに最初の50 GiBまではログの取り込みと30日間の保存が無料です。
• ログストレージ: 無料枠を超えたログの取り込み（および最大30日間のストレージ）に対して課金されます (例: $0.50/GiB)。VPCフローログなど一部のネットワークログは料金が異なる場合があります。
• ログ保持期間: 30日を超えてログを保持する場合、追加料金が発生します (例: $0.01/GiB/月)。
• ログルーター (転送): ログの転送自体に追加料金はかかりませんが、転送先のサービス（BigQuery, Cloud Storageなど）で料金が発生する場合があります。
• Log Analytics: Log Analytics機能の有効化や、Log Analytics画面からのSQLクエリ実行は無料です。ただし、BigQueryにリンクしてBigQuery側からクエリを実行する場合はBigQueryの料金がかかります。

※料金は変更される可能性があるため、最新の情報はGoogle Cloud公式サイトをご確認ください。

簡単に言うと:

• CloudTrailは「AWSアカウントの操作履歴をしっかり記録して監査する」ことに特化しています。
• Cloud Loggingは「GCP環境全体の様々なログをまとめて扱って、検索・分析・監視する」ための統合的なログ管理プラットフォームという側面が強いです。GCPにおける監査ログ(Cloud Audit Logs)は、Cloud Loggingの一部として提供されます。

AWS CloudTrailとGCP Cloud Loggingは、それぞれのクラウドプラットフォームで非常に重要なサービスです。

• セキュリティインシデントの調査
• システムトラブルの原因究明
• コンプライアンス要件への対応

これらの場面で、操作ログやシステムログは不可欠な情報源となります。

クラウドを使い始めたばかりの方も、「どんな操作が記録されているのか」「どうやってログを見るのか」を一度確認しておくことをお勧めします。まずは無料枠の範囲で触ってみて、その重要性を体感してみてください！