CloudTrail ログプレフィックス完全ガイド

🎯 結論ファースト：これだけ覚えよう！

📍 CloudTrailログプレフィックスとは？

CloudTrailがS3バケットにログを保存する際の 「住所システム」 です。
「いつ・どこで・誰が」を階層構造で整理することで、必要なログを素早く見つけられます。

バケット名/プレフィックス/AWSLogs/アカウントID/CloudTrail/リージョン/年/月/日/ログファイル

💡 なぜプレフィックスが重要？

✅ 検索効率UP ：日付やリージョンで絞り込みが簡単
✅ コスト管理 ：ライフサイクルポリシーで古いログを自動削除
✅ セキュリティ分析 ：Athenaクエリで特定期間のログを高速検索
✅ マルチアカウント対応 ：Organization環境でも整理整頓

📚 図書館のたとえで理解しよう！

📖 図書館の本の整理

🏛️ 図書館の建物 ＝全ての本を収納

🏷️ 新館・本館 ＝カスタムエリア分け

📚 「記録」セクション ＝ログのカテゴリ

💳 利用者カード番号 ＝誰の記録か

📋 「活動記録」棚 ＝記録の種類

🗺️ 「東京支部」コーナー ＝どこの記録か

📅 年 → 月 → 日 ＝いつの記録か

⟺

☁️ CloudTrailのログ整理

🪣 S3バケット ＝ログの保管庫

📁 プレフィックス ＝カスタムフォルダ

🔖 AWSLogs ＝AWS標準フォルダ

🔢 アカウントID ＝12桁の識別番号

👣 CloudTrail ＝サービス名

🌏 リージョン ＝ap-northeast-1など

📆 YYYY/MM/DD ＝日付階層

🗂️ ログパスの構造を視覚化！

📌 基本構造（単一アカウント）

バケット名 ：ログを保存するS3バケット

プレフィックス ：任意のカスタムフォルダ（省略可）

AWSLogs ：AWS標準のルートフォルダ

アカウントID ：ログ発生元の12桁ID

CloudTrail ：サービス種別を示す固定値

リージョン ：イベント発生リージョン

🏢 Organizations構造（マルチアカウント）

Organization ID ：組織を識別する「o-」から始まるID（Organizations Trail使用時のみ追加）

📄 ログファイル名を分解！

123456789012_CloudTrail_ap-northeast-1_20250102T0830Z_AbCd1234.json.gz

🔢

アカウントID

123456789012

👣

サービス名

CloudTrail

🌏

リージョン

ap-northeast-1

⏰

タイムスタンプ

20250102T0830Z

🎲

一意の文字列

AbCd1234

📦

拡張子

.json.gz

💡 ポイント： タイムスタンプは UTC（協定世界時） で記録されます。日本時間（JST）は+9時間なので、「T0830Z」は日本時間の17:30に相当します。

📊 イベントタイプ別のパス構造

⚙️

管理イベント

Management Events

.../CloudTrail/ap-northeast-1/2025/01/02/

EC2インスタンスの作成、IAMロールの変更など、AWSリソースの管理操作を記録。デフォルトで有効。

📈

Insightsイベント

Insights Events

.../CloudTrail-Insight/ap-northeast-1/2025/01/02/

異常なAPI呼び出しパターンを検出。通常とは異なる大量のAPIコールなどをAIが自動検知。

🌐

ネットワーク活動イベント

Network Activity Events

.../CloudTrail-NetworkActivity/ap-northeast-1/2025/01/02/

VPCエンドポイント経由のAPI呼び出しなど、ネットワークレベルの活動を記録。

📦

集約イベント

Aggregated Events

.../CloudTrail-Aggregated/ap-northeast-1/2025/01/02/

データイベントが集約されたログ。高頻度のS3/Lambda操作などをまとめて記録。

🔧 実践シナリオ

🏢 シナリオ1：開発環境と本番環境を分けて管理

📝 設定内容

🪣 バケット名：company-cloudtrail-logs
📁 開発用プレフィックス：dev-env
📁 本番用プレフィックス：prod-env
🔢 開発アカウント：111111111111
🔢 本番アカウント：222222222222

📂 生成されるパス

【開発環境のログ】
company-cloudtrail-logs/
  dev-env/
    AWSLogs/111111111111/CloudTrail/...

【本番環境のログ】
company-cloudtrail-logs/
  prod-env/
    AWSLogs/222222222222/CloudTrail/...

🔍 シナリオ2：特定日のログを調査

📝 調査条件

📅 対象日：2025年1月2日
🌏 リージョン：東京（ap-northeast-1）
🔢 アカウント：123456789012
🔍 調査内容：不審なAPIアクセス

📂 調査対象のパス

s3://my-bucket/AWSLogs/
  123456789012/
    CloudTrail/
      ap-northeast-1/
        2025/
          01/
            02/
              *.json.gz ← この日のログを調査！

💻 AWS CLIでログを確認

📋 プレフィックス付きでTrailを作成

aws cloudtrail create-trail \ --name my-trail \ --s3-bucket-name my-cloudtrail-bucket \ --s3-key-prefix my-company/audit-logs


       --s3-key-prefix

でカスタムプレフィックスを指定。最大200文字まで設定可能です。

🔍 特定日のログファイルを一覧表示

aws s3 ls s3://my-bucket/AWSLogs/123456789012/CloudTrail/ap-northeast-1/2025/01/02/

年/月/日の階層構造を活用して、特定日のログだけを効率的に検索できます。

📥 ログファイルをダウンロードして確認

# ダウンロード aws s3 cp s3://my-bucket/AWSLogs/.../filename.json.gz ./ # 解凍して中身を確認 gunzip filename.json.gz cat filename.json | jq '.'

CloudTrailログはgzip圧縮されたJSONです。

jq

コマンドで整形表示できます。

❓ よくある質問

プレフィックスは必須ですか？

いいえ、 省略可能 です。省略した場合、


       s3://bucket/AWSLogs/...

から始まります。ただし、複数の証跡や他のAWSサービスのログも同じバケットに保存する場合は、プレフィックスで整理することを推奨します。

プレフィックスの最大長は？

200文字 が上限です。長すぎるプレフィックスは管理が大変になるので、簡潔で意味のある命名を心がけましょう。例：


       prod/cloudtrail

、


       security-audit

など。

ログの配信タイミングは？

通常、APIコールから 平均約5分 でS3に配信されます。ただしこれは保証値ではありません。Insightsイベントは異常検知後 約30分 で配信されます。

Organization Trailの場合、どう変わる？

Organizations Trailを使用すると、


       AWSLogs/

の直後に


       o-xxxxxxxxxx/

（Organization ID）が追加されます。これにより、どの組織のログかを明確に区別できます。

ファイル名のタイムスタンプはどのタイムゾーン？

すべて UTC（協定世界時） です。末尾の「Z」がUTCを示します。日本時間（JST）に変換するには+9時間してください。例：


       T0830Z

→日本時間17:30。

🎓 まとめ

📁

階層構造で整理

バケット → プレフィックス → AWSLogs → アカウントID → サービス → リージョン → 日付

🔍

効率的な検索

日付・リージョン・アカウントで絞り込むことで、必要なログを素早く特定可能

🏢

Organizations対応

Organization IDが追加され、マルチアカウント環境でも一元管理が可能

⚙️

カスタマイズ可能

プレフィックスで環境ごと（dev/prod）やチームごとの整理ができる

CloudTrailのログプレフィックスは、 「図書館の本の分類システム」 と同じ！
整理整頓されたパス構造のおかげで、
膨大なログの中から必要な情報を素早く見つけられます 🎉

目次

CloudTrail ログプレフィックス
完全ガイド