コンソールを使用して証跡イベントを既存のイベントデータストアにコピーする - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して証跡イベントを既存のイベントデータストアにコピーする

以下の手順を実行し、証跡イベントを既存のイベントデータストアにコピーします。新しいイベントデータストアの作成方法に関する詳細は、「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。

注記

証跡イベントを既存のイベントデータストアにコピーする前に、そのイベントデータストアの料金設定オプションと保持期間が、ご自身のユースケースについて適切に設定されていることを確認してください。

  • 料金オプション: 料金オプションによって、イベントの取り込みと保存にかかるコストが決まります。料金オプションの詳細については、「AWS CloudTrail 料金表」および「イベントデータストアの料金オプション」を参照してください。

  • 保持期間: 保持期間は、イベントデータがイベントデータストアに保持される期間を決定します。 は、イベントデータストアの保持期間eventTime内の を持つ証跡イベント CloudTrail のみをコピーします。適切な保持期間を決定するには、コピーする最も古いイベントの合計を日数で、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + number-days-to-retain)。 例えば、コピーする最も古いイベントが 45 日経過していて、イベントデータストアにさらに 45 日間イベントを保持する場合は、保持期間を 90 日間に設定します。

イベントデータストアに証跡イベントをコピーするには

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Copy trail events] (トレイルイベントをコピー) を選択します。

  4. [Copy trail events] (証跡イベントのコピー) ページの [Event source] (イベント ソース) で、コピーする証跡を選択します。デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 を入力URI」を選択し、S3 を参照」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化にKMSキーを使用している場合は、KMSキーポリシーで がデータを復号 CloudTrail 化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用する場合は、各キーのポリシーを更新して、 CloudTrail がバケット内のデータを復号できるようにする必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するための キーポリシー

    S3 バケットポリシーは、S3 バケットから証跡イベントをコピーするための CloudTrail アクセスを許可する必要があります。S3 バケットとポリシーの更新の詳細については、「証跡イベントのコピー用の Amazon S3 バケットポリシー」を参照してください。

  5. 「イベントの時間範囲を指定する」で、イベントをコピーする時間範囲を選択します。 は、証跡イベントをコピーする前に、プレフィックスとログファイル名 CloudTrail をチェックして、名前に選択した開始日と終了日の間の日付が含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

    注記

    CloudTrail は、イベントデータストアの保持期間eventTime内の を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日よりeventTime古い の証跡イベントをコピーしません。

    • 相対範囲 を選択した場合、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。 は、選択した期間内に記録されたイベント CloudTrail をコピーします。

    • 絶対範囲 を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

  6. [Delivery location] (配信場所) で、ドロップダウンリストから配信先イベントデータストアを選択します。

  7. アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするための アクセス許可

    • 新しいロールを作成するには、新しいロールの作成 (推奨) を選択します。 IAMIAM ロール名を入力 に、ロールの名前を入力します。 CloudTrail は、この新しいロールに必要なアクセス許可を自動的に作成します。

    • カスタムIAMロールを使用 ARNを選択して、リストにないカスタムIAMロールを使用します。Enter IAM role に ARNと入力しますIAMARN。

    • ドロップダウンリストから既存のIAMロールを選択します。

  8. [Copy events] (イベントをコピー) を選択します。

  9. 確認を求められます。確認する準備ができたら、[Copy trail events to Lake] (証跡イベントを Lake にコピー) を選択してから[Copy events] (イベントをコピー) を選択します。

  10. [Copy details] (コピーの詳細) ページで、コピーの状態を確認し、エラーを確認できます。証跡イベントのコピーが完了すると、その[Copy status] (コピー ステータス) は、エラーがない場合は[Completed] (完了) に設定され、エラーが発生した場合は[Failed] (失敗) に設定されます。

    注記

    イベントコピーの詳細ページに表示される詳細は、リアルタイムではありません。[Prefixes copied] (コピーされたプレフィックス) などの詳細の実際の値は、ページに表示される値よりも高くなる場合があります。 CloudTrail は、イベントコピーの過程で詳細を段階的に更新します。

  11. [Copy status] (コピーのステータス) が[Failed] (失敗) の場合は、[Copy failures] (コピーの失敗) に示されているエラーを修正し、[Retry copy] (コピーの再試行) を選択します。コピーを再試行すると、 は障害が発生した場所でコピー CloudTrail を再開します。

証跡イベントコピーの詳細を表示する方法については、「 CloudTrail コンソールでイベントコピーの詳細を表示する」を参照してください。