AWS CloudTrail Lake の使用 - AWS CloudTrail

AWS CloudTrail Lake の使用

AWS CloudTrail Lake では、イベントに対して SQL ベースのクエリを実行することができます。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクターを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータは、イベントデータストアに最大 7 年間 (2555 日) 保持できます。デフォルトで、イベントデータは最大 2555 日間保持されます。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクターが制御します。CloudTrail Lake は、コンプライアンススタックを補完し、リアルタイムでのトラブルシューティングを支援する監査ソリューションです。

CloudTrail Lake のクエリは、[Event history] (イベント履歴) での単純なキーと値のルックアップ、または LookupEvents の実行よりも、さらに詳細でカスタマイズ可能なイベントのビューを提供します。[Event history] (イベント履歴) 検索は単一の AWS アカウントに制限されており、単一のリージョンからのイベントのみを返し、複数の属性をクエリすることはできません。これとは対照的に、CloudTrail Lake ユーザーは、CloudTrail イベント内の複数のフィールド全体で複雑な標準クエリ言語 (SQL) クエリを実行できます。CloudTrail Lake は、エンタープライズからの情報を単一の検索可能なイベントデータストアに集約し、すべてのリージョンを一度に検索することが可能です。サポートされている SQL 演算子のリストについては、「CloudTrail Lake SQL の制約」を参照してください。

Lake クエリは将来使用するために保存することができ、クエリの結果は最大 7 日間表示できます。CloudTrail Lake は、AWS Organizations 内の組織からのイベント、または複数のリージョンとアカウントからのイベントをイベントデータストアに保存することもできます。

CloudTrail は証跡に関してタグに基づいた認可をサポートしませんが、タグに基づいた認可を使用することによってイベントデータストアでのアクションへのアクセスを制御できます。詳細と例については、本ガイドの「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。

CloudTrail Lake のイベントデータストアとクエリには CloudTrail 料金が発生します。CloudTrail Lake の料金に関する詳細については、「AWS CloudTrail の料金」を参照してください。