翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用してイベントデータストアを作成、更新、管理する AWS CLI
を使用して、イベントデータストア AWS CLI を作成、更新、管理できます。を使用する場合 AWS CLI、コマンドはプロファイル用に AWS リージョン 設定された で実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。
イベントデータストアで使用できるコマンド
CloudTrail Lake でイベントデータストアを作成および更新するためのコマンドは次のとおりです。
-
create-event-data-storeイベントデータストアを作成します。 -
get-event-data-storeは、イベントデータストア用に設定された高度なイベントセレクタを含む、イベントデータストアに関する情報を返します。 -
update-event-data-store既存のイベントデータストアの設定を変更する場合。 -
list-event-data-storesイベントデータストアを一覧表示します。 -
delete-event-data-storeイベントデータストアを削除する場合。 -
restore-event-data-store削除保留中のイベントデータストアを復元するには、 にします。 -
start-importは、イベントデータストアへの証跡イベントのインポートを開始するか、失敗したインポートを再試行します。 -
get-import特定のインポートに関する情報を返します。 -
stop-importは、イベントデータストアへの証跡イベントのインポートを停止します。 -
list-importsは、すべてのインポートに関する情報、またはImportStatusまたは による選択したインポートセットを返しますDestination。 -
list-import-failuresは、指定されたインポートのインポート失敗を一覧表示します。 -
stop-event-data-store-ingestionは、イベントデータストアでのイベント取り込みを停止します。 -
start-event-data-store-ingestionイベントデータストアでイベント取り込みを再開するには、 にします。 -
enable-federationイベントデータストアでのフェデレーションを有効にして、Amazon Athena のイベントデータストアをクエリするには、 にします。 -
disable-federationイベントデータストアでのフェデレーションを無効にするには、 にします。フェデレーションを無効にすると、Amazon Athena 内のイベントデータストアのデータに対してクエリを実行できなくなります。 CloudTrail Lake で引き続きクエリを実行できます。 -
put-insight-selectors既存のイベントデータストアの Insights イベントセレクタを追加または変更し、Insights イベントを有効または無効にします。 -
get-insight-selectorsは、イベントデータストア用に設定された Insights イベントセレクタに関する情報を返します。 -
add-tags既存のイベントデータストアに 1 つ以上のタグ (キーと値のペア) を追加する場合。 -
remove-tagsイベントデータストアから 1 つ以上のタグを削除する場合。 -
list-tagsイベントデータストアに関連付けられたタグのリストを返す 。
CloudTrail Lake クエリで使用できるコマンドのリストについては、「」を参照してください CloudTrail Lake クエリで使用できるコマンド。
CloudTrail Lake 統合で使用できるコマンドのリストについては、「」を参照してください CloudTrail Lake インテグレーションで使用できるコマンド。
を使用してイベントデータストアを作成する AWS CLI
create-event-data-store
イベントデータストアを作成する際の必須パラメータは --name だけです。これは、イベントデータストアを識別するために使用されます。次のようなオプションパラメータも設定できます。
-
--advanced-event-selectors- イベントデータストアに含めるイベントのタイプを指定します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。高度なイベントセレクタの詳細については、 CloudTrail API リファレンスAdvancedEventSelectorの「」を参照してください。 -
--kms-key-idalias/を付けます)、エイリアスに対して完全に指定された ARN、キーに対して完全に指定された ARN、またはグローバル一意識別子を指定できます。 -
--multi-region-enabled- アカウント AWS リージョン 内のすべての のイベントをログに記録するマルチリージョンイベントデータストアを作成します。デフォルトでは、このパラメータが追加されていなくても、--multi-region-enabledが設定されています。 -
--organization-enabled- イベントデータストアが組織内のすべてのアカウントについてのイベントを収集できるようにします。デフォルトでは、組織内のすべてのアカウントについてイベントデータストアが有効になっているわけではありません。 -
--billing-mode- イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大を決定します。取り得る値には以下のものがあります。
-
EXTENDABLE_RETENTION_PRICING- この課金モードは、1 か月あたりに取り込むイベントデータが 25 TB 未満で、最大 3653 日 (約 10 年) の柔軟な保持期間を希望する場合に一般的にお勧めします。この課金モードのデフォルトの保持期間は 366 日です。 -
FIXED_RETENTION_PRICING- この課金モードは 1 か月あたりに取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 2557 日 (約 7 年) の場合にお勧めします。この課金モードのデフォルトの保持期間は 2557 日です。
デフォルト値は、
EXTENDABLE_RETENTION_PRICINGです。 -
-
--retention-period- イベントデータストアにイベントを保持する日数。有効な値は、--billing-modeがEXTENDABLE_RETENTION_PRICINGの場合は 7 から 3653 までの整数で、--billing-modeがFIXED_RETENTION_PRICINGに設定されている場合は 7 から 2557 までの整数です。を指定しない場合--retention-period、 は のデフォルトの保持期間 CloudTrail を使用します--billing-mode。 -
--start-ingestion---start-ingestionパラメータを指定すると、イベントデータストアが作成されたときにイベントデータストアでのイベントの取り込みが開始されます。このパラメータは、パラメータが追加されなくても設定されます。イベントデータストアにライブイベントを取り込みたくない場合は
--no-start-ingestionを指定します。例えば、イベントをイベントデータストアにコピーして、過去のイベントの分析にのみイベントデータを使用する予定があるときは、このパラメータを設定するとよいでしょう。--no-start-ingestionパラメータは、eventCategoryがManagement、Data、またはConfigurationItemである場合にのみ有効です。
次の例では、さまざまなタイプのイベントデータストアを作成する方法を示します。
トピック
を使用して S3 データイベントのイベントデータストアを作成する AWS CLI
次の例 AWS Command Line Interface (AWS CLI) create-event-data-store コマンドは、すべての Amazon S3 データイベントを選択し、KMS キーを使用して暗号化my-event-data-storeする という名前のイベントデータストアを作成します。
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
を使用して設定項目のイベントデータストア AWS Config を作成する AWS CLI
次のコマンド例では AWS CLI create-event-data-store、設定 AWS Config 項目config-items-edsを選択する という名前のイベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで eventCategory フィールドに対して Equals ConfigurationItem を指定します。
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
を使用して管理イベント用の組織イベントデータストアを作成する AWS CLI
次のコマンド例では AWS CLI create-event-data-store、すべての管理イベントを収集し、 --billing-modeパラメータを に設定する組織イベントデータストアを作成しますFIXED_RETENTION_PRICING。
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
を使用して Insights イベントのイベントデータストアを作成する AWS CLI
CloudTrail Lake で Insights イベントをログに記録するには、Insights イベントを収集する送信先イベントデータストアと、Insights を有効にして管理イベントをログに記録するソースイベントデータストアが必要です。
この手順では、送信先イベントデータストアとソースイベントデータストアを作成し、Insights イベントを有効にする方法を説明します。
-
aws cloudtrail create-event-data-store
コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。 eventCategoryの値はInsightにする必要があります。を、イベントデータストアにイベントを保持する日数retention-period-daysに置き換えます。有効な値は、--billing-modeがEXTENDABLE_RETENTION_PRICINGの場合は 7 から 3653 までの整数で、--billing-modeがFIXED_RETENTION_PRICINGに設定されている場合は 7 から 2557 までの整数です。を指定しない場合--retention-period、 は のデフォルトの保持期間 CloudTrail を使用します--billing-mode。AWS Organizations 組織の管理アカウントでサインインしている場合は、委任された管理者にイベントデータストアへのアクセスを許可する場合は、
--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'以下に、応答の例を示します。
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--insights-destinationパラメータの値として使用します。 -
管理イベントをログ記録するソースイベントデータストアを作成するには、aws cloudtrail create-event-data-store
コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。を、イベントデータストアにイベントを保持する日数 retention-period-daysに置き換えます。有効な値は、--billing-modeがEXTENDABLE_RETENTION_PRICINGの場合は 7 から 3653 までの整数で、--billing-modeがFIXED_RETENTION_PRICINGに設定されている場合は 7 から 2557 までの整数です。を指定しない場合--retention-period、 は のデフォルトの保持期間 CloudTrail を使用します--billing-mode。組織のイベントデータストアを作成する場合は、--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--event-data-storeパラメータの値として使用します。 -
put-insight-selectors
コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、 ApiCallRateInsight、ApiErrorRateInsight、または両方になります。--event-data-storeパラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--insights-destinationパラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }イベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日間かかることがあります。
CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。
組織のイベントデータストアの場合、 は組織のすべての管理イベントの集計 CloudTrail を分析する代わりに、各メンバーのアカウントから管理イベントを分析します。
CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 AWS CloudTrail の料金
を使用して証跡イベントをイベントデータストアにインポートする AWS CLI
では AWS CLI、証跡イベントをイベントデータストアにインポートできます。このセクションの手順では、create-event-data-store コマンドを実行してイベントデータストアを作成および設定し、start-import コマンドを使用してそのイベントデータストアにイベントをインポートする方法を示しています。考慮事項や必要なアクセス許可など、証跡イベントのインポートの詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。
証跡イベントのインポートの準備
証跡イベントをインポートする前に、次の準備を行います。
-
証跡イベントをイベントデータストアにインポートするのに必要なアクセス許可を持つロールを持っていることを確認してください。
-
イベントデータストアに指定する --billing-mode の値を決定します。
--billing-modeによって、イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大が決まります。Lake に証跡イベントをインポートすると CloudTrail 、 は gzip (圧縮) 形式で保存されているログを CloudTrail 解凍します。次に、ログに含まれるイベントをイベントデータストア CloudTrail にコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。この見積もりを使用して、ユースケースに合った
--billing-modeの値を選択できます。 -
指定する
--retention-periodの値を決定します。 CloudTrail は、イベントeventTimeが指定された保持期間より古い場合、イベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。
保持期間 =
oldest-event-in-days+number-days-to-retain例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
-
今後のイベントの分析にイベントデータストアを使用するかどうかを決定します。今後のイベントを取り込みたくない場合は、イベントデータストアを作成するときに
--no-start-ingestionパラメータを含めます。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。
イベントデータストアを作成し、そのイベントデータストアに証跡イベントをインポートするには
-
create-event-data-store コマンドを実行して新しいイベントデータストアを作成します。この例では、コピーされる最も古いイベントが 90 日前のもので、イベントを 30 日間保持したいので、
--retention-periodは120に設定されています。今後のイベントは取り込みたくないので、--no-start-ingestionパラメータが設定されています。この例では、取り込むイベントデータは 25 TB 未満と予想されるため、デフォルト値のEXTENDABLE_RETENTION_PRICINGを使用しているので、--billing-modeは設定されていません。注記
証跡を置き換えるためにイベントデータストアを作成する場合は、証跡のイベントセレクタと一致するように
--advanced-event-selectorsを設定して、同じイベント範囲になるようにすることをお勧めします。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }最初の
StatusはCREATEDなので、get-event-data-store コマンドを実行して取り込みが停止したことを確認します。aws cloudtrail get-event-data-store --event-data-storeeds-id応答には
StatusがSTOPPED_INGESTIONになったことが表示され、イベントデータストアがライブイベントを取り込んでいないことが示されます。{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
start-import コマンドを実行して、ステップ 1 で作成したイベントデータストアに証跡イベントをインポートします。
--destinationsパラメータの値として、イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--start-event-timeにはコピーする最も古いイベントのeventTimeを指定し、--end-event-timeにはコピーする最新のイベントのeventTimeを指定します。には、証跡ログを含む S3 バケットの S3 URI、S3 AWS リージョン バケットの 、および証跡イベントのインポートに使用されるロールの ARN--import-sourceを指定します。aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}以下に、応答の例を示します。
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
get-import コマンドを実行して、インポートに関する情報を取得します。
aws cloudtrail get-import --import-idimport-id以下に、応答の例を示します。
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }インポートは、失敗がなかった場合、
COMPLETEDのImportStatusで終了し、失敗があった場合、FAILEDで終了します。インポートに
FailedEntriesがあった場合は、list-import-failures コマンドを実行して失敗のリストを返すことができます。aws cloudtrail list-import-failures --import-idimport-id失敗したインポートを再試行するには、
--import-idパラメータのみを指定して start-import コマンドを実行します。インポートを再試行すると、 は失敗が発生した場所でインポート CloudTrail を再開します。aws cloudtrail start-import --import-idimport-id
でイベントデータストアを取得する AWS CLI
次のコマンド例は AWS CLI get-event-data-store、ARN または ARN の ID サフィックスを受け入れる必須--event-data-storeパラメータで指定されたイベントデータストアに関する情報を返します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
以下に、応答の例を示します。作成時刻と最終更新時刻は timestamp 形式です。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
アカウント内のすべてのイベントデータストアを で一覧表示する AWS CLI
次のコマンド例は AWS CLI list-event-data-stores、現在のリージョンのアカウント内のすべてのイベントデータストアに関する情報を返します。オプションのパラメータには、コマンドが単一のページに返す結果の最大数を指定する --max-results が含まれます。指定した --max-results 値よりも多くの結果がある場合は、返された NextToken 値を追加してコマンドを再度実行し、結果の次のページを取得します。
aws cloudtrail list-event-data-stores
以下に、応答の例を示します。
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
でイベントデータストアを更新する AWS CLI
次の例では、イベントデータストアを更新する方法を示します。
で請求モードを更新する AWS CLI
イベントデータストアの --billing-mode によって、イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大が決まります。イベントデータストアの --billing-mode が FIXED_RETENTION_PRICING に設定されている場合は、値を EXTENDABLE_RETENTION_PRICING に変更できます。イベントデータストアで 1 か月あたりに取り込まれるイベントデータが 25 TB 未満で、最大 3653 日の柔軟な保持期間を設定したい場合には、一般的に EXTENDABLE_RETENTION_PRICING をお勧めします。料金については、「AWS CloudTrail の料金
注記
--billing-mode の値を EXTENDABLE_RETENTION_PRICING から FIXED_RETENTION_PRICING に変更することはできません。イベントデータストアの課金モードが EXTENDABLE_RETENTION_PRICING に設定されているが FIXED_RETENTION_PRICING を使用したい場合は、イベントデータストアで取り込みを停止して、FIXED_RETENTION_PRICING を使用する新しいイベントデータストアを作成できます。
次のコマンド例では AWS CLI update-event-data-store、イベントデータストア--billing-modeの を から FIXED_RETENTION_PRICINGに変更しますEXTENDABLE_RETENTION_PRICING。--event-data-store パラメータ値は ARN (または ARN の ID サフィックス) で、必須です。その他のパラメータはオプションです。
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
以下に、応答の例を示します。
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
保持モードを更新し、終了保護を有効にして、 AWS KMS key で を指定する AWS CLI
次のコマンド例では AWS CLI update-event-data-store、イベントデータストアを更新して保持期間を 100 日間に変更し、終了保護を有効にします。--event-data-store パラメータ値は ARN (または ARN の ID サフィックス) で、必須です。その他のパラメータはオプションです。この例では、保持期間を 100 日間に変更するために --retention-period パラメータが追加されています。必要に応じて、 --kms-key-id コマンドに を追加し、KMS キー ARN を値として指定 AWS KMS key することで、 AWS Key Management Service 暗号化を有効にして を指定できます。 --termination-protection-enabled は、終了保護が有効になっていないイベントデータストアで終了保護を有効にするために追加されます。
外部からのイベントをログに記録するイベントデータストアは、 AWS イベントをログに記録するように更新 AWS することはできません。同様に、イベントをログに記録する AWS イベントデータストアは、 の外部からイベントをログに記録するように更新することはできません AWS。
注記
イベントデータストアの保持期間を短くすると、 CloudTrail は新しい保持期間よりeventTime古い を持つイベントをすべて削除します。例えば、以前の保持期間が 365 日で、それを 100 日に減らした場合、 CloudTrail は 100 日よりもeventTime古い のイベントを削除します。
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
で終了保護を無効にする AWS CLI
デフォルトでは、イベントデータストアでは終了保護が有効になり、イベントデータストアが誤って削除されるのを防ぎます。終了保護が有効の場合、イベントデータストアを削除できません。イベントデータストアを削除するには、まず終了保護を無効にする必要があります。
次のコマンド例では AWS CLI update-event-data-store、 --no-termination-protection-enabledパラメータを渡して終了保護を無効にします。
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
でイベントデータストアの取り込みを停止する AWS CLI
次のコマンド例では AWS CLI stop-event-data-store-ingestion、イベントデータストアによるイベントの取り込みを停止します。取り込みを停止するには、イベントデータストアの Status が ENABLED で、eventCategory が Management、Data、ConfigurationItem のいずれかでなければなりません。イベントデータストアは --event-data-store によって指定されます。これは、イベントデータストア ARN、または、この ARN の ID サフィックスを受け入れます。stop-event-data-store-ingestion を実行すると、イベントデータストアの状態が STOPPED_INGESTION に変化します。
イベントデータストアの状態が STOPPED_INGESTION である場合、そのストアはアカウントの最大数 (10 個) に計上されません。
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
コマンドが成功した場合、レスポンスはありません。
でイベントデータストアの取り込みを開始する AWS CLI
次のコマンド例では AWS CLI start-event-data-store-ingestion、イベントデータストアでイベント取り込みを開始します。取り込みを開始するには、イベントデータストアの Status が STOPPED_INGESTION で、eventCategory が Management、Data、ConfigurationItem のいずれかでなければなりません。イベントデータストアは --event-data-store によって指定されます。これは、イベントデータストア ARN、または、この ARN の ID サフィックスを受け入れます。start-event-data-store-ingestion を実行すると、イベントデータストアの状態が ENABLED に変化します。
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
コマンドが成功した場合、レスポンスはありません。
イベントデータストアでのフェデレーションを有効にする
フェデレーションを有効にするには、必須パラメータの --event-data-store と --role を指定して aws cloudtrail enable-federation コマンドを実行します。--event-data-store には、イベントデータストア ARN (または ARN の ID サフィックス) を指定します。--role には、フェデレーションロールの ARN を指定します。ロールはアカウントに存在し、必要最小限のアクセス許可が付与されている必要があります。
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
この例は、管理アカウントのイベントデータストアの ARN と、委任された管理者アカウントのフェデレーションロールの ARN を指定することで、委任された管理者が組織のイベントデータストアのフェデレーションを有効にする方法を示しています。
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
イベントデータストアでのフェデレーションを無効にする
イベントデータストアでのフェデレーションを無効にするには、aws
cloudtrail disable-federation コマンドを実行します。イベントデータストアは、イベントデータストア ARN、または ARN の ID サフィックスを受け入れる --event-data-store によって指定されます。
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
注記
これが組織のイベントデータストアである場合は、管理アカウントのアカウント ID を使用します。
を使用してイベントデータストアを削除する AWS CLI
以下のサンプル AWS CLI delete-event-data-store コマンドは、イベントデータストア ARN、または ARN の ID サフィックスを受け入れる --event-data-store によって指定されたイベントデータストアを無効にします。delete-event-data-store の実行後、イベントデータストアの最終状態が PENDING_DELETION になり、イベントデータストアは 7 日間の待機期間後に自動的に削除されます。
イベントデータストアでの delete-event-data-store の実行後、無効化されたデータストアを使用しているクエリで list-queries、describe-query、または get-query-results を実行することはできません。イベントデータストアが削除保留中になっている場合、そのイベントデータストアはアカウントの最大数 (10 個) に計上されます。
注記
--termination-protection-enabled が設定されている場合、または FederationStatus が ENABLED に設定されている場合は、イベントデータストアを削除できません。
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
コマンドが成功した場合、レスポンスはありません。
を使用してイベントデータストアを復元する AWS CLI
以下のサンプル AWS CLI restore-event-data-store コマンドは、削除保留中のイベントデータストアを復元します。イベントデータストアは、イベントデータストア ARN、または ARN の ID サフィックスを受け入れる --event-data-store によって指定されます。削除されたイベントデータストアを復元できるのは、削除後 7 日間の待機期間内のみです。
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
レスポンスには、ARN、高度なイベントセレクタ、および復元のステータスなどのイベントデータストアに関する情報が含まれています。
