翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Insights イベントのログ記録
AWS CloudTrail Insights は、 CloudTrail ユーザーが管理イベントを継続的に分析することで、API通話やAPIエラー率に関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。Insights CloudTrail は、ベースライン とも呼ばれるAPI通話量とAPIエラー率の通常のパターンを分析し、通話量またはエラー率が通常のパターン外にある場合に Insights イベントを生成します。 API 通話量の Insights イベントはwrite管理 に対して生成されAPIs、APIエラー率の Insights イベントは read と write管理 の両方に対して生成されますAPIs。
注記
API コールボリュームの Insights イベントをログに記録するには、証跡またはイベントデータストアがwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、証跡またはイベントデータストアが readまたは write 管理イベントをログに記録する必要があります。
CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金
目次
Insights イベントの配信を理解する
が CloudTrail キャプチャする他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用の変化 CloudTrail を検出した場合にのみログに記録されます。
がイベント CloudTrail を配信する場所と Insights イベントを受信するのにかかる時間は、証跡とイベントデータストアによって異なります。
証跡の Insights イベントの配信
証跡で Insights イベントを有効にし、異常なアクティビティ CloudTrail を検出すると、 は証跡用に選択した送信先 S3 バケットの /CloudTrail-Insightフォルダに Insights イベントを CloudTrail 配信します。証跡で CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。
証跡の Insights イベントのログ記録をオフにしてから Insights イベントを再度有効にするか、証跡のログ記録を停止して再起動すると、異常なアクティビティが検出された場合、 が Insights イベントの配信を再開 CloudTrail するまでに最大 36 時間かかることがあります。
イベントデータストアの Insights イベントの配信
ソースイベントデータストアで Insights イベントを有効にしている場合、 は Insights イベントを送信先イベントデータストアに CloudTrail 配信します。ソースイベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを送信先イベントデータストアに配信 CloudTrail するまでに最大 7 日間かかることがあります。
ソースイベントデータストアで Insights イベントのログ記録をオフにしてから Insights イベントを再度有効にした場合、またはソースイベントデータストアでイベントの取り込みを停止して再起動した場合、異常なアクティビティが検出されると、 が Insights イベントの配信を再開 CloudTrail するまでに最大 7 日間かかることがあります。 CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail
を使用した Insights イベントのログ記録 AWS Management Console
証跡またはイベントデータストアでの Insights イベントは、コンソールを使用して有効化できます。
既存の証跡で CloudTrail Insights イベントを有効にする
既存の証跡で CloudTrail Insights イベントを有効にするには、次の手順に従います。デフォルトでは、Insights イベントは有効になっていません。
-
CloudTrail コンソールの左側のナビゲーションペインで、証跡ページを開き、証跡名を選択します。
-
[Insights events] で、[編集] を選択します。
注記
Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
」を参照してください。 -
[Event type] (イベントタイプ) で、[Insights events] (Insights イベント) を選択します。
-
Insights イベント で、Insights タイプ の選択 で、API呼び出しレート 、APIエラーレート 、またはその両方を選択します。証跡は、API通話レート の Insights イベントをログに記録する書き込み管理イベントをログに記録している必要があります。証跡は、APIエラー率 の Insights イベントをログに記録するために、読み取りまたは書き込み管理イベントをログに記録する必要があります。
-
[変更を保存] を選択して、変更を保存します。
異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。
既存のイベントデータストアで CloudTrail Insights イベントを有効にする
既存のイベントデータストアで CloudTrail Insights イベントを有効にするには、次の手順に従います。デフォルトでは、Insights イベントは有効になっていません。
CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 AWS CloudTrail の料金
注記
CloudTrail Insights イベントは、 CloudTrail 管理イベントを含むイベントデータストアでのみ有効にできます。他のイベントデータストアタイプで CloudTrail Insights イベントを有効にすることはできません。
-
CloudTrail コンソールの左側のナビゲーションペインの Lake で、イベントデータストア を選択します。
-
イベントデータストアの名前を選択します。
-
[管理イベント] で、[編集] を選択します。
-
[Insights を有効にする] を選択します。
-
が Insights イベントを配信 CloudTrail する送信先イベントデータストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。
-
「インサイトタイプを選択」で、API通話レート 、APIエラーレート 、またはその両方を選択します。イベントデータストアは、書き込み管理イベントをログに記録し、Insights イベントをAPI呼び出しレート でログに記録する必要があります。イベントデータストアは、Insights イベントをログに記録してAPIエラー率 を記録している必要があります。
-
[変更を保存] を選択して、変更を保存します。
異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日かかることがあります。
を使用した Insights イベントのログ記録 AWS Command Line Interface
AWS CLIを使用すると、Insights イベントをログ記録するように、証跡とイベントデータストアを設定できます。
注記
API コールボリュームの Insights イベントをログに記録するには、証跡またはイベントデータストアがwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、証跡またはイベントデータストアが readまたは write 管理イベントをログに記録する必要があります。
を使用した証跡の Insights イベントのログ記録 AWS CLI
証跡が Insights イベントをログに記録しているかどうかを確認するには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --trail-nameTrailName
次の結果は、証跡に対するデフォルト設定を示しています。デフォルトでは、証跡は Insights イベントを記録しません。Insights イベントコレクションが有効になっていないため、InsightType 属性値が空になっていて、Insights イベントセレクタが指定されていません。
Insights セレクタを追加しない場合、get-insight-selectorsコマンドは GetInsightSelectors 「オペレーションを呼び出すときにエラー (InsightNotEnabledException) が発生した: 証跡」というエラーメッセージを返します。name では Insights が有効になっていません。証跡の設定を編集して Insights を有効にしてから、もう一度操作を試してください。
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
Insights イベントをログに記録するように証跡を設定するには、put-insight-selectors コマンドを実行します。次に、 を含むように証跡を設定する方法の例を示します。Insights セレクターの値は、ApiCallRateInsight、ApiErrorRateInsight、または両方になります。
aws cloudtrail put-insight-selectors --trail-nameTrailName--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
次の結果は、証跡用に設定された Insights イベントセレクタを示しています。
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
を使用したイベントデータストアの Insights イベントのログ記録 AWS CLI
イベントデータストアで Insights を有効にするには、管理イベントをログ記録するソースイベントデータストアと、Insights イベントをログ記録する送信先イベントデータストアが必要です。
イベントデータストアで Insights イベントが有効になっているかどうかを表示するには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
イベントデータストアで、Insights イベントまたは管理イベントのどちらを受信するように構成されているかを表示するには、get-event-data-store コマンドを実行します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
次の手順で、宛先とソースイベントデータストアを作成し、Insights イベントを有効にする方法を示します。
-
aws cloudtrail create-event-data-store
コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。 eventCategoryの値はInsightにする必要があります。置換retention-period-daysイベントデータストアにイベントを保持する日数を指定します。AWS Organizations 組織の管理アカウントでサインインしている場合は、委任された管理者にイベントデータストアへのアクセスを許可する場合は、
--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'以下に、応答の例を示します。
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00" }ステップ 3 の
--insights-destinationパラメータの値として、レスポンスのARN(または の ID サフィックスARN) を使用します。 -
管理イベントをログ記録するソースイベントデータストアを作成するには、aws cloudtrail create-event-data-store
コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。置換 retention-period-daysイベントデータストアにイベントを保持する日数を指定します。組織のイベントデータストアを作成する場合は、--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00" }ステップ 3 の
--event-data-storeパラメータの値として、レスポンスのARN(または の ID サフィックスARN) を使用します。 -
put-insight-selectors
コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、 ApiCallRateInsight、ApiErrorRateInsight、または両方になります。--event-data-storeパラメータには、管理イベントをログに記録し、 Insights を有効にするソースイベントデータストアの ARN (または の ID サフィックスARN) を指定します。--insights-destinationパラメータには、Insights イベントをログに記録する送信先イベントデータストアの ARN (または の ID サフィックスARN) を指定します。aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }イベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日間かかることがあります。
CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。
組織のイベントデータストアの場合、 は組織のすべての管理イベントの集計 CloudTrail を分析する代わりに、各メンバーのアカウントから管理イベントを分析します。
CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 AWS CloudTrail の料金
を使用した Insights イベントのログ記録 AWS SDKs
GetInsightSelectors オペレーションを実行して、証跡またはイベントデータストアで Insights イベントが有効になっているかどうかを確認します。証跡またはイベントデータストアを設定して、 PutInsightSelectorsオペレーションで Insights イベントを有効にできます。詳細については、「 AWS CloudTrail APIリファレンス」を参照してください。
