翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールを使用してイベントのイベントデータストア CloudTrailを作成する
イベントの CloudTrail イベントデータストアは、 CloudTrail 管理イベントとデータイベントをログに記録できます。イベントデータをイベントデータストアに保存できる期間は、[延長可能な 1 年間の保持料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保持料金] オプションを選択した場合は最大 2,557 日 (約 7 年) です。
CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail の料金設定とコスト管理については、「」を参照してください。 AWS CloudTrail 料金
CloudTrail 管理イベントまたはデータイベント用のイベントデータストアを作成するには
この手順を使用して、 CloudTrail 管理イベント、データイベント、または管理イベントとデータイベントの両方をログに記録するイベントデータストアを作成します。
にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/
。 -
ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。
-
[Create event data store] (イベントデータストアの作成) をクリックします。
-
[Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。
-
イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「」を参照してくださいAWS CloudTrail 料金
表 および CloudTrail Lake コストの管理。 以下のオプションが利用できます。
-
[1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。
-
デフォルトの保持期間: 366 日間
-
最長保持期間: 3,653 日間
-
-
[7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。
-
デフォルトの保持期間: 2,557 日間
-
最長保持期間: 2,557 日間
-
-
-
イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。
CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかを確認することで、
eventTime
イベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、eventTime
は 90 日を経過するとイベント CloudTrail を削除します。注記
このイベントデータストアに証跡イベントをコピーする場合、
eventTime
は指定された保持期間より古いイベントをコピー CloudTrail しません。適切な保持期間を決定するには、コピーする最も古いイベントの合計を日数で、イベントデータストアにイベントを保持する日数 (保持期間 =oldest-event-in-days
+number-days-to-retain
)。 例えば、コピーする最も古いイベントが 45 日経過していて、イベントデータストアにさらに 45 日間イベントを保持する場合は、保持期間を 90 日間に設定します。 -
(オプション) を使用して暗号化を有効にするには AWS Key Management Serviceで、自分の を使用する を選択します。 AWS KMS key。 新規を選択して を持つ AWS KMS key が作成したか、既存のKMSキーを使用するには「既存」を選択します。KMS エイリアスを入力 で、 形式でエイリアスを指定します。
alias/
MyAliasName
。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 CloudTrail もサポートしています。 AWS KMS マルチリージョンキー。マルチリージョンキーの詳細については、「」の「マルチリージョンキーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド 。独自のKMSキーを使用すると、 AWS KMS 暗号化と復号のコスト。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。
注記
を有効にするには AWS Key Management Service 組織のイベントデータストアの 暗号化では、管理アカウントに既存のKMSキーを使用する必要があります。
-
(オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション] で [有効] を選択します。フェデレーションでは、 のイベントデータストアに関連付けられたメタデータを表示できます。 AWS Glue データカタログを作成し、Athena のイベントデータに対してSQLクエリを実行します。に保存されているテーブルメタデータ AWS Glue Data Catalog を使用すると、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。
Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。
-
新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。
-
新しいロールを作成する場合は、そのロールを識別する名前を指定します。
-
既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。
-
-
(オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については、「」を参照してください。 AWS、「タグ付け」を参照してください。 AWSタグ付けの リソース AWS リソースユーザーガイド 。
-
[次へ] を選択して、イベントデータストアを設定します。
-
「イベントの選択」ページで、「」を選択します。 AWS イベント を選択し、CloudTrailイベント を選択します。
-
CloudTrail イベント では、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。イベントストアには、管理イベントとデータイベントの両方を追加できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。データイベントの詳細については、「データイベントをログ記録する」を参照してください。
-
(オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「証跡イベントのコピーに関する留意事項」を参照してください。
-
イベントデータストアで のすべてのアカウントからイベントを収集するには AWS Organizations organization で、組織 内のすべてのアカウントに対して を有効にする を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。
注記
証跡イベントをコピーしたり Insights イベントを有効にしたりするには、組織の管理アカウントにサインインする必要があります。
-
追加設定を展開して、イベントデータストアですべての のイベントを収集するかどうかを選択します。 AWS リージョン、または現在の のみ AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。
-
現在のリージョンでログ記録されたイベントのみを含めるときは、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。
-
イベントデータストアでイベントの取り込みを開始したくないときは、[イベントを取り込む] の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、[イベントを取り込む] の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。
-
-
イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。
-
[読み取り] イベント、[書き込み]、またはその両方を含めるかどうかを選択します。少なくとも 1 つが必要です。
-
除外するかどうかを選択する AWS Key Management Service API イベントRDSデータストアからの または Amazon Data イベント。
-
Insights を有効にするかどうかを選択します。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。
Insights を有効にすることを選択した場合は、次の手順を実行します。
-
[Insights を有効にする] で、Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。
-
Insights タイプを選択します。API 通話レート 、APIエラーレート 、またはその両方を選択できます。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率 の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。
-
-
-
イベントデータストアにデータイベントを含めるには、次の手順を実行します。
-
データイベントタイプを選択します。これは AWS のサービス データイベントがログに記録される および リソース。のデータイベントをログに記録するには AWS Glue Lake Formation によって作成された テーブルで、データ型として Lake Formation を選択します。
-
[Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのデータイベント、
readOnly
イベント、もしくはwriteOnly
イベントをログに記録することを選択、または [Custom] (カスタム) を選択してカスタムログセレクタを構築することができます。 -
(オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタ
Name
に としてリストされ、JSONビュー を展開すると表示できます。 -
[Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。
-
次のフィールドから選択します。
-
readOnly
-readOnly
は、true
または の値と等しくなるように設定できますfalse
。読み取り専用データイベントは、Get*
またはDescribe*
イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*
、Delete*
、またはWrite*
イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read
およびwrite
イベントの両方を記録するには、readOnly
セレクタを追加しないでください。 -
eventName
-eventName
は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 にログ記録されたデータイベントを含めたり除外PutBucket
GetItem
したりできますGetSnapshotBlock
。 -
resources.ARN
- 任意の演算子を で使用できますがresources.ARN
、等しい または等しくない場合、値はテンプレートで の値として指定したタイプのARN有効なリソースの と完全に一致する必要がありますresources.type
。次の表は、各 の有効なARN形式を示しています
resources.type
。注記
resources.ARN
フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。resources.type リソース。ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
は、次のいずれかの形式ARNである必要があります。
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
は、次のいずれかの形式ARNである必要があります。
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 ストリームが有効になっているテーブルの場合、データイベントの
resources
フィールドにはAWS::DynamoDB::Stream
とAWS::DynamoDB::Table
の両方が含まれます。resources.type
にAWS::DynamoDB::Table
を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、eventName
フィールドにフィルターを追加します。2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、
StartsWith
演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。3 S3 アクセスポイント内のすべてのオブジェクトのイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、
StartsWith
またはNotStartsWith
演算子を使用することをお勧めします。 -
データイベントリソースのARN形式の詳細については、「」の「アクション、リソース、および条件キー」を参照してください。 AWS Identity and Access Management ユーザーガイド 。
-
-
各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドをリソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録したくない S3 バケットを参照します。
2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN に貼り付けるか、別のバケットを参照します。
が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいがフィールドの複数の条件 CloudTrail を評価する方法。
注記
イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、
eventName
などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。 -
[+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、あるセレクタARNで を値と等しくするように指定しないでください。次に、 を別のセレクタで同じ値と等しくARNないように指定します。
-
-
オプションで、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。
-
データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。データイベントタイプの高度なイベントセレクタを設定するには、ステップ からこのステップを繰り返します。
-
-
イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。
-
コピーするトレイルを選択します。デフォルトでは、 は S3 バケットの
CloudTrail
プレフィックスとプレフィックス内のCloudTrail
プレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他のプレフィックスはチェックしません。 AWS サービス。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 を入力URI」を選択し、S3 を参照」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化にKMSキーを使用している場合は、KMSキーポリシーで がデータを復号 CloudTrail 化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用している場合は、 がバケット内のデータを復 CloudTrail 号できるように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するための キーポリシー。 -
イベントをコピーする時間範囲を選択します。 は、証跡イベントをコピーする前に、プレフィックスとログファイル名 CloudTrail をチェックして、名前に選択した開始日と終了日の間の日付が含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。
注記
CloudTrail は、イベントデータストアの保持期間
eventTime
内の を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日よりeventTime
古い の証跡イベントをコピーしません。相対範囲 を選択した場合は、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。 は、選択した期間内に記録されたイベント CloudTrail をコピーします。
絶対範囲 を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。
-
アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするための アクセス許可。
-
新しいロールを作成するには、新しいロールの作成 (推奨) を選択します。 IAMIAM ロール名を入力 には、role の名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。
-
カスタムIAMロールを使用 ARNを選択して、リストにないカスタムIAMロールを使用します。Enter IAM role に ARNと入力しますIAMARN。
-
ドロップダウンリストから既存のIAMロールを選択します。
-
-
-
[Next] (次へ) を選択して、選択内容を確認します。
-
[Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。
-
新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。
これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします ([イベントを取り込む] オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。
これで、新しいイベントデータストアに対してクエリを実行できるようになりました。[Sample queries] (サンプルクエリ) タブは、使用を開始するためのサンプルクエリを提供します。クエリの作成と編集の詳細については、「 CloudTrail コンソールでクエリを作成または編集する」を参照してください。
CloudTrail Lake ダッシュボードを表示して、イベントデータストア内のイベントを視覚化することもできます。Lake ダッシュボードの詳細については、「 CloudTrail コンソールで CloudTrail Lake ダッシュボードを表示する」を参照してください。