コンソールを使用して Insights イベントのイベントデータストアを作成する - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して Insights イベントのイベントデータストアを作成する

AWS CloudTrail Insights のヘルプ AWS ユーザーは、 CloudTrail 管理イベントを継続的に分析することで、API通話やAPIエラー率に関連する異常なアクティビティを特定して対応します。Insights CloudTrail は、ベースライン とも呼ばれるAPI通話量とAPIエラー率の通常のパターンを分析し、通話量やエラー率が通常のパターン外にある場合に Insights イベントを生成します。 管理 ではAPI、呼び出しボリュームの Insights write イベントが生成されAPIs、APIエラー率の Insights イベントは、 readと の両方writeの管理 で生成されますAPIs。

CloudTrail Lake で Insights イベントをログに記録するには、Insights イベントをログに記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログに記録するソースイベントデータストアが必要です。

注記

API コールボリュームの Insights イベントをログに記録するには、ソースイベントデータストアがwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、ソースイベントデータストアが readまたは write 管理イベントをログに記録する必要があります。

ソースイベントデータストアで CloudTrail Insights を有効にしていて、異常なアクティビティ CloudTrail を検出した場合、 は Insights イベントを送信先イベントデータストアに CloudTrail 配信します。イベントデータストアでキャプチャされた他のタイプの CloudTrail イベントとは異なり、Insights イベントは、 がアカウントの一般的なAPI使用パターンと大きく異なるアカウントの使用の変化 CloudTrail を検出した場合にのみログに記録されます。

イベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日間かかることがあります。

CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。

組織のイベントデータストアの場合、 は組織のすべての管理イベントの集計 CloudTrail を分析する代わりに、各メンバーのアカウントから管理イベントを分析します。

CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡と CloudTrail Lake イベントデータストアの両方で Insights を有効にすると、別途料金が発生します。 CloudTrail 料金の詳細については、「」を参照してください。 AWS CloudTrail 料金

Insights イベントをログに記録する送信先イベントデータストアを作成するには

Insights イベントデータストアを作成する場合、管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信する Insights タイプを指定することができます。または、Insights イベントデータストアを作成した後に、新規または既存のイベントデータストアで Insights を有効にし、そのイベントデータストアを送信先イベントデータストアとして選択することもできます。

この手順は、Insights イベントをログに記録する送信先イベントデータストアを作成する方法を示しています。

  1. にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「」を参照してくださいAWS CloudTrail 料金表 および CloudTrail Lake コストの管理

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。イベントデータストアは指定された日数分、イベントデータを保存します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Serviceで、自分の を使用する を選択します。 AWS KMS key新規を選択して を持つ AWS KMS key 自分で作成したか、既存のKMSキーを使用するには「既存」を選択します。KMS エイリアスを入力 で、 形式でエイリアスを指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 CloudTrail もサポートしています。 AWS KMS マルチリージョンキー。マルチリージョンキーの詳細については、「」の「マルチリージョンキーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド

    独自のKMSキーを使用すると、 AWS KMS 暗号化と復号のコスト。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    を有効にするには AWS Key Management Service 組織のイベントデータストアの 暗号化では、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションでは、 のイベントデータストアに関連付けられたメタデータを表示できます。 AWS Glue データカタログを作成し、Athena のイベントデータに対してSQLクエリを実行します。に保存されているテーブルメタデータ AWS Glue Data Catalog を使用すると、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については、「」を参照してください。 AWS、「 のタグ付け」を参照してください。 AWSタグ付けの リソース AWS リソースユーザーガイド

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. 「イベントの選択」ページで、「」を選択します。 AWS イベント を選択しCloudTrailInsights イベント を選択します。

  12. CloudTrail Insights イベント で、次の操作を行います。

    1. 組織の委任された管理者にこのイベントデータストアへのアクセス権を付与する場合は、[委任された管理者アクセスを許可] を選択します。このオプションは、 の管理アカウントでサインインしている場合にのみ使用できます。 AWS Organizations 組織。

    2. (オプション) 管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信したい Insights タイプを指定します。

      ソースイベントデータストアを追加するには、次の手順を実行します。

      1. [ソースイベントデータストアを追加] を選択します。

      2. ソースイベントデータストアを選択します。

      3. 受信したい [Insights タイプ] を選択します。

        • ApiCallRateInsightApiCallRateInsight Insights タイプは、ベースラインAPIコール量に対して 1 分ごとに集計される書き込み専用管理APIコールを分析します。ApiCallRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] 管理イベントをログに記録する必要があります。

        • ApiErrorRateInsightApiErrorRateInsight Insights タイプは、エラーコードが発生する管理API呼び出しを分析します。API 呼び出しが失敗した場合、エラーが表示されます。ApiErrorRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] または [読み取り] の管理イベントをログに記録する必要があります。

      4. 受信したい Insights タイプを追加するには、前の 2 つのステップ (ii と iii) を繰り返します。

  13. [Next] (次へ) を選択して、選択内容を確認します。

  14. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  15. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

  16. ステップ 10 でソースイベントデータストアを選択しなかった場合は、Insights イベントを有効にするソースイベントデータストアを作成するには の手順に従ってソースイベントデータストアを作成します。

Insights イベントを有効にするソースイベントデータストアを作成するには

この手順は、Insights イベントを有効にするソースイベントデータストアを作成して管理イベントをログに記録する方法を示しています。

  1. にサインインする AWS Management Console で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「」を参照してくださいAWS CloudTrail 料金表 および CloudTrail Lake コストの管理

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日が経過すると、延長保持は pay-as-you-go 料金で利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの が指定された保持期間内であるかどうかをチェックして、eventTimeイベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日を経過するとイベント CloudTrail を削除します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Serviceで、自分の を使用する を選択します。 AWS KMS key新規を選択して を持つ AWS KMS key 自分で作成したか、既存のKMSキーを使用するには「既存」を選択します。Enter KMS alias で、エイリアスを 形式で指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 CloudTrail もサポートしています。 AWS KMS マルチリージョンキー。マルチリージョンキーの詳細については、「」の「マルチリージョンキーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド

    独自のKMSキーを使用すると、 AWS KMS 暗号化と復号化のコスト。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    を有効にするには AWS Key Management Service 組織のイベントデータストアの 暗号化では、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションでは、 のイベントデータストアに関連付けられたメタデータを表示できます。 AWS Glue データカタログを作成し、Athena のイベントデータに対してSQLクエリを実行します。に保存されているテーブルメタデータ AWS Glue Data Catalog を使用すると、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用して、フェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については、「」を参照してください。 AWS、「 のタグ付け」を参照してください。 AWSタグ付けの リソース AWS リソースユーザーガイド

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. 「イベントの選択」ページで、「」を選択します。 AWS イベント を選択しCloudTrailイベント を選択します。

  12. CloudTrail イベント では、管理イベントを選択したままにします。

  13. イベントデータストアで のすべてのアカウントからイベントを収集するには AWS Organizations organization で、組織 内のすべてのアカウントに対して を有効にする を選択します。Insights を有効にするイベントデータストアを作成するには、その組織の管理アカウントにサインインする必要があります。

  14. 追加設定を展開して、イベントデータストアですべての のイベントを収集するかどうかを選択します。 AWS リージョン、または現在の のみ AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

    1. 現在のリージョンでログに記録されたイベントのみを含める場合は、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

    2. [イベントを取り込む] は選択したままにします。

  15. イベントデータストアに保存する管理イベントのタイプを選択します。[読み取り][書き込み] のいずれか、または両方を選択できます。少なくとも 1 つが必要です。

    注記

    API コールボリュームの Insights イベントをログに記録するには、イベントデータストアがwrite管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントをログに記録するには、イベントデータストアが readまたは write 管理イベントをログに記録する必要があります。

  16. 除外することを選択できます。 AWS Key Management Service API イベントRDSデータストアからの または Amazon Data イベント。これらのパラメータの詳細については、「管理イベントのログ記録」を参照してください。

  17. [Insights を有効にする] を選択します。

  18. [Insights を有効にする] で、Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

  19. Insights タイプを選択します。API 通話レート APIエラーレート 、またはその両方を選択できます。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラー率 の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

  20. [Next] (次へ) を選択して、選択内容を確認します。

  21. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  22. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。ソースイベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを送信先イベントデータストアに配信 CloudTrail するまでに最大 7 日間かかることがあります。

    CloudTrail Lake ダッシュボードを表示して、送信先イベントデータストアの Insights イベントを視覚化できます。Lake ダッシュボードの詳細については、「 CloudTrail コンソールで CloudTrail Lake ダッシュボードを表示する」を参照してください。

CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「」を参照してください。 AWS CloudTrail 料金