イベントデータストアを作成する
CloudTrail Lake でイベントデータストアを作成する際には、イベントデータストアに保存するイベントのタイプを選択します。イベントデータストアは、CloudTrail データまたは管理イベント、AWS Config の設定項目、または AWS 以外のイベントを保存するように構成することができます。イベントスキーマはイベントカテゴリに対して一意であるため、各イベントデータストアのタイプに含めることができるのは、特定のイベントカテゴリ (AWS Config 設定項目など) のみです。サポートされている SQL JOIN キーワードを使用して、複数のイベントデータストアで SQL クエリを実行できます。複数のイベントデータストアに対してクエリを実行する方法については、「高度なマルチテーブルクエリのサポート」を参照してください。
各イベントデータストアタイプでサポートされるイベントカテゴリを以下の表に示します。「eventCategory」列は、そのタイプのイベントを収集するためにアドバンスイベントセレクタで指定する値を示します。
| イベントタイプ (コンソール) | eventCategory (API) | 説明 |
|---|---|---|
| CloudTrail のイベント |
|
このイベントデータストアタイプは、CloudTrail 管理イベントとデータイベントを収集できます。詳細については、「CloudTrail イベント用にイベントデータストアを作成する」を参照してください。 |
| 設定項目 |
|
このイベントデータストアタイプは AWS Config の設定項目を収集できます。詳細については、「AWS Config 設定項目用に一意のイベントデータストアを作成する」を参照してください。 |
| 統合からのイベント |
|
このイベントデータストアタイプは、統合からの AWS 以外のイベントを収集できます。詳細については、「AWS 以外のイベント用にイベントデータストアを作成する」を参照してください。 |
Audit Manager コンソールを使用すると、AWS Audit Manager のエビデンス用のイベントデータストアを作成することも可能です。Audit Manager を使用して CloudTrail Lake でエビデンスを集計する方法の詳細については、「AWS Audit Manager ユーザーガイド」の「Understanding how evidence finder works with CloudTrail Lake」(エビデンスファインダーが CloudTrail Lake とどのように連携するかを理解する) を参照してください。
以下の各セクションでは、CloudTrail コンソールを使用してイベントデータストアを作成する方法について説明しています。AWS CLI を使用してイベントデータストアを作成する方法の詳細については、「AWS CLI を使用した CloudTrail Lake の管理」を参照してください。
