コンソールを使用してクエリを実行し、クエリ結果を保存する - AWS CloudTrail
保存されたクエリ結果に関する追加情報例: Amazon S3 バケットにクエリ結果を保存する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用してクエリを実行し、クエリ結果を保存する

注記

生成人工知能 (生成 AI) 機能を使用して英語プロンプトからクエリを生成する CloudTrail Lake SQLクエリのプレビュー機能を紹介します。詳細については、「英語プロンプトから CloudTrail Lake クエリを作成する」を参照してください。

クエリを選択または保存したら、イベントデータストアでクエリを実行できます。

クエリを実行すると、オプションとしてクエリ結果を Amazon S3 バケットに保存できます。 CloudTrail Lake でクエリを実行すると、クエリによってスキャンされたデータの量に基づいて料金が発生します。S3 バケットにクエリ結果を保存するための追加の CloudTrail Lake 料金はかかりませんが、S3 ストレージ料金が発生します。S3 の価格設定に関する詳細については、「Amazon S3 pricing」(Amazon S3 価格設定) を参照してください。

クエリ結果を保存すると、 はクエリスキャンの完了後にクエリ結果を CloudTrail 配信するため、クエリ結果が S3 バケットに表示される前に CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分以内に完了しますが、イベントデータストアのサイズによっては、 がクエリ結果を S3 バケットに CloudTrail 配信するのにかなり時間がかかる場合があります。 は、クエリ結果を圧縮された gzip 形式で S3 バケットに CloudTrail 配信します。クエリスキャンの完了後、S3 バケットに配信されるデータは、1 GB あたり平均 60~90 秒の遅延が見込まれます。

CloudTrail Lake を使用してクエリを実行するには

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[クエリ] を選択します。

  3. [保存されたクエリ] または [サンプルクエリ] タブ で、クエリ名を選択して実行するクエリを選択します。

  4. [Event data store] (イベントデータストア) の [Editor] (エディタ) タブで、ドロップダウンリストからイベントデータストアを選択します。

  5. (オプション) [Editor] (エディタ) タブで [Save results to S3] (結果を S3 に保存) を選択し、クエリ結果を S3 バケットに保存します。デフォルトの S3 バケットを選択すると、 は必要なバケットポリシー CloudTrail を作成して適用します。デフォルトの S3 バケットを選択した場合、バケットに対してサーバー側の暗号化がデフォルトで有効になっているため、IAMポリシーに s3:PutEncryptionConfigurationアクションのアクセス許可を含める必要があります。クエリ結果保存の詳細については、「保存されたクエリ結果に関する追加情報」を参照してください。

    注記

    別のバケットを使用するには、バケット名を指定するか、[Browse S3] (S3 を閲覧) を選択してバケットを選択します。バケットポリシーは、クエリ結果をバケットに配信する CloudTrail アクセス許可を付与する必要があります。バケットポリシーを手動で編集する方法については、Lake クエリ結果の Amazon S3 CloudTrail バケットポリシー を参照してください。

  6. [Editor] (エディタ) タブで、[Run] (実行) をクリックします。

    イベントデータストアのサイズと、それに含まれるデータの日数によっては、クエリの実行に数分かかる場合があります。[Command output] (コマンド出力) タブには、クエリのステータスと、クエリの実行が終了したかどうかが表示されます。クエリの実行が終了したら、[Query results] (クエリ結果) タブを開いて、アクティブなクエリ (現在エディタに表示されているクエリ) の結果の表を表示します。

注記

1 時間以上実行するクエリは、タイムアウトすることがあります。クエリがタイムアウトする前に処理された部分的な結果を取得できます。 CloudTrail は部分的なクエリ結果を S3 バケットに配信しません。タイムアウトを回避するには、クエリを絞り込んでスキャンされるデータ量を制限する時間範囲を狭くすることができます。

保存されたクエリ結果に関する追加情報

クエリ結果の保存後、保存したクエリ結果を S3 バケットからダウンロードできるようになります。保存したクエリ結果の検索とダウンロードの詳細については、「保存されたクエリ結果のダウンロード」を参照してください。

また、保存されたクエリ結果を検証して、クエリ結果が CloudTrail 配信後に変更、削除、または変更されていないかどうかを判断することもできます。保存したクエリ結果の検証の詳細については、「 CloudTrail Lake に保存されたクエリ結果を検証する」を参照してください。

例: Amazon S3 バケットにクエリ結果を保存する

このチュートリアルでは、クエリ結果を S3 バケットに保存し、それらのクエリ結果をダウンロードする方法を示します。

CloudTrail Lake のクエリ結果を Amazon S3 バケットに保存する

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[クエリ] を選択します。

  3. [サンプルクエリ] または [保存したクエリ] タブ で、[クエリ名] を選択して実行するクエリを選択します。この例では、[ユーザーアクションの調査] という名前のサンプルクエリを選択します。

  4. [Event data store] (イベントデータストア) の [Editor] (エディタ) タブで、ドロップダウンリストからイベントデータストアを選択します。リストからイベントデータストアを選択すると、 はイベントデータストア ID をFrom行 CloudTrail に自動的に入力します。

  5. このサンプルクエリでは、userIdentity.ARN 値を編集し、Admin という名前のユーザーを指定し、eventTime の値はデフォルトのままとします。クエリを実行すると、スキャンされたデータ量に応じて料金が発生します。コストを抑えるため、クエリに開始および終了 eventTime タイムスタンプを追加することで、クエリを制限することをお勧めします。

    サンプルクエリの userIdentity.ARN 値を編集する

  6. [結果を S3 に保存] を選択し、クエリ結果を S3 バケットに保存します。デフォルトの S3 バケットを選択すると、 は必要なバケットポリシー CloudTrail を作成して適用します。デフォルトの S3 バケットを選択した場合、バケットに対してサーバー側の暗号化がデフォルトで有効になっているため、IAMポリシーに s3:PutEncryptionConfigurationアクションのアクセス許可を含める必要があります。この例では、デフォルトの S3 バケットを使用します。

    注記

    別のバケットを使用するには、バケット名を指定するか、[Browse S3] (S3 を閲覧) を選択してバケットを選択します。バケットポリシーは、クエリ結果をバケットに配信する CloudTrail アクセス許可を付与する必要があります。バケットポリシーを手動で編集する方法については、Lake クエリ結果の Amazon S3 CloudTrail バケットポリシー を参照してください。

    保存されたクエリ結果の S3 バケットを選択します。

  7. [実行] を選択します。イベントデータストアのサイズと、それに含まれるデータの日数によっては、クエリの実行に数分かかる場合があります。[Command output] (コマンド出力) タブには、クエリのステータスと、クエリの実行が終了したかどうかが表示されます。クエリの実行が終了したら、[Query results] (クエリ結果) タブを開いて、アクティブなクエリ (現在エディタに表示されているクエリ) の結果の表を表示します。

  8. が S3 バケットへの保存されたクエリ結果の配信 CloudTrail を完了すると、配信ステータス列には、保存されたクエリ結果ファイルを含む S3 バケットへのリンクと、保存されたクエリ結果の検証に使用できる署名ファイルが表示されます。[S3 で表示] を選択すると、S3 バケット内のクエリ結果ファイルと署名ファイルが表示されます。

    注記

    クエリ結果を保存すると、クエリスキャンの完了後に が CloudTrail クエリ結果を送信するため、クエリ結果が S3 バケットに表示される前に CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分以内に完了しますが、イベントデータストアのサイズによっては、 がクエリ結果を S3 バケットに CloudTrail 配信するのにかなり時間がかかる場合があります。 は、クエリ結果を圧縮された gzip 形式で S3 バケットに CloudTrail 配信します。クエリスキャンの完了後、S3 バケットに配信されるデータは、1 GB あたり平均 60~90 秒の遅延が見込まれます。

    [コマンド出力] タブに表示されたクエリ配信ステータス

  9. クエリ結果をダウンロードするには、クエリ結果ファイル (この例では、result_1.csv.gz) を選択し、[ダウンロード] を選択します。

    クエリの結果ファイルをダウンロードする

保存したクエリ結果の検証の詳細については、「 CloudTrail Lake に保存されたクエリ結果を検証する」を参照してください。