クエリを実行し、クエリ結果を保存する - AWS CloudTrail

クエリを実行し、クエリ結果を保存する

クエリを選択または保存したら、イベントデータストアでクエリを実行できます。

クエリを実行すると、オプションとしてクエリ結果を Amazon S3 バケットに保存できます。CloudTrail Lake でクエリを実行すると、クエリによってスキャンされるデータ量に基づいて課金されます。クエリ結果を S3 バケットに保存する場合、CloudTrail Lake に対して追加料金は発生しませんが、S3 ストレージには料金が発生します。S3 の価格設定に関する詳細については、「Amazon S3 pricing」(Amazon S3 価格設定) を参照してください。

CloudTrail はクエリスキャンの完了後にクエリ結果を配信するため、クエリ結果を保存する場合、S3 バケットに表示される前にクエリ結果が CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分内で完了しますが、イベントデータストアのサイズによっては、CloudTrail がクエリ結果を S3 バケットに配信するまでに長く時間がかかる場合があります。CloudTrail はクエリ結果を圧縮された gzip 形式で S3 バケットに配信します。クエリスキャンが完了すると、S3 バケットに配信されるデータの GB ごとに平均 6 分のレイテンシーが予想されます。

CloudTrail Lake を使用してクエリを実行するには

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Query] (クエリ) を選択します。

  3. [Saved queries] (保存されたクエリ) または [Sample queries] (サンプルクエリ) で、[Query SQL] (クエリ SQL) 列の値をクリックすることによって実行するクエリを選択します。

  4. [Event data store] (イベントデータストア) の [Editor] (エディタ) タブで、ドロップダウンリストからイベントデータストアを選択します。

  5. (オプション) [Editor] (エディタ) タブで [Save results to S3] (結果を S3 に保存) を選択し、クエリ結果を S3 バケットに保存します。デフォルトの S3 バケットを選択すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。クエリ結果保存の詳細については、「保存されたクエリ結果に関する追加情報」を参照してください。

    注記

    別のバケットを使用するには、バケット名を指定するか、[Browse S3] (S3 を閲覧) を選択してバケットを選択します。バケットポリシーでは、クエリ結果をバケットに配信するアクセス権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー を参照してください。

  6. [Editor] (エディタ) タブで、[Run] (実行) をクリックします。

    イベントデータストアのサイズと、それに含まれるデータの日数によっては、クエリの実行に数分かかる場合があります。[Command output] (コマンド出力) タブには、クエリのステータスと、クエリの実行が終了したかどうかが表示されます。クエリの実行が終了したら、[Query results] (クエリ結果) タブを開いて、アクティブなクエリ (現在エディタに表示されているクエリ) の結果の表を表示します。

注記

1 時間以上実行するクエリは、タイムアウトすることがあります。クエリがタイムアウトする前に、処理済みの部分的な結果を取得することはできます。CloudTrail は S3 バケットに部分的なクエリ結果を配信しません。タイムアウトを回避するには、クエリを絞り込んでスキャンされるデータ量を制限する時間範囲を狭くすることができます。