コンソールを使用して証跡イベントを既存のイベントデータストアにコピーする - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用して証跡イベントを既存のイベントデータストアにコピーする

以下の手順を実行し、証跡イベントを既存のイベントデータストアにコピーします。新しいイベントデータストアの作成方法に関する詳細は、「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。

注記

証跡イベントを既存のイベントデータストアにコピーする前に、そのイベントデータストアの料金設定オプションと保持期間が、ご自身のユースケースについて適切に設定されていることを確認してください。

  • 料金オプション: 料金オプションによって、イベントの取り込みと保存にかかるコストが決まります。料金オプションの詳細については、「AWS CloudTrail 料金表」および「イベントデータストアの料金オプション」を参照してください。

  • 保持期間: 保持期間は、イベントデータがイベントデータストアに保持される期間を決定します。 は、イベントデータストアの保持期間eventTime内の を持つ証跡イベント CloudTrail のみをコピーします。適切な保持期間を決定するには、コピーする最も古いイベントを日数で合計し、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + ) を取得しますnumber-days-to-retain。例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。

イベントデータストアに証跡イベントをコピーするには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Copy trail events] (トレイルイベントをコピー) を選択します。

  4. [Copy trail events] (証跡イベントのコピー) ページの [Event source] (イベント ソース) で、コピーする証跡を選択します。デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 URI を入力」を選択し、S3 を参照」を選択してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化に KMS キーを使用している場合は、KMS キーポリシーで がデータを復号 CloudTrail 化できることを確認してください。ソース S3 バケットが複数の KMS キーを使用している場合は、各キーのポリシーを更新して、 CloudTrail がバケット内のデータを復号できるようにする必要があります。KMS キーポリシーの更新の詳細については、「ソース S3 バケット内のデータを復号化するための KMS キーポリシー」を参照してください。

    S3 バケットポリシーは、S3 バケットから証跡イベントをコピーするための CloudTrail アクセスを許可する必要があります。S3 バケットとポリシーの更新の詳細については、「証跡イベントのコピー用の Amazon S3 バケットポリシー」を参照してください。

  5. 「イベント の時間範囲を指定する」で、イベントをコピーする時間範囲を選択します。 は、証跡イベントをコピーする前に、プレフィックスとログファイル名 CloudTrail をチェックして、名前に選択した開始日と終了日の間の日付が含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

    注記

    CloudTrail は、イベントデータストアの保持期間eventTime内の を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日よりeventTime前の の証跡イベントをコピーしません。

    • 相対範囲 を選択した場合、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲にログ記録されたイベントをコピーできます。 は、選択した期間内にログ記録されたイベント CloudTrail をコピーします。

    • 絶対範囲 を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

  6. [Delivery location] (配信場所) で、ドロップダウンリストから配信先イベントデータストアを選択します。

  7. [Permissions] (アクセス許可) については、以下の IAM ロールのオプションから選択します。既存の IAM ロールを選択する場合は、IAM ロールポリシーが必要なアクセス許可を提供していることを確認してください。IAM ロールの許可の更新の詳細については、「証跡イベントをコピーするための IAM 許可」を参照してください。

    • [Create a new role (recommended)] (新しいロールの作成 (推奨)) を選択して、新しい IAM ロールを作成します。[Enter IAM role name] (IAM ロール名を入力してください) に、ロールの名前を入力します。 CloudTrail は、この新しいロールに必要なアクセス許可を自動的に作成します。

    • カスタム IAM ロール ARN を使用する を選択して、リストにないカスタム IAM ロールを使用します。[Enter IAM role ARN] (IAM ロールの ARN を入力) で、IAM ARN を入力します。

    • ドロップダウンリストから既存の IAM ロールを選択します。

  8. [Copy events] (イベントをコピー) を選択します。

  9. 確認を求められます。確認する準備ができたら、[Copy trail events to Lake] (証跡イベントを Lake にコピー) を選択してから[Copy events] (イベントをコピー) を選択します。

  10. [Copy details] (コピーの詳細) ページで、コピーの状態を確認し、エラーを確認できます。証跡イベントのコピーが完了すると、その[Copy status] (コピー ステータス) は、エラーがない場合は[Completed] (完了) に設定され、エラーが発生した場合は[Failed] (失敗) に設定されます。

    注記

    イベントコピーの詳細ページに表示される詳細は、リアルタイムではありません。[Prefixes copied] (コピーされたプレフィックス) などの詳細の実際の値は、ページに表示される値よりも高くなる場合があります。 CloudTrail は、イベントコピーの過程で詳細を段階的に更新します。

  11. [Copy status] (コピーのステータス) が[Failed] (失敗) の場合は、[Copy failures] (コピーの失敗) に示されているエラーを修正し、[Retry copy] (コピーの再試行) を選択します。コピーを再試行すると、 は障害が発生した場所でコピー CloudTrail を再開します。

証跡イベントコピーの詳細を表示する方法については、「 CloudTrail コンソールでイベントコピーの詳細を表示する」を参照してください。