翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudTrail Lake の使用
AWS CloudTrail Lake では、イベントに対して SQL ベースのクエリを実行できます。 CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
CloudTrail Lake イベントデータストア
イベントデータストアを作成する際には、イベントデータストアに保存するイベントのタイプを選択します。イベントデータストアを作成して、CloudTrail イベント 、CloudTrail Insights イベント 、AWS Config 設定項目 、AWS Audit Manager 証拠 、または の外部からのイベント AWSを含めることができます。イベントスキーマはイベントカテゴリに固有であるため、各イベントデータストアには特定のイベントカテゴリ ( AWS Config 設定項目など) のみを含めることができます。複数のリージョンとアカウントからのイベントなど、組織からのイベントを組織のイベントデータストア AWS Organizations に保存できます。サポートされている SQL JOIN キーワードを使用して、複数のイベントデータストアで SQL クエリを実行できます。複数のイベントデータストアに対してクエリを実行する方法については、「高度なマルチテーブルクエリのサポート」を参照してください。
証跡イベントを新規または既存のイベントデータストアにコピーして、証跡に記録されたイベントの point-in-time スナップショットを作成できます。詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。
イベントデータストアをフェデレーションして、 AWS Glue データカタログ内のイベントデータストアに関連付けられたメタデータを確認し、Amazon Athena を使用してイベントデータに対する SQL クエリを実行できます。 AWS Glue Data Catalog に保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントは によって暗号化されます CloudTrail。イベントデータストアを設定するときに、独自の AWS Key Management Service キーを使用することを選択できます。独自の KMS キーを使用すると、暗号化と復号化の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
タグに基づいた承認を使用することによって、イベントデータストアに対するアクションへのアクセスを制御できます。詳細と例については、本ガイドの「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。
CloudTrail Lake ダッシュボードを使用して、イベントデータストア内のデータを視覚化できます。各ダッシュボードは複数のウィジェットで構成され、各ウィジェットは SQL クエリを表します。Lake ダッシュボードの詳細については、「 CloudTrail Lake ダッシュボードを表示する」を参照してください。
CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake CloudTrail の料金設定とコスト管理の詳細については、AWS CloudTrail 「 の
CloudTrail Lake は、取り込まれたデータとストレージバイトに関する情報を提供する Amazon CloudWatch メトリクスをサポートしています。サポートされている CloudWatch メトリクスの詳細については、「」を参照してください CloudWatch サポート対象の指標。
注記
CloudTrail は通常、API コールから平均約 5 分以内にイベントを配信します。この時間は保証されません。
CloudTrail Lake 統合
CloudTrail Lake 統合を使用して、 の外部からのユーザーアクティビティデータをログに記録して保存できます AWS。オンプレミスまたはクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、コンテナなど、ハイブリッド環境の任意のソースからのユーザーアクティビティデータです。 CloudTrail Lake でイベントデータストアを作成し、アクティビティイベントをログに記録するチャネルを作成したら、 PutAuditEvents API を呼び出してアプリケーションアクティビティを に取り込みます CloudTrail。その後、 CloudTrail Lake を使用して、アプリケーションから記録されたデータを検索、クエリ、分析できます。
統合では、数十 CloudTrailを超えるパートナーからのイベントデータストアにイベントをログ記録することもできます。パートナーによる統合では、送信先となるイベントデータストア、チャネル、およびリソースポリシーを、ユーザーが作成します。統合の作成が完了したら、チャネルの ARN をパートナーに提供します。統合のタイプには、直接とソリューションの 2 種類が存在します。直接統合では、パートナーは PutAuditEvents API を呼び出して、 AWS アカウントのイベントデータストアにイベントを配信します。ソリューション統合では、アプリケーションは AWS アカウントで実行され、アプリケーションは PutAuditEvents API を呼び出して、 AWS アカウントのイベントデータストアにイベントを配信します。
統合の詳細については、「 の外部でイベントソースとの統合を作成する AWS」を参照してください。
CloudTrail Lake クエリ
CloudTrail Lake クエリは、イベント履歴 の単純なキーと値のルックアップ、または の実行よりも、イベントのより詳細でカスタマイズ可能なビューを提供しますLookupEvents。イベント履歴検索は 1 つの に限定され AWS アカウント、1 つの からのイベントのみを返し AWS リージョン、複数の属性をクエリすることはできません。対照的に、 CloudTrailLake ユーザーは複数のイベントフィールドで複雑な SQL クエリを実行できます。 CloudTrail Lake は、有効なすべての Presto SELECTステートメントと関数をサポートしています。サポートされている SQL 関数と演算子の詳細については、Presto ドキュメントウェブサイトの「関数と演算子
CloudTrail Lake クエリを将来の使用のために保存し、クエリの結果を最大 7 日間表示できます。クエリを実行すると、クエリ結果を Amazon S3 バケットに保存できます。
CloudTrail コンソールには、独自のクエリの作成を開始するのに役立つ多数のサンプルクエリが用意されています。詳細については、「 CloudTrail コンソールにサンプルクエリが表示されます。」を参照してください。
CloudTrail Lake クエリには料金が発生します。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。Lake CloudTrail の料金設定とコスト管理の詳細については、AWS CloudTrail 「 の
追加リソース
以下のリソースは、 CloudTrail Lake とは何か、またその使用方法をよりよく理解するのに役立ちます。
CloudTrail Lake を使用した監査ログ管理のモダナイズ
(YouTube ビデオ) AWS CloudTrail Lake のAWS ソース以外の からのアクティビティイベントのログ
記録 (YouTube ビデオ) AWS CloudTrail Lake と Amazon Athena でアクティビティログを分析する
(YouTube ビデオ) ワークフォースと顧客 ID のアクティビティログを可視化する
(AWS ブログ) AWS CloudTrail Lake を使用して AWS サービスエンドポイントへの古い TLS 接続を特定する
(AWS ブログ) Arctic Wolf が AWS CloudTrail Lake を使用してセキュリティと運用を簡素化する方法
(AWS ブログ)
