AWS CloudTrail Lake の使用 - AWS CloudTrail
CloudTrail Lake イベントデータストアCloudTrail Lake クエリCloudTrail Lake ダッシュボードCloudTrail Lake 統合追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail Lake の使用

AWS CloudTrail Lake では、イベントに対して SQL ベースのクエリを実行できます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC 形式に変換します。ORC は、データを高速に取得するために最適化された単票ストレージ形式です。イベントはイベントデータストアに集約されます。イベントデータストアは、高度なイベントセレクタを適用することによって選択する条件に基いたイベントのイミュータブルなコレクションです。イベントデータをイベントデータストアに保存できる期間は、[1 年間の延長可能な保存料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保存料金] オプションを選択した場合は最大 2,557 日 (約 7 年間) です。どのイベントが存続し、クエリに使用できるかは、イベントデータストアに適用するセレクタが制御します。CloudTrail Lake は、コンプライアンススタックを補完し、ほぼリアルタイムでのトラブルシューティングを支援する監査ソリューションです。

CloudTrail Lake イベントデータストア

イベントデータストアを作成する際には、イベントデータストアに保存するイベントのタイプを選択します。イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント)、CloudTrail Insights イベントAWS Config 設定項目AWS Audit Manager 証拠、または外部からのイベント AWSを含めることができます。イベントスキーマはイベントカテゴリに固有であるため、各イベントデータストアには特定のイベントカテゴリ ( AWS Config 設定項目など) のみを含めることができます。複数のリージョンとアカウントからのイベントなど、組織からのイベントを組織のイベントデータストア AWS Organizations に に保存できます。サポートされている SQL JOIN キーワードを使用して、複数のイベントデータストアで SQL クエリを実行できます。複数のイベントデータストアに対してクエリを実行する方法については、「高度なマルチテーブルクエリのサポート」を参照してください。

証跡イベントを新規または既存のイベントデータストアにコピーして、証跡にログが記録されたイベントのポイントインタイムスナップショットを作成できます。詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。

イベントデータストアをフェデレーションして、 AWS Glue データカタログ内のイベントデータストアに関連付けられたメタデータを確認し、Amazon Athena を使用してイベントデータに対する SQL クエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

リソースベースのポリシーをイベントデータストアにアタッチして、選択したプリンシパルにクロスアカウントアクセスを提供できます。CloudTrail コンソールでイベントデータストアを作成または更新するとき、または コマンドを実行する AWS CLI put-resource-policyときに、リソースベースのポリシーを追加できます。詳細については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

デフォルトでは、イベントデータストア内のすべてのイベントは CloudTrail によって暗号化されます。イベントデータストアを設定するときに、独自の AWS Key Management Service キーを使用することを選択できます。独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。

タグに基づいた承認を使用することによって、イベントデータストアに対するアクションへのアクセスを制御できます。詳細と例については、本ガイドの「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。

CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金」および「CloudTrail Lake のコスト管理」を参照してください。

CloudTrail Lake は、取り込まれたデータとストレージバイトに関する情報を提供する Amazon CloudWatch メトリクスをサポートしています。サポートされているCloudWatch メトリクスの詳細については、「「Supported CloudWatch metrics」(サポートされている CloudWatch メトリクス)」を参照してください。

注記

CloudTrail は、通常、API コールから平均 5 分以内にイベントを配信します。この時間は保証されません。

CloudTrail Lake クエリ

CloudTrail Lake のクエリは、[Event history] (イベント履歴) での単純なキーと値のルックアップ、または LookupEvents の実行よりも、さらに詳細でカスタマイズ可能なイベントのビューを提供します。イベント履歴検索は 1 つの に限定され AWS アカウント、1 つの からのみイベントを返し AWS リージョン、複数の属性をクエリすることはできません。対照的に、CloudTrail Lake ユーザーは、複数のイベントフィールドに対して複雑な SQL クエリを実行できます。CloudTrail Lake は、有効な Presto SELECT ステートメントと関数をすべてサポートしています。サポートされている SQL 関数と演算子の詳細については、Presto ドキュメントウェブサイトの「関数と演算子」を参照してください。

CloudTrail Lake Editor タブでクエリを構築するには、SQL でクエリを最初から記述するか、保存されたクエリまたはサンプルクエリを開いて編集するか、クエリジェネレーターを使用して英語プロンプトからクエリを生成します。詳細については、CloudTrail コンソールを使用してトレイルを編集するおよび自然言語プロンプトから CloudTrail Lake クエリを作成するを参照してください。

将来使用するために CloudTrail Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリを実行すると、クエリ結果を Amazon S3 バケットに保存できます。

CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。詳細については、「CloudTrail コンソールにサンプルクエリを表示する」を参照してください。

CloudTrail Lake クエリでは料金が発生します。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金」および「CloudTrail Lake のコスト管理」を参照してください。

CloudTrail Lake ダッシュボード

CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。

  • マネージドダッシュボード – マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベント傾向を表示できます。これらのダッシュボードは自動的に利用でき、CloudTrail Lake によって管理されます。CloudTrail には、14 のマネージドダッシュボードから選択できます。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、または削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。

  • カスタムダッシュボード – カスタムダッシュボードを使用すると、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。

  • ハイライトダッシュボード – Highlights ダッシュボードを有効にして、アカウント内のイベントデータストアによって収集された AWS アクティビティの概要をat-a-glance確認できます。Highlights ダッシュボードは CloudTrail によって管理され、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、各アカウントに固有です。これらのウィジェットは、検出された異常なアクティビティや異常を表示する可能性があります。例えば、ハイライトダッシュボードには、異常なクロスアカウントアクティビティが増加しているかどうかを示すクロスアカウントアクセスウィジェットの合計を含めることができます。CloudTrail は 6 時間ごとに Highlights ダッシュボードを更新します。ダッシュボードには、前回の更新からの過去 24 時間のデータが表示されます。

各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリを表します。

詳細については、「CloudTrail Lake ダッシュボード」を参照してください。

CloudTrail Lake 統合

CloudTrail Lake 統合を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。CloudTrail Lake にイベントデータストアを作成し、アクティビティイベントをログ記録するためのチャネルを作成したら、PutAuditEvents API を呼び出して、アプリケーションアクティビティを CloudTrail に取り込みます。その後は、CloudTrail Lake を使用して、アプリケーションからログに記録されたデータを検索、クエリ、分析できるようになります。

統合により、多数の CloudTrail パートナーからのイベントをイベントデータストアにログ記録することも可能です。パートナーによる統合では、送信先となるイベントデータストア、チャネル、およびリソースポリシーを、ユーザーが作成します。統合の作成が完了したら、チャネルの ARN をパートナーに提供します。統合のタイプには、直接とソリューションの 2 種類が存在します。直接統合では、パートナーは PutAuditEvents API を呼び出して AWS 、アカウントのイベントデータストアにイベントを配信します。ソリューション統合では、アプリケーションは AWS アカウントで実行され、アプリケーションは PutAuditEvents API を呼び出して AWS 、アカウントのイベントデータストアにイベントを配信します。

統合の詳細については、「外のイベントソースとの統合を作成する AWS」を参照してください。

追加リソース

以下のリソースは、CloudTrail Lake の概要と使用方法についての理解を深めるのに役立ちます。