を使用してイベントデータストアを作成する AWS CLI - AWS CloudTrail
を使用して S3 データイベントのイベントデータストアを作成する AWS CLIを使用して KMS ネットワークアクティビティイベントのイベントデータストアを作成する AWS CLIを使用して設定項目のイベントデータストア AWS Config を作成する AWS CLIを使用して管理イベント用の組織イベントデータストアを作成する AWS CLIを使用して Insights イベントのイベントデータストアを作成する AWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してイベントデータストアを作成する AWS CLI

このセクションでは、create-event-data-store コマンドを使用してイベントデータストアを作成する方法と、作成できるさまざまなタイプのイベントデータストアの例を示します。

イベントデータストアを作成する際の必須パラメータは --name だけです。これは、イベントデータストアを識別するために使用されます。次のようなオプションパラメータも設定できます。

  • --advanced-event-selectors - イベントデータストアに含めるイベントのタイプを指定します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。高度なイベントセレクタの詳細については、「CloudTrail API リファレンス」の「AdvancedEventSelector」を参照してください。

  • --kms-key-id – CloudTrail によって配信されるイベントの暗号化に使用する KMS キー ID を指定します。値は、エイリアス名 (プレフィックス alias/ を付けます)、エイリアスに対して完全に指定された ARN、キーに対して完全に指定された ARN、またはグローバル一意識別子を指定できます。

  • --multi-region-enabled - アカウント AWS リージョン 内のすべての のイベントをログに記録するマルチリージョンイベントデータストアを作成します。デフォルトでは、このパラメータが追加されていなくても、--multi-region-enabled が設定されています。

  • --organization-enabled - イベントデータストアが組織内のすべてのアカウントについてのイベントを収集できるようにします。デフォルトでは、組織内のすべてのアカウントについてイベントデータストアが有効になっているわけではありません。

  • --billing-mode - イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大を決定します。

    取り得る値には以下のものがあります。

    • EXTENDABLE_RETENTION_PRICING - この課金モードは、1 か月あたりに取り込むイベントデータが 25 TB 未満で、最大 3653 日 (約 10 年) の柔軟な保持期間を希望する場合に一般的にお勧めします。この課金モードのデフォルトの保持期間は 366 日です。

    • FIXED_RETENTION_PRICING - この課金モードは 1 か月あたりに取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 2557 日 (約 7 年) の場合にお勧めします。この課金モードのデフォルトの保持期間は 2557 日です。

    デフォルト値は EXTENDABLE_RETENTION_PRICING です。

  • --retention-period - イベントデータストアにイベントを保持する日数。有効な値は、--billing-modeEXTENDABLE_RETENTION_PRICING の場合は 7 から 3653 までの整数で、--billing-modeFIXED_RETENTION_PRICING に設定されている場合は 7 から 2557 までの整数です。--retention-period を指定しない場合、CloudTrail は --billing-mode のデフォルトの保持期間を使用します。

  • --start-ingestion - --start-ingestion パラメータを指定すると、イベントデータストアが作成されたときにイベントデータストアでのイベントの取り込みが開始されます。このパラメータは、パラメータが追加されなくても設定されます。

    イベントデータストアにライブイベントを取り込みたくない場合は --no-start-ingestion を指定します。例えば、イベントをイベントデータストアにコピーして、過去のイベントの分析にのみイベントデータを使用する予定があるときは、このパラメータを設定するとよいでしょう。--no-start-ingestion パラメータは、eventCategoryManagementData、または ConfigurationItem である場合にのみ有効です。

次の例では、さまざまなタイプのイベントデータストアを作成する方法を示します。

を使用して S3 データイベントのイベントデータストアを作成する AWS CLI

次の example AWS Command Line Interface (AWS CLI) create-event-data-store コマンドは、すべての Amazon S3 データイベントを選択し、KMS キーを使用して暗号化my-event-data-storeされる という名前のイベントデータストアを作成します。

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

を使用して KMS ネットワークアクティビティイベントのイベントデータストアを作成する AWS CLI

次の例は、VpceAccessDeniedネットワークアクティビティイベントを含めるイベントデータストアを作成する方法を示しています AWS KMS。この例では、errorCode フィールドを VpceAccessDenied イベントに、eventSource フィールドを kms.amazonaws.com に指定します。

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

コマンドは、次の出力例を返します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

ネットワークアクティビティイベントの詳細については、「ネットワークアクティビティイベントのログ記録」を参照してください。

を使用して設定項目のイベントデータストア AWS Config を作成する AWS CLI

次のコマンド例では AWS CLI create-event-data-store、 AWS Config 設定項目config-items-edsを選択する という名前のイベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで eventCategory フィールドに対して Equals ConfigurationItem を指定します。

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

を使用して管理イベント用の組織イベントデータストアを作成する AWS CLI

次のコマンド例では AWS CLI create-event-data-store、すべての管理イベントを収集し、 --billing-modeパラメータを に設定する組織イベントデータストアを作成しますFIXED_RETENTION_PRICING

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

以下に、応答の例を示します。

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

を使用して Insights イベントのイベントデータストアを作成する AWS CLI

CloudTrail Lake で Insights イベントをログに記録するには、Insights イベントを収集する送信先イベントデータストアと、Insights を有効にし、管理イベントをログに記録するソースイベントデータストアが必要です。

この手順では、送信先イベントデータストアとソースイベントデータストアを作成し、Insights イベントを有効にする方法を説明します。

  1. aws cloudtrail create-event-data-store コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。eventCategory の値は Insight にする必要があります。retention-period-days を、イベントデータストアにイベントを保持する日数に置き換えます。有効な値は、--billing-modeEXTENDABLE_RETENTION_PRICING の場合は 7 から 3653 までの整数で、--billing-modeFIXED_RETENTION_PRICING に設定されている場合は 7 から 2557 までの整数です。--retention-period を指定しない場合、CloudTrail は --billing-mode のデフォルトの保持期間を使用します。

    AWS Organizations 組織の管理アカウントでサインインしている場合は、委任された管理者にイベントデータストアへのアクセスを許可する場合は、 --organization-enabledパラメータを含めます。

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    以下に、応答の例を示します。

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    この応答の ARN (または ARN の ID サフィックス) は、ステップ 3 で --insights-destination パラメータの値として使用します。

  2. 管理イベントをログ記録するソースイベントデータストアを作成するには、aws cloudtrail create-event-data-store コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。retention-period-days を、イベントデータストアにイベントを保持する日数に置き換えます。有効な値は、--billing-modeEXTENDABLE_RETENTION_PRICING の場合は 7 から 3653 までの整数で、--billing-modeFIXED_RETENTION_PRICING に設定されている場合は 7 から 2557 までの整数です。--retention-period を指定しない場合、CloudTrail は --billing-mode のデフォルトの保持期間を使用します。組織のイベントデータストアを作成する場合は、--organization-enabled パラメータを含めます。

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    以下に、応答の例を示します。

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    この応答の ARN (または ARN の ID サフィックス) は、ステップ 3 で --event-data-store パラメータの値として使用します。

  3. put-insight-selectors コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、ApiCallRateInsightApiErrorRateInsight、または両方になります。--event-data-store パラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--insights-destination パラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    イベントデータストアで CloudTrail Insights を初めて有効にした後、その間に異常なアクティビティが検出された場合、CloudTrail が Insights イベントの配信を開始するまでに最大 7 日かかることがあります。

    CloudTrail Insights は、グローバルではなく 単一のリージョンで発生する管理イベントを分析します。CloudTrail Insights イベントは、サポート対象の管理イベントが生成されるのと同じリージョンに生成されます。

    組織のイベントデータストアの場合、CloudTrail は組織のすべての管理イベントの集計を分析する代わりに、各メンバーのアカウントからの管理イベントを分析します。

CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。