翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Insights イベントのログ記録
AWS CloudTrail Insights は、 CloudTrail 管理イベントを継続的に分析することで、ユーザーが API コールと API エラー率に関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。Insights CloudTrail は、ベースライン とも呼ばれる API コールボリュームと API エラー率の通常のパターンを分析し、コールボリュームまたはエラー率が通常のパターンの外にある場合に Insights イベントを生成します。API コール量に関する Insights イベントは、write 管理 API に対して生成されます。一方、API エラー率に関する Insights イベントは、read と write の両方の管理 API に対して生成されます。
注記
API コールのボリュームで Insights イベントをログ記録するには、証跡またはイベントデータストアで write 管理イベントがログ記録されている必要があります。API エラー率に関する Insights イベントをログ記録するには、証跡またはイベントデータストアで read または write の管理イベントがログ記録されている必要があります。
CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「AWS CloudTrail の料金
目次
Insights イベントの配信を理解する
が CloudTrail キャプチャする他のタイプのイベントとは異なり、Insights イベントは、 がアカウントの一般的な使用パターンと大きく異なるアカウントの API 使用量の変化 CloudTrail を検出した場合にのみログに記録されます。
がイベント CloudTrail を配信する場所と Insights イベントを受信するのにかかる時間は、証跡とイベントデータストアによって異なります。
証跡の Insights イベントの配信
証跡で Insights イベントを有効にし、異常なアクティビティ CloudTrail を検出すると、 は証跡用に選択した送信先 S3 バケットの /CloudTrail-Insightフォルダに Insights イベントを CloudTrail 配信します。証跡で CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。
証跡の Insights イベントのログ記録をオフにしてから Insights イベントを再度有効にするか、証跡のログ記録を停止して再起動すると、異常なアクティビティが検出された場合、 が Insights イベントの配信を再開 CloudTrail するまでに最大 36 時間かかることがあります。
イベントデータストアの Insights イベントの配信
ソースイベントデータストアで Insights イベントを有効にしている場合、 は Insights イベントを送信先イベントデータストアに CloudTrail 配信します。ソースイベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを送信先イベントデータストアに配信 CloudTrail するまでに最大 7 日間かかることがあります。
ソースイベントデータストアで Insights イベントのログ記録をオフにしてから Insights イベントを再度有効にするか、ソースイベントデータストアでイベントの取り込みを停止して再起動すると、異常なアクティビティが検出された場合、 が Insights イベントの配信を再開 CloudTrail するまでに最大 7 日かかることがあります。 CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 の料金AWS CloudTrail
を使用した Insights イベントのログ記録 AWS Management Console
証跡またはイベントデータストアでの Insights イベントは、コンソールを使用して有効化できます。
既存の証跡で CloudTrail Insights イベントを有効にする
既存の証跡で CloudTrail Insights イベントを有効にするには、次の手順に従います。デフォルトでは、Insights イベントは有効になっていません。
-
CloudTrail コンソールの左側のナビゲーションペインで、証跡ページを開き、証跡名を選択します。
-
[Insights events] で、[編集] を選択します。
注記
Insights イベントの記録には追加料金が適用されます。 CloudTrail 料金については、「 AWS CloudTrail の料金
」を参照してください。 -
[Event type] (イベントタイプ) で、[Insights events] (Insights イベント) を選択します。
-
[Insights events] (Insights イベント) の [Choose Insights types] (Insights の種類を選択) で、[API call rate] (API コールレート) と [API error rate] (API エラー率) のどちらか一方、または両方を選択選択します。[API コール率] の Insights イベントをログに記録するには、証跡が [Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、証跡が [Read] または [Write] 管理イベントをログ記録している必要があります。
-
[変更を保存] を選択して、変更を保存します。
異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 36 時間かかることがあります。
既存のイベントデータストアで CloudTrail Insights イベントを有効にする
既存のイベントデータストアで CloudTrail Insights イベントを有効にするには、次の手順に従います。デフォルトでは、Insights イベントは有効になっていません。
CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 AWS CloudTrail の料金
注記
CloudTrail Insights イベントは、 CloudTrail 管理イベントを含むイベントデータストアでのみ有効にできます。他のイベントデータストアタイプで CloudTrail Insights イベントを有効にすることはできません。
-
CloudTrail コンソールの左側のナビゲーションペインの Lake で、イベントデータストア を選択します。
-
イベントデータストアの名前を選択します。
-
[管理イベント] で、[編集] を選択します。
-
[Insights を有効にする] を選択します。
-
が Insights イベントを配信 CloudTrail する送信先イベントデータストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。
-
[Insights タイプを選択] で、[API コールレート] と [API エラー率] のどちらか一方、または両方を選択します。[API コールレート] の Insights イベントをログ記録するには、イベントデータストアが [書き込み] 管理イベントを記録している必要があります。[API エラー率] の Insights イベントをログ記録するには、イベントデータストアが [読み出し] または [書き込み] の管理イベントを記録している必要があります。
-
[変更を保存] を選択して、変更を保存します。
異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日かかることがあります。
を使用した Insights イベントのログ記録 AWS Command Line Interface
AWS CLIを使用すると、Insights イベントをログ記録するように、証跡とイベントデータストアを設定できます。
注記
API コールのボリュームで Insights イベントをログ記録するには、証跡またはイベントデータストアで write 管理イベントがログ記録されている必要があります。API エラー率に関する Insights イベントをログ記録するには、証跡またはイベントデータストアで read または write の管理イベントがログ記録されている必要があります。
を使用した証跡の Insights イベントのログ記録 AWS CLI
証跡が Insights イベントをログに記録しているかどうかを確認するには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --trail-nameTrailName
次の結果は、証跡に対するデフォルト設定を示しています。デフォルトでは、証跡は Insights イベントを記録しません。Insights イベントコレクションが有効になっていないため、InsightType 属性値が空になっていて、Insights イベントセレクタが指定されていません。
Insights セレクタを追加しない場合、get-insight-selectorsコマンドは GetInsightSelectors 「オペレーションを呼び出すときにエラー (InsightNotEnabledException) が発生しました。証跡名で Insights が有効になっていません。証跡の設定を編集して Insights を有効にしてから、もう一度操作を試してください。
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
Insights イベントをログに記録するように証跡を設定するには、put-insight-selectors コマンドを実行します。次に、 を含むように証跡を設定する方法の例を示します。Insights セレクターの値は、ApiCallRateInsight、ApiErrorRateInsight、または両方になります。
aws cloudtrail put-insight-selectors --trail-nameTrailName--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
次の結果は、証跡用に設定された Insights イベントセレクタを示しています。
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
を使用したイベントデータストアの Insights イベントのログ記録 AWS CLI
イベントデータストアで Insights を有効にするには、管理イベントをログ記録するソースイベントデータストアと、Insights イベントをログ記録する送信先イベントデータストアが必要です。
イベントデータストアで Insights イベントが有効になっているかどうかを表示するには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
イベントデータストアで、Insights イベントまたは管理イベントのどちらを受信するように構成されているかを表示するには、get-event-data-store コマンドを実行します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
次の手順で、宛先とソースイベントデータストアを作成し、Insights イベントを有効にする方法を示します。
-
aws cloudtrail create-event-data-store
コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。 eventCategoryの値はInsightにする必要があります。を、イベントデータストアにイベントを保持する日数retention-period-daysに置き換えます。AWS Organizations 組織の管理アカウントでサインインしている場合は、委任された管理者にイベントデータストアへのアクセスを許可する場合は、
--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'以下に、応答の例を示します。
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--insights-destinationパラメータの値として使用します。 -
管理イベントをログ記録するソースイベントデータストアを作成するには、aws cloudtrail create-event-data-store
コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。を、イベントデータストアにイベントを保持する日数 retention-period-daysに置き換えます。組織のイベントデータストアを作成する場合は、--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--event-data-storeパラメータの値として使用します。 -
put-insight-selectors
コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、 ApiCallRateInsight、ApiErrorRateInsight、または両方になります。--event-data-storeパラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--insights-destinationパラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }イベントデータストアで CloudTrail Insights を初めて有効にすると、異常なアクティビティが検出された場合、 が最初の Insights イベントを配信 CloudTrail するまでに最大 7 日間かかることがあります。
CloudTrail Insights は、グローバルではなく単一のリージョンで発生する管理イベントを分析します。 CloudTrail Insights イベントは、サポートする管理イベントが生成されるのと同じリージョンで生成されます。
組織のイベントデータストアの場合、 は組織のすべての管理イベントの集計 CloudTrail を分析する代わりに、各メンバーのアカウントから管理イベントを分析します。
CloudTrail Lake での Insights イベントの取り込みには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。 CloudTrail 料金の詳細については、「 AWS CloudTrail の料金
AWS SDKs を使用した Insights イベントのログ記録
GetInsightSelectors オペレーションを実行して、証跡またはイベントデータストアで Insights イベントが有効になっているかどうかを確認します。証跡またはイベントデータストアを設定して、 PutInsightSelectorsオペレーションで Insights イベントを有効にできます。詳細については、「 APIリファレンスAWS CloudTrail」を参照してください。
