コンソールを使用してイベントのイベントデータストア CloudTrailを作成する - AWS CloudTrail
イベントの CloudTrail イベントデータストアを作成するには

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールを使用してイベントのイベントデータストア CloudTrailを作成する

イベントのイベントデータストアには、 CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベントを含める CloudTrail ことができます。イベントデータをイベントデータストアに保存できる期間は、[延長可能な 1 年間の保持料金] オプションを選択した場合は最大 3,653 日 (約 10 年)、[7 年間の保持料金] オプションを選択した場合は最大 2,557 日 (約 7 年) です。

注記

ネットワークアクティビティイベントは のプレビューリリース中 CloudTrail であり、変更される可能性があります。

CloudTrail Lake イベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake のコストの CloudTrail 価格設定と管理の詳細については、AWS CloudTrail 「 の料金」と「」を参照してください CloudTrail Lake コストの管理

イベントの CloudTrail イベントデータストアを作成するには

この手順を使用して、 CloudTrail 管理イベント、データイベント、またはネットワークアクティビティイベントをログに記録するイベントデータストアを作成します。

  1. にサインイン AWS Management Console し、 で CloudTrail コンソールを開きますhttps://console.aws.amazon.com/cloudtrail/

  2. ナビゲーションペインの [Lake] で、[イベントデータストア] を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail  料金表」と「 CloudTrail Lake コストの管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日後、延長保持は料金で pay-as-you-go利用できます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの eventTime が指定された保持期間内であるかどうかをチェックして、イベントを保持するかどうかを決定します。例えば、保持期間を 90 日と指定すると、 eventTimeは 90 日より古いイベント CloudTrail を削除します。

    注記

    このイベントデータストアに証跡イベントをコピーする場合、指定された保持期間よりも古いイベントeventTimeはコピー CloudTrail されません。適切な保持期間を決定するには、コピーする最も古いイベントの合計を日数で、イベントデータストアにイベントを保持する日数 (保持期間 = oldest-event-in-days + number-days-to-retain)。 例えば、コピーする最も古いイベントが 45 日経過しており、イベントデータストアにさらに 45 日間イベントを保持する場合は、保持期間を 90 日に設定します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、独自の を使用する AWS KMS keyを選択します。新規 を選択して AWS KMS key を作成するか、既存の を選択して既存のKMSキーを使用します。Enter KMS alias で、 形式でエイリアスを指定します。 alias/MyAliasName。 独自のKMSキーを使用するには、KMSキーポリシーを編集して、ログの暗号化と復号を許可 CloudTrailする必要があります。詳細については、「」を参照してくださいの AWS KMS キーポリシーを設定する CloudTrail。 は AWS KMS マルチリージョンキー CloudTrail もサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自のKMSキーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアをKMSキーに関連付けると、KMSキーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存のKMSキーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、データカタログの AWS Glue イベントデータストアに関連付けられたメタデータを表示し、Athena のイベントデータに対してSQLクエリを実行できます。 AWS Glue Data Catalog に保存されているテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存のIAMロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーティッドイベントデータストアのアクセス許可を管理します。 CloudTrail コンソールを使用して新しいロールを作成すると、 は必要なアクセス許可を持つロール CloudTrail を自動的に作成します。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。IAM ポリシーを使用してタグに基づいてイベントデータストアへのアクセスを許可する方法の詳細については、「」を参照してください例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の AWS 「リソースのタグ付け」を参照してください。

  10. [次へ] を選択して、イベントデータストアを設定します。

  11. イベントの選択ページで、AWS イベント を選択し、次にCloudTrailイベント を選択します。

  12. CloudTrail イベント では、少なくとも 1 つのイベントタイプを選択します。[Management events] (管理イベント) がデフォルトで選択されています。管理イベント データイベント 、およびネットワークアクティビティイベントをイベントデータストアに追加できます。

  13. (オプション) 既存のトレイルからイベントをコピーして過去のイベントに関するクエリを実行する場合は、[Copy trail events] (トレイルイベントのコピー) を選択します。証跡イベントを組織のイベントデータストアにコピーするには、組織の管理アカウントを使用する必要があります。委任された管理者アカウントは、証跡イベントを組織のイベントデータストアにコピーできません。証跡イベントのコピーに関する考慮事項の詳細については、「証跡イベントのコピーに関する留意事項」を参照してください。

  14. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。組織に関するイベントを収集するイベントデータストアを作成するには、その組織の管理アカウントまたは委任された管理者アカウントにサインインする必要があります。

    注記

    証跡イベントをコピーしたり Insights イベントを有効にしたりするには、組織の管理アカウントにサインインする必要があります。

  15. 追加設定を展開して、イベントデータストアがすべての のイベントを収集するか AWS リージョン、現在の のみのイベントを収集するかを選択し AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアは、アカウントのすべてのリージョンからイベントを収集し、データストアの作成時にイベントの取り込みを開始します。

    1. 現在のリージョンでログ記録されたイベントのみを含めるときは、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

    2. イベントデータストアでイベントの取り込みを開始したくないときは、[イベントを取り込む] の選択を解除します。例えば、証跡イベントをコピーしており、イベントデータストアに未来のイベントを含めたくないときは、[イベントを取り込む] の選択を解除するとよいでしょう。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。

  16. イベントデータストアに管理イベントが含まれている場合は、次のオプションを選択できます。管理イベントの詳細については、「管理イベントのログ記録」を参照してください。

    1. [読み取り] イベント、[書き込み]、またはその両方を含めるかどうかを選択します。少なくとも 1 つが必要です。

    2. API イベントデータストアから AWS Key Management Service または Amazon RDS Data イベントを除外するかどうかを選択します。

    3. Insights を有効にするかどうかを選択します。Insights を有効にするには、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集する送信先イベントデータストアを設定する必要があります。

      Insights を有効にすることを選択した場合は、次の手順を実行します。

      1. [Insights を有効にする] で、Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

      2. Insights タイプを選択します。API 通話レート APIエラーレート 、またはその両方を選択できます。API 通話レート の Insights イベントをログに記録するには、書き込み管理イベントをログに記録する必要があります。API エラーレート の Insights イベントをログに記録するには、読み取りまたは書き込み管理イベントをログに記録する必要があります。

  17. イベントデータストアにデータイベントを含めるには、次の手順を実行します。

    1. データイベントタイプを選択します。これは、データイベントがログに記録される AWS のサービス および リソースです。Lake Formation によって作成された AWS Glue テーブルのデータイベントを記録するには、データタイプの Lake Formation を選択します。

    2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのデータイベント、readOnly イベント、もしくは writeOnly イベントをログに記録することを選択、または [Custom] (カスタム) を選択してカスタムログセレクタを構築することができます。

    3. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、「2 つの S3 バケットだけのデータイベントを記録する」など、高度なイベントセレクタに関する説明的な名前です。セレクタ名はアドバンストイベントセレクタ Name に としてリストされ、JSONビュー を展開すると表示できます。

    4. [Advanced event selectors] で、データイベントをログに記録する特定のリソースの式を作成します。事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. 次のフィールドから選択します。

        • readOnly - readOnlyは、 true または の値に等しくなるように設定できますfalse。読み取り専用データイベントは、Get* または Describe* イベントなどのリソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*、または Write* イベントなどのリソース、属性、またはアーティファクトを追加、変更、または削除します。read および write イベントの両方を記録するには、readOnly セレクタを追加しないでください。

        • eventName - eventName は任意の演算子を使用できます。これを使用して、、、 など CloudTrail、 に記録されたデータイベントを含めるPutBucketGetItemか除外できますGetSnapshotBlock

        • resources.ARN - 演算子は で使用できますがresources.ARN等しい等しくない場合は、テンプレートで指定したタイプの有効なリソースARNの を の値として正確に一致させる必要がありますresources.type

          次の表は、各 の有効なARN形式を示していますresources.type

          注記

          resources.ARN フィールドを使用して、 を持たないリソースタイプをフィルタリングすることはできませんARNs。

          resources.type リソース。ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          は、次のいずれかの形式ARNである必要があります。

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          は、次のいずれかの形式ARNである必要があります。

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          は、次のいずれかの形式ARNである必要があります。

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 ストリームが有効になっているテーブルの場合、データイベントの resources フィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table の両方が含まれます。resources.typeAWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログ記録されます。ストリームイベント を除外するには、 eventNameフィールドにフィルターを追加します。

          2 特定の S3 バケット内のすべてのオブジェクトのすべてのデータイベントをログに記録するには、 StartsWith演算子を使用し、一致する値ARNとしてバケットのみを含めます。末尾のスラッシュは意図的です。除外しないでください。

          3 S3 アクセスポイント内のすべてのオブジェクトでイベントをログに記録するには、アクセスポイント のみを使用しARN、オブジェクトパスを含めず、 StartsWith または NotStartsWith演算子を使用することをお勧めします。

        データイベントリソースのARN形式の詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「アクション、リソース、および条件キー」を参照してください。

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。例えば、2 つの S3 バケットのデータイベントをイベントデータストアに記録されたデータイベントから除外するには、 フィールドを リソースに設定します。ARN の演算子を で開始せず、S3 バケット に貼り付けるかARN、イベントをログに記録しない S3 バケットを参照します。

        2 番目の S3 バケットを追加するには、+ 条件 を選択し、前の手順を繰り返し、 ARN for に貼り付けるか、別のバケットを参照します。

        が複数の条件 CloudTrail を評価する方法については、「」を参照してくださいが フィールドの複数の条件 CloudTrail を評価する方法

        注記

        イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。例えば、1 つのセレクタARNで を値に等しくするように指定せず、別のセレクタで を同じ値ARNにしないように指定します。

    5. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

    6. データイベントをログに記録する別のデータタイプを追加するには、[Add data event type] を選択します。データイベントタイプの高度なイベントセレクタを設定するには、ステップ a からこのステップを繰り返します。

  18. イベントデータストアにネットワークアクティビティイベントを含めるには、以下を実行します。

    1. ネットワークアクティビティイベントソース から、ネットワークアクティビティイベントのソースを選択します。

    2. [Log selector template] (ログセレクタテンプレート) でテンプレートを選択します。すべてのネットワークアクティビティイベントをログに記録するか、すべてのネットワークアクティビティアクセス拒否イベントをログに記録するか、カスタムを選択してカスタムログセレクタを構築し、 eventNameや などの複数のフィールドでフィルタリングすることができますvpcEndpointId

    3. (オプション) セレクターを識別する名前を入力します。セレクタ名はアドバンストイベントセレクタに名前としてリストされ、JSONビュー を展開すると表示できます。

    4. アドバンストイベントセレクタでは、フィールド 、演算子 、および値 の値を選択して式を構築します。 事前定義済みのログテンプレートを使用している場合は、このステップをスキップできます。

      1. ネットワークアクティビティイベントを除外または含める場合は、コンソールの次のフィールドから選択できます。

        • eventName – 任意の演算子を で使用できますeventName。これを使用して、 などのイベントを包含または除外できますCreateKey

        • errorCode – エラーコードをフィルタリングするために使用できます。現在、サポートされているのerrorCodeは のみですVpceAccessDenied

        • vpcEndpointId – オペレーションが通過したVPCエンドポイントを識別します。では、任意の演算子を使用できますvpcEndpointId

      2. 各フィールドについて、[条件の追加] を選択して、必要な条件をすべて追加します。すべての条件に対して最大 500 個の指定値を設定できます。

      3. [+ Field] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

    5. ネットワークアクティビティイベントを記録する別のイベントソースを追加するには、ネットワークアクティビティイベントセレクタの追加 を選択します。

    6. 必要に応じて、JSONビューを展開して、高度なイベントセレクタをJSONブロックとして表示します。

  19. イベントデータストアに既存の証跡イベントをコピーするには、次を実行します。

    1. コピーするトレイルを選択します。デフォルトでは、 は S3 バケットのCloudTrailプレフィックスとプレフィックス内のCloudTrailプレフィックスに含まれる CloudTrail イベント CloudTrail のみをコピーし、他の AWS サービスのプレフィックスはチェックしません。別のプレフィックスに含まれる CloudTrail イベントをコピーする場合は、S3 を入力URI」を選択し、S3 を参照してプレフィックスを参照します。証跡のソース S3 バケットがデータ暗号化にKMSキーを使用している場合は、KMSキーポリシーで CloudTrail がデータを復号化できることを確認してください。ソース S3 バケットが複数のKMSキーを使用している場合は、バケット内のデータを復号 CloudTrail するために が許可するように、各キーのポリシーを更新する必要があります。KMS キーポリシーの更新の詳細については、「」を参照してくださいKMS ソース S3 バケット内のデータを復号するためのキーポリシー

    2. イベントをコピーする時間範囲を選択します。 はプレフィックスとログファイル名 CloudTrail をチェックして、証跡イベントをコピーする前に、選択した開始日と終了日の間の日付が名前に含まれていることを確認します。[Relative range] (相対範囲) または[Absolute range] (絶対範囲) を選択することができます。ソース証跡と送信先イベントデータストア間でイベントが重複しないようにするには、イベントデータストアの作成よりも前の時間範囲を選択します。

      注記

      CloudTrail は、イベントデータストアeventTimeの保持期間内に を持つ証跡イベントのみをコピーします。例えば、イベントデータストアの保持期間が 90 日の場合、 CloudTrail は 90 日よりeventTime古い証跡イベントをコピーしません。

      • 相対範囲 を選択した場合、過去 6 か月、1 年、2 年、7 年、またはカスタム範囲に記録されたイベントをコピーできます。選択した期間内に記録されたイベント CloudTrail をコピーします。

      • Absolute range を選択した場合、特定の開始日と終了日を選択できます。選択した開始日と終了日の間に発生したイベント CloudTrail をコピーします。

    3. アクセス許可 では、次のIAMロールオプションから選択します。既存のIAMロールを選択する場合は、IAMロールポリシーが必要なアクセス許可を付与していることを確認します。IAM ロールのアクセス許可の更新の詳細については、「」を参照してくださいIAM 証跡イベントをコピーするためのアクセス許可

      • 新しいロールを作成する (推奨) を選択して、新しいIAMロールを作成します。IAM ロール名を入力 には、 ロールの名前を入力します。 は、この新しいロールに必要なアクセス許可 CloudTrail を自動的に作成します。

      • カスタムIAMロールを使用してARN、リストされていないカスタムIAMロールを使用するを選択します。Enter IAM role ARNには、 IAM を入力しますARN。

      • ドロップダウンリストから既存のIAMロールを選択します。

  20. [Next] (次へ) を選択して、選択内容を確認します。

  21. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  22. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    これ以降、イベントデータストアは、高度なイベントセレクタに一致するイベントをキャプチャします ([イベントを取り込む] オプションを選択したままにしている場合)。イベントデータストアを作成する前に発生したイベントは、既存の証跡イベントをコピーすることを選択しない限り、イベントデータストアには保存されません。

これで、新しいイベントデータストアに対してクエリを実行できるようになりました。[Sample queries] (サンプルクエリ) タブは、使用を開始するためのサンプルクエリを提供します。クエリの作成と編集の詳細については、「 CloudTrail コンソールでクエリを作成または編集する」を参照してください。

CloudTrail Lake ダッシュボードを表示して、イベントデータストアの管理イベントと S3 データイベントを視覚化することもできます。Lake ダッシュボードの詳細については、「 CloudTrail コンソールで CloudTrail Lake ダッシュボードを表示する」を参照してください。