AWS CloudTrail Lake の使用
AWS CloudTrail Lake では、イベントに対して SQL ベースのクエリを実行することができます。CloudTrail Lake は、行ベースの JSON 形式の既存のイベントを Apache ORC
CloudTrail Lake イベントデータストア
イベントデータストアを作成する際には、イベントデータストアに保存するイベントのタイプを選択します。イベントデータストアを作成して、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント)、CloudTrail Insights イベント、AWS Config の設定項目、AWS Audit Manager の証拠、AWS 外のイベントを含めることができます。イベントスキーマはイベントカテゴリについて一意であるため、各イベントデータストアに含めることができるのは、特定のイベントカテゴリ (AWS Config 設定項目など) 1 つのみです。複数のリージョンとアカウントからのイベントを含め、AWS Organizations 内の組織からのイベントを組織のイベントデータストアに保存できます。サポートされている SQL JOIN キーワードを使用して、複数のイベントデータストアで SQL クエリを実行できます。複数のイベントデータストアに対してクエリを実行する方法については、「高度なマルチテーブルクエリのサポート」を参照してください。
証跡イベントを新規または既存のイベントデータストアにコピーして、証跡にログが記録されたイベントのポイントインタイムスナップショットを作成できます。詳細については、「イベントデータストアへ証跡イベントをコピーします」を参照してください。
イベントデータストアをフェデレーションして、AWS Glue データカタログ内のイベントデータストアに関連付けられたメタデータを確認し、Amazon Athena を使用してイベントデータに対する SQL クエリを実行できます。AWS Glue データカタログにあるテーブルメタデータにより、Athena クエリエンジンは、クエリするデータを検索、読み込み、および処理する方法を把握できるようになります。詳細については、「イベントデータストアのフェデレーション」を参照してください。
リソースベースのポリシーをイベントデータストアにアタッチして、選択したプリンシパルにクロスアカウントアクセスを提供できます。CloudTrail コンソールでイベントデータストアを作成または更新するとき、または AWS CLI put-resource-policy コマンドを実行することで、リソースベースのポリシーを追加できます。詳細については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントは CloudTrail によって暗号化されます。イベントデータストアを設定するときに、独自の AWS Key Management Service キーを使用することを選択できます。独自の KMS キーを使用すると、暗号化と復号に AWS KMS のコストがかかります。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。
タグに基づいた承認を使用することによって、イベントデータストアに対するアクションへのアクセスを制御できます。詳細と例については、本ガイドの「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。
CloudTrail Lake のイベントデータストアには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する料金オプションを選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金
CloudTrail Lake は、取り込まれたデータとストレージバイトに関する情報を提供する Amazon CloudWatch メトリクスをサポートしています。サポートされているCloudWatch メトリクスの詳細については、「サポートされている CloudWatch メトリクス」を参照してください。
注記
CloudTrail は、通常、API コールから平均 5 分以内にイベントを配信します。この時間は保証されません。
CloudTrail Lake クエリ
CloudTrail Lake のクエリは、[Event history] (イベント履歴) での単純なキーと値のルックアップ、または LookupEvents の実行よりも、さらに詳細でカスタマイズ可能なイベントのビューを提供します。[Event history] (イベント履歴) 検索は単一の AWS アカウント に制限されており、単一の AWS リージョン からのイベントのみを返し、複数の属性をクエリすることはできません。対照的に、CloudTrail Lake ユーザーは、複数のイベントフィールドに対して複雑な SQL クエリを実行できます。CloudTrail Lake は、有効な Trino SELECT ステートメントと関数をすべてサポートしています。サポートされている SQL 関数と演算子の詳細については、Trino ドキュメントウェブサイトの「関数と演算子
CloudTrail Lake [エディタ] タブでクエリを作成するには、SQL でクエリを最初から記述するか、保存したクエリまたはサンプルクエリを開いて編集するか、クエリジェネレーターを使用して英語の言語プロンプトからクエリを作成します。詳細については、「CloudTrail コンソールを使用してトレイルを編集する」および「自然言語プロンプトから CloudTrail Lake クエリを作成する」を参照してください。
将来使用するために CloudTrail Lake クエリを保存することができ、クエリの結果は最大 7 日間表示できます。クエリを実行すると、クエリ結果を Amazon S3 バケットに保存できます。
CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。詳細については、「CloudTrail コンソールにサンプルクエリを表示する」を参照してください。
CloudTrail Lake クエリでは料金が発生します。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「AWS CloudTrail の料金
CloudTrail Lake ダッシュボード
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベントトレンドを確認できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。
-
マネージドダッシュボード - マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベントトレンドを確認できます。これらのダッシュボードは自動的に利用可能になり、CloudTrail Lake によって管理されます。CloudTrail は 14 種類のマネージドダッシュボードを提供しています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
-
カスタムダッシュボード - カスタムダッシュボードでは、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
-
Highlights ダッシュボード - Highlights ダッシュボードを有効にして、アカウントのイベントデータストアによって収集された AWS アクティビティの概要を一目で確認します。Highlights ダッシュボードは CloudTrail によって管理されており、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、アカウントごとに異なります。これらのウィジェットには、検出された異常なアクティビティや異常が表示される可能性があります。例えば、Highlights ダッシュボードには、[合計クロスアカウントアクセスウィジェット] を含めることができます。このウィジェットは、異常なクロスアカウントアクティビティが増加しているかどうかを示します。CloudTrail は 6 時間ごとに Highlights ダッシュボードをアップデートします。ダッシュボードには、前回のアップデートからのデータのうち最後の 24 時間分が表示されます。
各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリを表します。
詳細については、「CloudTrail Lake ダッシュボード」を参照してください。
CloudTrail Lake 統合
CloudTrail Lake 統合を使用すると、オンプレミスやクラウドでホストされている社内アプリケーションや SaaS アプリケーション、仮想マシン、あるいはコンテナなど、AWS 以外のハイブリッド環境にある任意のソースから、ユーザーアクティビティデータに関するログを作成して保存できます。CloudTrail Lake にイベントデータストアを作成し、アクティビティイベントをログ記録するためのチャネルを作成したら、PutAuditEvents API を呼び出して、アプリケーションアクティビティを CloudTrail に取り込みます。その後は、CloudTrail Lake を使用して、アプリケーションからログに記録されたデータを検索、クエリ、分析できるようになります。
統合により、多数の CloudTrail パートナーからのイベントをイベントデータストアにログ記録することも可能です。パートナーによる統合では、送信先となるイベントデータストア、チャネル、およびリソースポリシーを、ユーザーが作成します。統合の作成が完了したら、チャネルの ARN をパートナーに提供します。統合のタイプには、直接とソリューションの 2 種類が存在します。直接統合では、パートナーが PutAuditEvents API を呼び出して、お客様の AWS アカウントにおけるイベントをイベントデータストアに配信します。ソリューション統合では、お客様の AWS アカウントで実行されるアプリケーションが PutAuditEvents API を呼び出すことで、イベントをお客様の AWS アカウント用のイベントデータストアに対し配信します。
詳細については、「AWS 外のイベントソースとの統合を作成する」を参照してください。
その他のリソース
以下のリソースは、CloudTrail Lake の概要と使用方法についての理解を深めるのに役立ちます。
Modernize Your Audit Log Management Using CloudTrail Lake
(CloudTrail Lake を使用して監査ログ管理を最新化する) (YouTube 動画) AWS CloudTrail Lake での AWS 以外のソースからのアクティビティイベントのログへの記録
(YouTube 動画) 「AWS CloudTrail Lake と Amazon Athena を使用してアクティビティログを分析する
」(YouTube 動画) Get visibility into the activity logs for your workforce and customer identities
(社員とお客様の ID でのアクティビティログを可視化する) (AWS ブログ) AWS CloudTrail Lake を使用して AWS のサービスエンドポイントへの古い TLS 接続を識別する
(AWS ブログ) Arctic Wolf が AWS CloudTrail Lake を使用してセキュリティと運用を簡素化する方法
(AWS ブログ) AWS CloudTrail Data API Reference ( データ API リファレンス)
AWS CloudTrail Partner Onboarding Guide (パートナーオンボーディングガイド)
