AWS CLI を使用した Insights イベントの記録
AWS CLI を使用すると、Insights イベントをログ記録するように、証跡とイベントデータストアを設定できます。
注記
API コール率に関する Insights イベントをログ記録するには、証跡またはイベントデータストアで write 管理イベントをログ記録する必要があります。API エラー率に関する Insights イベントをログ記録するには、証跡またはイベントデータストアで read または write の管理イベントがログ記録されている必要があります。
AWS CLI を使用した証跡の Insights イベントの記録
証跡の現在の Insights セレクタを返すには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --trail-nameTrailName
次のレスポンス例は、insights-trail という名前の証跡の Insights セレクタを示しています。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail", "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" }, { "InsightType": "ApiErrorRateInsight" } ] }
証跡で Insights が有効になっていない場合、get-insight-selectors コマンドは次のエラーメッセージを返します: GetInsightSelectors オペレーションを呼び出すときにエラーが発生しました (InsightNotEnabledException): Trail arn:aws:cloudtrail:us-east-1:123456789012:trail/trailName で Insights が有効になっていません。証跡の設定を編集して Insights を有効にしてから、もう一度操作を試してください。
Insights イベントをログに記録するように証跡を設定するには、put-insight-selectors コマンドを実行します。次に、 を含むように証跡を設定する方法の例を示します。Insights セレクターの値は、ApiCallRateInsight、ApiErrorRateInsight、または両方になります。
aws cloudtrail put-insight-selectors --trail-nameTrailName--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
次の結果は、証跡用に設定された Insights イベントセレクタを示しています。
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }
AWS CLI を使用してイベントデータストアの Insights イベントをログ記録する
イベントデータストアで Insights を有効にするには、管理イベントをログ記録するソースイベントデータストアと、Insights イベントをログ記録する送信先イベントデータストアが必要です。
イベントデータストアで Insights イベントが有効になっているかどうかを表示するには、get-insight-selectors コマンドを実行します。
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
イベントデータストアで、Insights イベントまたは管理イベントのどちらを受信するように構成されているかを表示するには、get-event-data-store コマンドを実行します。
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
イベントデータストアが Insights イベントを受信するように設定されている場合、その eventCategory は Insight に設定されます。
次の手順で、宛先とソースイベントデータストアを作成し、Insights イベントを有効にする方法を示します。
-
aws cloudtrail create-event-data-store
コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。 eventCategoryの値はInsightにする必要があります。retention-period-daysを、イベントデータストアにイベントを保持する日数に置き換えます。AWS Organizations 組織の管理アカウントでサインインしており、委任管理者にイベントデータストアへのアクセス権を付与したい場合には、
--organization-enabledパラメータを含めてください。aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'以下に、応答の例を示します。
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--insights-destinationパラメータの値として使用します。 -
管理イベントをログ記録するソースイベントデータストアを作成するには、aws cloudtrail create-event-data-store
コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。 retention-period-daysを、イベントデータストアにイベントを保持する日数に置き換えます。組織のイベントデータストアを作成する場合は、--organization-enabledパラメータを含めます。aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00" }この応答の
ARN(または ARN の ID サフィックス) は、ステップ 3 で--event-data-storeパラメータの値として使用します。 -
put-insight-selectors
コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、 ApiCallRateInsight、ApiErrorRateInsight、または両方になります。--event-data-storeパラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--insights-destinationパラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }
イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
