イベントデータストアの Insights イベントの表示 - AWS CloudTrail
イベントデータストアの Insights ダッシュボードの表示Insights イベントのサンプルクエリの表示

イベントデータストアの Insights イベントの表示

このセクションでは、Insights イベントダッシュボードを表示し、サンプルクエリを実行して、Insights イベントデータストアの Insights イベントを表示する方法について説明します。イベントデータストアで CloudTrail Insights を有効にする方法については、「コンソールを使用して既存のイベントデータストアで CloudTrail Insights を有効にする」を参照してください。

CloudTrail クエリには、スキャンされたデータ量に基づいて料金が発生します。コストを抑えるため、クエリに開始および終了 eventTime タイムスタンプを追加することで、クエリを制限することをお勧めします。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

イベントデータストアの Insights イベントレコードフィールドの説明については、「イベントデータストアの Insights イベントの CloudTrail レコードコンテンツ」を参照してください。

イベントデータストアの Insights ダッシュボードの表示

Insights イベントダッシュボードには、全体的な Insights タイプ別の Insights イベントの比率、上位ユーザーとサービスに関する Insights タイプ別の Insights イベントの比率、および 1 日あたりの Insights イベント数が表示されます。ダッシュボードには、最大 30 日間の Insights イベントを一覧表示するウィジェットも含まれます。

注記

  • ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。詳細については、「Insights イベントの配信」を参照してください。

  • Insights イベントダッシュボードには、ソースイベントデータストアの設定によって決定される、選択したイベントデータストアによって収集された Insights イベントに関する情報のみが表示されます。例えば、ソースイベントデータストアで、ApiErrorRateInsight ではなく ApiCallRateInsight の Insights イベントを有効にしている場合には、ApiErrorRateInsight の Insights イベントに関する情報は表示されません。

Insights イベントダッシュボードを表示するには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. 左のナビゲーションペインの [Lake] の下にある [ダッシュボード] を選択します。

  3. マネージドダッシュボードとカスタムダッシュボードタブを選択します。

  4. AWS マネージドダッシュボードから、Insights イベントダッシュボードを選択します。

  5. Insights イベントデータストアを選択します。

  6. [絶対範囲] または [相対範囲] でダッシュボードデータをフィルターします。特定の日付と時刻の範囲を選択するには、[絶対範囲] を選択します。事前定義済みの時間範囲またはカスタム範囲を選択するには、[相対範囲] を選択します。デフォルトでは、ダッシュボードには過去 24 時間のイベントデータが表示されます。

    注記

    CloudTrail Lake クエリには、スキャンされたデータ量に基づいて料金が発生します。コストを抑えるには、より狭い時間範囲にフィルタリングします。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

  7. [更新] アイコンを選択して、ダッシュボードのウィジェットのグラフィックを入力します。各ウィジェットは更新のステータスを示します。

Lake ダッシュボードの詳細については、「CloudTrail Lake ダッシュボード」を参照してください。

Insights イベントのサンプルクエリの表示

CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、Insights イベントのサンプルクエリが多数用意されています。

Insights イベントのサンプルクエリを表示するには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[クエリ] を選択します。

  3. [Query] (クエリ) ページで、[Sample queries] (サンプルクエリ) タブを開きます。

  4. Insights イベントのクエリを検索します。[クエリ名] を選択して、[エディタ] タブでクエリを開きます。

    例は、Insights イベントのサンプルクエリを示しています。

  5. [エディタ] タブで、Insights イベントデータストアを選択します。リストからイベントデータストアを選択すると、CloudTrail はイベントデータストア ID をクエリエディターの FROM 行に自動的に入力します。

  6. クエリを実行するには、[実行] を選択します。クエリが完了したら、コマンド出力とクエリ結果を表示できます。

    [コマンド出力] タブには、クエリが成功したかどうか、一致したレコードの数、クエリの実行時間など、クエリに関するメタデータが表示されます。

    [クエリ結果] タブには、選択したイベントデータストア内のクエリと一致したイベントデータが表示されます。

クエリ編集の詳細については、「CloudTrail コンソールを使用してトレイルを編集する」を参照してください。クエリの実行およびクエリ結果の保存に関する詳細については、「クエリを実行し、クエリ結果をコンソールに保存する」を参照してください。