翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用してイベントデータストアを作成する AWS CLI
このセクションでは、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを使用してイベントデータストアを作成する方法と、作成できるさまざまなタイプのイベントデータストアの例を示します。
イベントデータストアを作成する際の必須パラメータは `--name` だけです。これは、イベントデータストアを識別するために使用されます。次のようなオプションパラメータも設定できます。
+ `--advanced-event-selectors` - イベントデータストアに含めるイベントのタイプを指定します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。高度なイベントセレクタの詳細については、「CloudTrail API リファレンス」の「[AdvancedEventSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)」を参照してください。
+ `--kms-key-id` – CloudTrail によって配信されるイベントの暗号化に使用する KMS キー ID を指定します。値は、エイリアス名 (プレフィックス `alias/` を付けます)、エイリアスに対して完全に指定された ARN、キーに対して完全に指定された ARN、またはグローバル一意識別子を指定できます。
+ `--multi-region-enabled` - アカウント AWS リージョン 内のすべての のイベントをログに記録するマルチリージョンイベントデータストアを作成します。デフォルトでは、このパラメータが追加されていなくても、`--multi-region-enabled` が設定されています。
+ `--organization-enabled` - イベントデータストアが組織内のすべてのアカウントについてのイベントを収集できるようにします。デフォルトでは、組織内のすべてのアカウントについてイベントデータストアが有効になっているわけではありません。
+ `--billing-mode` - イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大を決定します。
取り得る値には以下のものがあります。
+ `EXTENDABLE_RETENTION_PRICING` - この課金モードは、1 か月あたりに取り込むイベントデータが 25 TB 未満で、最大 3653 日 (約 10 年) の柔軟な保持期間を希望する場合に一般的にお勧めします。この課金モードのデフォルトの保持期間は 366 日です。
+ `FIXED_RETENTION_PRICING` - この課金モードは 1 か月あたりに取り込むイベントデータが 25 TB を超えると予想され、必要な保持期間が最長 2557 日 (約 7 年) の場合にお勧めします。この課金モードのデフォルトの保持期間は 2557 日です。
デフォルト値は `EXTENDABLE_RETENTION_PRICING` です。
+ `--retention-period` - イベントデータストアにイベントを保持する日数。有効な値は、`--billing-mode` が `EXTENDABLE_RETENTION_PRICING` の場合は 7 から 3653 までの整数で、`--billing-mode` が `FIXED_RETENTION_PRICING` に設定されている場合は 7 から 2557 までの整数です。`--retention-period` を指定しない場合、CloudTrail は `--billing-mode` のデフォルトの保持期間を使用します。
+ `--start-ingestion` - `--start-ingestion` パラメータを指定すると、イベントデータストアが作成されたときにイベントデータストアでのイベントの取り込みが開始されます。このパラメータは、パラメータが追加されなくても設定されます。
イベントデータストアにライブイベントを取り込みたくない場合は `--no-start-ingestion` を指定します。例えば、イベントをイベントデータストアにコピーして、過去のイベントの分析にのみイベントデータを使用する予定があるときは、このパラメータを設定するとよいでしょう。`--no-start-ingestion` パラメータは、`eventCategory` が `Management`、`Data`、または `ConfigurationItem` である場合にのみ有効です。
次の例では、さまざまなタイプのイベントデータストアを作成する方法を示します。
**Topics**
+ [を使用して S3 データイベントのイベントデータストアを作成する AWS CLI](#lake-cli-create-eds-data)
+ [を使用して KMS ネットワークアクティビティイベントのイベントデータストアを作成する AWS CLI](#lake-cli-create-eds-network)
+ [を使用して AWS Config 設定項目のイベントデータストアを作成する AWS CLI](#lake-cli-create-eds-config)
+ [を使用して管理イベント用の組織イベントデータストアを作成する AWS CLI](#lake-cli-create-eds-org)
+ [を使用して Insights イベントのイベントデータストアを作成する AWS CLI](#lake-cli-insights)
## を使用して S3 データイベントのイベントデータストアを作成する AWS CLI
次の example AWS Command Line Interface (AWS CLI) **create-event-data-store** コマンドは、すべての Amazon S3 データイベントを選択し、KMS キーを使用して暗号化`my-event-data-store`される という名前のイベントデータストアを作成します。
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
]
}
]'
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
"UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}
```
## を使用して KMS ネットワークアクティビティイベントのイベントデータストアを作成する AWS CLI
次の例は、`VpceAccessDenied`ネットワークアクティビティイベントを含めるイベントデータストアを作成する方法を示しています AWS KMS。この例では、`errorCode` フィールドを `VpceAccessDenied` イベントに、`eventSource` フィールドを `kms.amazonaws.com` に指定します。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
コマンドは、次の出力例を返します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
ネットワークアクティビティイベントの詳細については、「[ネットワークアクティビティイベントのログ記録](logging-network-events-with-cloudtrail.md)」を参照してください。
## を使用して AWS Config 設定項目のイベントデータストアを作成する AWS CLI
次のコマンド例では AWS CLI **create-event-data-store**、 AWS Config 設定項目`config-items-eds`を選択する という名前のイベントデータストアを作成します。設定項目を収集するには、高度なイベントセレクタで `eventCategory` フィールドに対して Equals `ConfigurationItem` を指定します。
```
aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "config-items-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ConfigurationItem"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
"UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}
```
## を使用して管理イベント用の組織イベントデータストアを作成する AWS CLI
次のコマンド例では AWS CLI **create-event-data-store**、すべての管理イベントを収集し、 `--billing-mode`パラメータを に設定する組織イベントデータストアを作成します`FIXED_RETENTION_PRICING`。
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
## を使用して Insights イベントのイベントデータストアを作成する AWS CLI
CloudTrail Lake で Insights イベントをログに記録するには、Insights イベントを収集する送信先イベントデータストアと、Insights を有効にし、管理イベントをログに記録するソースイベントデータストアが必要です。
この手順では、送信先イベントデータストアとソースイベントデータストアを作成し、Insights イベントを有効にする方法を説明します。
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。`eventCategory` の値は `Insight` にする必要があります。*retention-period-days* を、イベントデータストアにイベントを保持する日数に置き換えます。有効な値は、`--billing-mode` が `EXTENDABLE_RETENTION_PRICING` の場合は 7 から 3653 までの整数で、`--billing-mode` が `FIXED_RETENTION_PRICING` に設定されている場合は 7 から 2557 までの整数です。`--retention-period` を指定しない場合、CloudTrail は `--billing-mode` のデフォルトの保持期間を使用します。
AWS Organizations 組織の管理アカウントでサインインしている場合は、[委任された管理者](cloudtrail-delegated-administrator.md)にイベントデータストアへのアクセスを許可する場合は、 `--organization-enabled`パラメータを含めます。
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
以下に、応答の例を示します。
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}
```
この応答の `ARN` (または ARN の ID サフィックス) は、ステップ 3 で `--insights-destination` パラメータの値として使用します。
1. 管理イベントをログ記録するソースイベントデータストアを作成するには、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。*retention-period-days* を、イベントデータストアにイベントを保持する日数に置き換えます。有効な値は、`--billing-mode` が `EXTENDABLE_RETENTION_PRICING` の場合は 7 から 3653 までの整数で、`--billing-mode` が `FIXED_RETENTION_PRICING` に設定されている場合は 7 から 2557 までの整数です。`--retention-period` を指定しない場合、CloudTrail は `--billing-mode` のデフォルトの保持期間を使用します。組織のイベントデータストアを作成する場合は、`--organization-enabled` パラメータを含めます。
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}
```
この応答の `ARN` (または ARN の ID サフィックス) は、ステップ 3 で `--event-data-store` パラメータの値として使用します。
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、`ApiCallRateInsight`、`ApiErrorRateInsight`、または両方になります。`--event-data-store` パラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。`--insights-destination` パラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
CloudTrail Insights は、グローバルではなく 単一のリージョンで発生する管理イベントを分析します。CloudTrail Insights イベントは、サポート対象の管理イベントが生成されるのと同じリージョンに生成されます。
組織のイベントデータストアの場合、CloudTrail は組織のすべての管理イベントの集計を分析する代わりに、各メンバーのアカウントからの管理イベントを分析します。
CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。