翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して証跡イベントをイベントデータストアにインポートする AWS CLI
このセクションでは、create-event-data-store コマンドを実行してイベントデータストアを作成および設定する方法と、start-import コマンドを使用してそのイベントデータストアにイベントをインポートする方法について説明します。証跡イベントのインポートに関する詳細については、「証跡イベントをイベントデータストアにコピーする」を参照してください。
証跡イベントのインポートの準備
証跡イベントをインポートする前に、次の準備を行います。
-
証跡イベントをイベントデータストアにインポートするのに必要なアクセス許可を持つロールを持っていることを確認してください。
-
イベントデータストアに指定する --billing-mode の値を決定します。
--billing-modeによって、イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大が決まります。CloudTrail Lake に証跡イベントをインポートすると、CloudTrail は gzip (圧縮) 形式で保存されているログを解凍します。次に CloudTrail はログに含まれているイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。この見積もりを使用して、ユースケースに合った
--billing-modeの値を選択できます。 -
指定する
--retention-periodの値を決定します。CloudTrail は、eventTimeが指定された保存期間より古い場合はイベントをコピーしません。適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。
保持期間 =
最も古いイベントの日数+保持する日数例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
-
今後のイベントの分析にイベントデータストアを使用するかどうかを決定します。今後のイベントを取り込みたくない場合は、イベントデータストアを作成するときに
--no-start-ingestionパラメータを含めます。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。
イベントデータストアを作成し、そのイベントデータストアに証跡イベントをインポートするには
-
create-event-data-store コマンドを実行して新しいイベントデータストアを作成します。この例では、コピーされる最も古いイベントが 90 日前のもので、イベントを 30 日間保持したいので、
--retention-periodは120に設定されています。今後のイベントは取り込みたくないので、--no-start-ingestionパラメータが設定されています。この例では、取り込むイベントデータは 25 TB 未満と予想されるため、デフォルト値のEXTENDABLE_RETENTION_PRICINGを使用しているので、--billing-modeは設定されていません。注記
証跡を置き換えるためにイベントデータストアを作成する場合は、証跡のイベントセレクタと一致するように
--advanced-event-selectorsを設定して、同じイベント範囲になるようにすることをお勧めします。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion以下に、応答の例を示します。
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }最初の
StatusはCREATEDなので、get-event-data-store コマンドを実行して取り込みが停止したことを確認します。aws cloudtrail get-event-data-store --event-data-storeeds-id応答には
StatusがSTOPPED_INGESTIONになったことが表示され、イベントデータストアがライブイベントを取り込んでいないことが示されます。{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
start-import コマンドを実行して、ステップ 1 で作成したイベントデータストアに証跡イベントをインポートします。
--destinationsパラメータの値として、イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。--start-event-timeにはコピーする最も古いイベントのeventTimeを指定し、--end-event-timeにはコピーする最新のイベントのeventTimeを指定します。には、証跡ログを含む S3S3 バケットの S3 URI、S3 バケット AWS リージョン の 、および証跡イベントのインポートに使用されるロールの ARN--import-sourceを指定します。aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}以下に、応答の例を示します。
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
get-import コマンドを実行して、インポートに関する情報を取得します。
aws cloudtrail get-import --import-idimport-id以下に、応答の例を示します。
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }インポートは、失敗がなかった場合、
COMPLETEDのImportStatusで終了し、失敗があった場合、FAILEDで終了します。インポートに
FailedEntriesがあった場合は、list-import-failures コマンドを実行して失敗のリストを返すことができます。aws cloudtrail list-import-failures --import-idimport-id失敗したインポートを再試行するには、
--import-idパラメータのみを指定して start-import コマンドを実行します。インポートを再試行すると、CloudTrail は失敗が発生した場所からインポートを再開します。aws cloudtrail start-import --import-idimport-id
