コンソールで Insights イベントのイベントデータストアを作成する - AWS CloudTrail
Insights イベントをログに記録する送信先イベントデータストアを作成するにはInsights イベントを有効にするソースイベントデータストアを作成するには

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールで Insights イベントのイベントデータストアを作成する

AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、API コールレートと API エラーレートに関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。CloudTrail Insights は、ベースラインとも呼ばれる API コールレートと API エラーレートの通常のパターンを分析し、コール量またはエラーレートが通常のパターンから外れたときに Insights イベントを生成します。API コールレートの Insights イベントはwrite管理 APIs に対して生成され、API エラーレートの Insights イベントは readwrite管理 APIs。

CloudTrail Lake で Insights イベントを記録するには、Insights イベントをログ記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログ記録するソースイベントデータストアが必要です。

注記

API コールレートで Insights イベントをログに記録するには、ソースイベントデータストアがwrite管理イベントをログに記録する必要があります。API エラーレートで Insights イベントをログに記録するには、ソースイベントデータストアが readまたは write管理イベントをログに記録する必要があります。

ソースイベントデータストアで CloudTrail Insights を有効にしたときに CloudTrail が異常なアクティビティを検出すると、CloudTrail は Insights イベントを宛先イベントデータストアに配信します。CloudTrail イベントデータストアでキャプチャされる他のタイプのイベントとは異なり、Insights イベントは、アカウントの典型的な使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。

イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が最初の Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。

CloudTrail Insights は、イベントデータストアの各リージョンで発生する管理イベントを分析し、ベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。CloudTrail Insights イベントは、サポート管理イベントが生成されるのと同じリージョンで生成されます。

組織のイベントデータストアの場合、CloudTrail Insights は、各リージョンの組織内の各メンバーアカウントからの管理イベントを分析し、アカウントとリージョンのベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。

CloudTrail Lake での Insights イベントの取り込みには追加料金がかかります。証跡と CloudTrail Lake イベントデータストアの両方で Insights を有効にすると、別々に課金されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

Insights イベントをログに記録する送信先イベントデータストアを作成するには

Insights イベントデータストアを作成する場合、管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信する Insights タイプを指定することができます。または、Insights イベントデータストアを作成した後に、新規または既存のイベントデータストアで Insights を有効にし、そのイベントデータストアを送信先イベントデータストアとして選択することもできます。

この手順は、Insights イベントをログに記録する送信先イベントデータストアを作成する方法を示しています。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。イベントデータストアは指定された日数分、イベントデータを保存します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、「独自の を使用する AWS KMS key」を選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスの入力) で、エイリアスを alias/MyAliasName という形式で入力します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアを暗号化および復号化できるようにする必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーを設定する」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後で、KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、 AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) リソースポリシーを有効にする を選択して、リソースベースのポリシーをイベントデータストアに追加します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。たとえば、他のアカウントのルートユーザーがこのイベントデータストアにクエリを実行し、クエリ結果を表示できるようにするリソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

    リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

    イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    組織のイベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織のイベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、 の委任管理者アクセス許可から取得されます AWS Organizations。このポリシーは、組織イベントデータストアまたは組織への変更 (CloudTrail 委任管理者アカウントの登録または削除など) 後に自動的に更新されます。

  10. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

  11. [次へ] を選択して、イベントデータストアを設定します。

  12. [イベントの選択] ページで [AWS イベント] を選択し、次に [CloudTrail Insights イベント] を選択します。

  13. [CloudTrail Insights イベント] で、次の手順を実行します。

    1. 組織の委任された管理者にこのイベントデータストアへのアクセス権を付与する場合は、[委任された管理者アクセスを許可] を選択します。このオプションは、 AWS Organizations 組織の管理アカウントでサインインしている場合にのみ使用できます。

    2. (オプション) 管理イベントをログに記録する既存のソースイベントデータストアを選択し、受信したい Insights タイプを指定します。

      ソースイベントデータストアを追加するには、次の手順を実行します。

      1. [ソースイベントデータストアを追加] を選択します。

      2. ソースイベントデータストアを選択します。

      3. 受信したい [Insights タイプ] を選択します。

        • ApiCallRateInsight – Insight タイプ ApiCallRateInsight は、ベースライン API コール量に対して 1 分ごとに集計された書き込み専用の管理 API コールを分析します。ApiCallRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] 管理イベントをログに記録する必要があります。

        • ApiErrorRateInsight – Insight タイプ ApiErrorRateInsight は、エラーコードを発生させた管理 API コールを分析します。API コールが失敗すると、エラーが表示されます。ApiErrorRateInsight で Insights を受信するには、ソースイベントデータストアが [書き込み] または [読み取り] の管理イベントをログに記録する必要があります。

      4. 受信したい Insights タイプを追加するには、前の 2 つのステップ (ii と iii) を繰り返します。

  14. [Next] (次へ) を選択して、選択内容を確認します。

  15. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  16. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

  17. ステップ 10 でソースイベントデータストアを選択しなかった場合は、Insights イベントを有効にするソースイベントデータストアを作成するには の手順に従ってソースイベントデータストアを作成します。

Insights イベントを有効にするソースイベントデータストアを作成するには

この手順は、Insights イベントを有効にするソースイベントデータストアを作成して管理イベントをログに記録する方法を示しています。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/cloudtrail/ で CloudTrail コンソールを開きます。

  2. ナビゲーションペインから [Lake] サブメニューを開き、[Event data stores] (イベントデータストア) を選択します。

  3. [Create event data store] (イベントデータストアの作成) をクリックします。

  4. [Configure event data store] (イベントデータストアの設定) ページの [General details] (全般的な詳細) で、イベントデータストアの名前を入力します。名前は必須です。

  5. イベントデータストアで使用したい [料金オプション] を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、ご使用のイベントデータストアでのデフォルトと最長の保持期間が決まります。詳細については、「AWS CloudTrail 料金表」と「CloudTrail Lake のコスト管理」を参照してください。

    以下のオプションが利用できます。

    • [1 年間の延長可能な保持料金] – 1 か月あたり取り込むイベントデータが 25 TB 未満で、最大 10 年間の柔軟な保存期間を希望する場合、一般的に推奨されます。最初の 366 日間 (デフォルトの保持期間) のストレージは、取り込み料金に含まれており追加料金はありません。366 日経過後は、保存期間を従量制料金で延長してご利用いただけます。これがデフォルトのオプションです。

      • デフォルトの保持期間: 366 日間

      • 最長保持期間: 3,653 日間

    • [7 年間の保持料金] – 1 か月あたり 25 TB を超えるイベントデータを取り込む予定で、最長 7 年間の保存期間が必要な場合に推奨されます。データの保持は取り込み料金に含まれており、追加料金は発生しません。

      • デフォルトの保持期間: 2,557 日間

      • 最長保持期間: 2,557 日間

  6. イベントデータストアの保存期間を日数単位で指定します。保持期間は、1 年間の延長可能な保持料金オプションの場合で 7 日から 3,653 日 (約 10 年)、7 年間の保持料金オプションでは 7 日から 2,557 日 (約 7 年) に設定できます。

    CloudTrail Lake は、イベントの eventTime が指定した保持期間内にあるかどうかを確認し、イベントを保持するかどうかを決定します。たとえば、90 日間の保持期間を指定した場合、eventTime が 90 日前よりも古くなると、 CloudTrail はイベントを削除します。

  7. (オプション) を使用して暗号化を有効にするには AWS Key Management Service、「独自の を使用する AWS KMS key」を選択します。新規 を選択して AWS KMS key を作成するか、既存 を選択して既存の KMS キーを使用します。[Enter KMS alias] (KMS エイリアスの入力) で、エイリアスを alias/MyAliasName という形式で入力します。独自の KMS キーを使用するには、KMS キーポリシーを編集して、イベントデータストアを暗号化および復号化できるようにする必要があります。詳細については、「CloudTrail の AWS KMS キーポリシーを設定する」を参照してください。CloudTrail は AWS KMS マルチリージョンキーもサポートしています。マルチリージョンキーの詳細については、AWS Key Management Service デベロッパーガイドの「マルチリージョンキーを使用する」を参照してください。

    独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後で、KMS キーを削除または変更することはできません。

    注記

    組織のイベントデータストアの AWS Key Management Service 暗号化を有効にするには、管理アカウントに既存の KMS キーを使用する必要があります。

  8. (オプション) Amazon Athena を使用してイベントデータに対しクエリを実行する場合は、[Lake クエリフェデレーション][有効] を選択します。フェデレーションを使用すると、 AWS Glue データカタログ内のイベントデータストアに関連するメタデータを表示したり、Athena のイベントデータに対して SQL クエリを実行したりできます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。詳細については、「イベントデータストアのフェデレーション」を参照してください。

    Lake クエリフェデレーションを有効にするするには、[有効] を選択した後に、以下の操作を実行します。

    1. 新しいロールを作成するか、既存の IAM ロールを使用するかを選択します。 AWS Lake Formation は、このロールを使用してフェデレーションイベントデータストアのアクセス許可を管理します。CloudTrail コンソールを使用して新しいロールを作成すると、必要なアクセス許可を付与したロールが CloudTrail により自動的に作成されます。既存のロールを選択する場合は、そのロールのポリシーが必要最小限のアクセス許可を提供していることを確認してください。

    2. 新しいロールを作成する場合は、そのロールを識別する名前を指定します。

    3. 既存のロールを使用している場合は、使用したいロールを選択します。ロールは、ご自身のアカウント内に存在する必要があります。

  9. (オプション) リソースポリシーを有効にする を選択して、リソースベースのポリシーをイベントデータストアに追加します。リソースベースのポリシーにより、どのプリンシパルがイベントデータストアでアクションを実行できるかを制御できます。たとえば、他のアカウントのルートユーザーがこのイベントデータストアにクエリを実行し、クエリ結果を表示できるようにするリソースベースのポリシーを追加できます。エンドポイントポリシーの例については、「イベントデータストアのリソースベースのポリシーの例」を参照してください。

    リソースベースのポリシーには 1 つ以上のステートメントが含まれます。ポリシー内の各ステートメントは、イベントデータストアへのアクセスを許可または拒否されるプリンシパルと、プリンシパルがイベントデータストアリソースに対して実行できるアクションを定義します。

    イベントデータストアのリソースベースのポリシーでは、次のアクションがサポートされています。

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    組織のイベントデータストアの場合、CloudTrail は、委任管理者アカウントが組織のイベントデータストアで実行できるアクションを一覧表示するデフォルトのリソースベースのポリシーを作成します。このポリシーのアクセス許可は、 の委任管理者アクセス許可から取得されます AWS Organizations。このポリシーは、組織イベントデータストアまたは組織への変更 (CloudTrail 委任管理者アカウントの登録または削除など) 後に自動的に更新されます。

  10. (オプション) [Tag] (タグ) セクションでは、イベントデータストアへのアクセスを特定、ソート、および制御できるようにするタグキーのペアを最大 50 個追加することができます。タグに基づいてイベントデータストアへのアクセスを認可するために IAM ポリシーを使用する方法の詳細については、「例: タグに基づいたイベントデータストアを作成または削除するためのアクセスの拒否」を参照してください。でタグを使用する方法の詳細については AWS、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

  11. [次へ] を選択して、イベントデータストアを設定します。

  12. [イベントの選択] ページで [AWS イベント] を選択し、次に [CloudTrail イベント] を選択します。

  13. [CloudTrail イベント] では、[管理イベント] を選択したままにします。

  14. イベントデータストアが AWS Organizations 内のすべてのアカウントからのイベントを収集するようにするには、[Enable for all accounts in my organization] (組織内のすべてのアカウントについて有効化) を選択します。Insights を有効にするイベントデータストアを作成するには、その組織の管理アカウントにサインインする必要があります。

  15. 追加設定を展開して、イベントデータストアがすべてのイベントを収集するか AWS リージョン、現在のイベントのみを収集するかを選択し AWS リージョン、イベントデータストアがイベントを取り込むかどうかを選択します。デフォルトでは、イベントデータストアはアカウントのすべてのリージョンからイベントを収集し、作成時にイベントの取り込みを開始します。

    1. 現在のリージョンでログに記録されたイベントのみを含める場合は、[イベントデータストアに現在のリージョンのみを含める] を選択します。このオプションを選択しない場合、イベントデータストアにはすべてのリージョンからのイベントが含まれます。

    2. [イベントを取り込む] は選択したままにします。

  16. Simple イベントコレクションまたは Advanced イベントコレクションから選択します。

    • すべてのイベントをログに記録する場合、読み取りイベントのみをログに記録する場合、または書き込みイベントのみをログに記録する場合は、[シンプルなイベント収集] を選択します。 AWS Key Management Service および Amazon RDS Data API イベントを除外することもできます。

    • eventNameeventTypeeventSourcesessionCredentialFromConsoleuserIdentity.arn などの高度なイベントセレクターフィールドの値に基づいて管理イベントを含めるか除外する場合は、[高度なイベント収集] を選択します。

  17. Simple イベントコレクションを選択した場合は、すべてのイベントをログに記録するか、読み込みイベントのみをログに記録するか、書き込みイベントのみをログに記録するかを選択します。 AWS KMS および Amazon RDS Data API イベントを除外することもできます。

  18. Advanced イベントコレクションを選択した場合は、次の選択を行います。

    1. ログセレクタテンプレートで、事前定義されたテンプレートを選択するか、カスタム を選択して、高度なイベントセレクタフィールドの値に基づいて独自のイベント収集条件を記述します。

      次の定義済みテンプレートから選択できます。

      • [すべてのイベントをログに記録する] – このテンプレートを選択すると、すべてのイベントを記録します。

      • [読み取りイベントのみをログに記録する] – このテンプレートを選択すると、読み取りイベントのみを記録します。読み取り専用イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。

      • [書き込みイベントのみをログに記録する] – このテンプレートを選択すると、書き込みイベントのみを記録します。書き込みイベントは、Put*Delete*Write* イベントなどのリソース、属性、アーティファクトを追加、変更、または削除します。

      • AWS Management Console イベントのみをログに記録する – このテンプレートを選択すると、 から発生したイベントのみをログに記録します AWS Management Console。

      • AWS のサービス 開始されたイベントを除外する – このテンプレートを選択すると、 eventTypeの を持つ AWS のサービス イベントとAwsServiceEvent、リンクされたロール (SLR) AWS のサービスで開始されたイベントを除外できます。 SLRs

    2. (オプション) [セレクタ名] に、セレクタを識別する名前を入力します。セレクタ名は、 AWS Management Console 「セッションから管理イベントをログに記録する」など、高度なイベントセレクタのわかりやすい名前です。セレクタ名は高度なイベントセレクタに Name としてリストされ、JSON ビューを展開すると確認できます。

    3. Custom を選択した場合、アドバンストイベントセレクタはアドバンストイベントセレクタフィールド値に基づいて式を構築します。

      注記

      セレクタは、 * のようなワイルドカードの使用をサポートしていません。複数の値を単一の条件と一致させるには、StartsWithEndsWith、、または を使用してNotStartsWith、イベントフィールドの開始または終了をNotEndsWith明示的に一致させることができます。

      1. 次のフィールドから選択します。

        • readOnly - readOnly は、[次と等しい] として true または false の値に設定できます。false に設定すると、イベントデータストアは書き込み専用の管理イベントをログに記録します。読み取り専用管理イベントは、Get* または Describe* イベントなど、リソースの状態を変更しないイベントです。書き込みイベントは、Put*Delete*Write* イベントなどのリソース、属性、アーティファクトを追加、変更、または削除します。読み取りイベントと書き込みイベントの両方を記録するには、readOnly セレクタを追加しないでください。

        • eventName - eventName では、任意の演算子を使用できます。これを使用して、CreateAccessPointGetAccessPoint などの管理イベントを含めたり除外したりします。

        • userIdentity.arn – 特定の IAM ID によって実行されたアクションのイベントを含めるか、除外します。詳細については、「CloudTrail userIdentity element」を参照してください。

        • sessionCredentialFromConsole – AWS Management Console セッションから発生するイベントを含めるか除外します。このフィールドは、true の値で [次と等しい] または [次と等しくない] に設定できます。

        • eventSource – これを使用して、特定のイベントソースを含めたり除外したりできます。は通常、スペースと を含まないサービス名の短い形式eventSourceです.amazonaws.com。例えば、eventSource[次と等しい]ec2.amazonaws.com に設定して、Amazon EC2 管理イベントのみをログに記録できます。

        • eventType – 含めるか除外する eventType。例えば、このフィールドを [次と等しくない]AwsServiceEvent に設定して、AWS のサービス イベントを除外できます。

      2. 各フィールドで [+ 条件] を選択し、必要な数の条件を追加します。すべての条件に対して最大 500 個の指定値を指定します。

        CloudTrail が複数の条件を評価する方法については、「CloudTrail がフィールドの複数の条件を評価する方法」を参照してください。

        注記

        イベントデータストア上のすべてのセレクターに対して、最大 500 の値を設定できます。これには、eventName などのセレクタの複数の値の配列が含まれます。すべてのセレクタに単一の値がある場合、セレクタに最大 500 個の条件を追加できます。

      3. [フィールドの追加] を選択し、必要に応じてフィールドを追加します。エラーを回避するには、フィールドに競合する値や重複する値を設定しないでください。

    4. オプションで、[JSON view] (JSON ビュー) を展開して、高度なイベントセレクタを JSON ブロックとして表示します。

  19. インサイトイベントキャプチャを有効にするを選択します。

  20. Insights イベントをログに記録する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「Insights イベントをログに記録する送信先イベントデータストアを作成するには」を参照してください。

  21. Insights タイプを選択します。[API コールレート][API エラー率] のいずれかまたは両方を選択できます。[API コール率] の Insights イベントをログに記録するには、[Write] 管理イベントをログ記録している必要があります。[API エラー率] の Insights イベントをログに記録するには、[Read] または [Write] 管理イベントをログ記録している必要があります。

  22. Next を選択して、リソースタグキーと IAM グローバル条件キーを追加してイベントを強化します。

  23. Enrich イベントで、最大 50 個のリソースタグキーと 50 個の IAM グローバル条件キーを追加して、イベントに関するメタデータを追加します。これにより、関連するイベントを分類してグループ化できます。

    リソースタグキーを追加すると、CloudTrail は API コールに関与したリソースに関連付けられた選択したタグキーを含めます。削除されたリソースに関連する API イベントにはリソースタグはありません。

    IAM グローバル条件キーを追加すると、CloudTrail には、プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加の詳細など、認可プロセス中に評価された選択した条件キーに関する情報が含まれます。

    リソースタグキーと IAM グローバル条件キーに関する情報は、イベントの eventContextフィールドに表示されます。詳細については、「リソースタグキーと IAM グローバル条件キーを追加して CloudTrail イベントを強化する」を参照してください。

    注記

    イベントにイベントリージョンに属さないリソースが含まれている場合、タグの取得はイベントリージョンに制限されているため、CloudTrail はこのリソースのタグを入力しません。

  24. イベントサイズの拡張 を選択して、イベントペイロードを 256 KB から最大 1 MB まで拡張します。このオプションは、リソースタグキーまたは IAM グローバル条件キーを追加して、追加されたすべてのキーがイベントに含まれていることを確認すると、自動的に有効になります。

    イベントサイズを拡張すると、イベントペイロードが 1 MB 未満であれば、次のフィールドの全内容を表示できるため、イベントの分析とトラブルシューティングに役立ちます。

    • annotation

    • requestID

    • additionalEventData

    • serviceEventDetails

    • userAgent

    • errorCode

    • responseElements

    • requestParameters

    • errorMessage

    これらのフィールドの詳細については、CloudTrail レコードの内容」を参照してください。

  25. [Next] (次へ) を選択して、選択内容を確認します。

  26. [Review and create] (確認と作成) ページで、選択内容を確認します。セクションを変更するには、[Edit] (編集) をクリックします。イベントデータストアを作成する準備が整ったら、[Create event data store] (イベントデータストアの作成) をクリックします。

  27. 新しいイベントデータストアが、[イベントデータストア] ページの [イベントデータストア] テーブルに表示されます。

    イベントデータストアは、この時点以降の高度なイベントセレクタに一致するイベントを取得します。ソースイベントデータストアで CloudTrail Insights を初めて有効にすると、その間に異常なアクティビティが検出された場合、CloudTrail が Insights イベントの配信を開始するまでに最大 7 日かかることがあります。

    送信先イベントデータストアの Insights イベントを可視化するために、CloudTrail Lake ダッシュボードを表示することができます。Lake ダッシュボードの詳細については、「CloudTrail Lake dashboards」を参照してください。

CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金については、「AWS CloudTrail の料金」を参照してください。