翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 証跡の Insights イベントの表示
このセクションでは、CloudTrail Insights を有効にして、証跡の過去 90 日間の Insights イベントをルックアップする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「[イベントデータストアの Insights ダッシュボードの表示](insights-events-view-lake.md#insights-events-view-lake-dashboard)」を参照してください。
証跡の過去 90 日間の Insights イベントは、コンソールの **[Insights]** ページから表示、フィルタリング、ダウンロードできます。
過去 90 日間の Insights イベントをプログラムで取得できます。
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html) コマンドまたは [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API オペレーションを実行して AWS CLI 管理イベントをログに記録する証跡の場合。
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html) コマンドまたは [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html) API オペレーションを実行して AWS CLI データイベントをログに記録する証跡の場合。
証跡の Insights イベントレコードフィールドの説明については、「[証跡の Insights イベントの CloudTrail レコードコンテンツ](cloudtrail-insights-fields-trails.md)」を参照してください。
**注記**
Insights ****ページまたは AWS CLI `lookup-events` `list-insights-data` コマンドは、管理イベントまたはデータイベントをログ記録している証跡で Insights を有効にしている場合にのみ Insights イベントを一覧表示します。証跡で Insights を有効にする方法については、「[コンソールを使用して既存の証跡で CloudTrail Insights を有効にする](insights-events-enable.md#insights-events-enable-trail)」および「[を使用した証跡の Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)」を参照してください。
API コールレートで Insights イベントをログに記録するには、証跡が`write`管理イベントまたはデータイベントをログに記録する必要があります。API エラーレートで Insights イベントをログに記録するには、証跡がログ`read`、`write`管理、またはデータイベントを記録する必要があります。
**Topics**
+ [コンソールを使用して証跡の Insights イベントを表示する](view-insights-events-console.md)
+ [を使用した証跡の Insights イベントの表示 AWS CLI](view-insights-events-cli.md)
# コンソールを使用して証跡の Insights イベントを表示する
このセクションでは、CloudTrail コンソールの **[Insights]** ページから証跡の過去 90 日間の Insights イベントを表示、ルックアップ、ダウンロードする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「[イベントデータストアの Insights ダッシュボードの表示](insights-events-view-lake.md#insights-events-view-lake-dashboard)」を参照してください。
Insights イベントが証跡でログ記録されると、それらのイベントは [**インサイト**] ページに 90 日間表示されます。[**インサイト**] ページからイベントを手動で削除することはできません。証跡に対して有効な Insights イベントは、その証跡用に設定された Amazon S3 バケットに保存されるため、バケットから Insights イベントを削除すると、それらのイベントが削除されます。
証跡ログをモニタリングでき、CloudWatch Logs を有効にすることで、特定の Insights イベントの発生時に通知を受けることができます。詳細については、「[Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)」を参照してください。
**注記**
コンソールに Insights イベントを表示するには、証跡で CloudTrail Insights イベントを有効にする必要があります。その時間中に異常なアクティビティが検出された場合、CloudTrail が最初の Insights イベントを配信するまでに最大 36 時間かかることがあります。
Management events Insights の場合: API コールレートで Insights イベントをログに記録するには、証跡が`write`管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントを記録するには、証跡が `read` または `write` 管理イベントをログ記録している必要があります。
Data events Insights の場合: API コールレートまたは API エラーレートで Insights イベントをログに記録するには、証跡が `read` または `write` データイベントをログに記録する必要があります。
**Insights イベントを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/home/](https://console.aws.amazon.com/cloudtrail/home/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインで、**[Insights]** を選択して過去 90 日間にアカウントにログインしたすべての Insights イベントを表示します。**[ダッシュボード]** ページから最新の Insights イベントを 5 つ表示することもできます。
1. Insights ****ページで、管理イベント Insights またはデータイベント Insights タブのいずれかを選択できます。
1. Insights イベントは、イベントソース、イベント名、またはイベント ID でフィルタリングできます。Insights イベントのフィルタリングの詳細については、「[Insights イベントのフィルタリング](#filtering-insights-events)」を参照してください。
1. さらに、リストを**相対範囲**または**絶対範囲**に制限できます。
**Contents**
+ [Insights イベントのフィルタリング](#filtering-insights-events)
+ [Insights イベントの詳細の表示](#viewing-details-for-an-event)
+ [グラフのズーム、パン、ダウンロード](#viewing-insight-details-zoom)
+ [グラフの期間設定の変更](#viewing-insight-details-timespan)
+ [Insights イベントのダウンロード](#downloading-insights-events)
## Insights イベントのフィルタリング
デフォルトでは、**[Insights]** ページのイベントは、イベント開始時刻ごとに逆の時系列で表示されます。
次の 3 つの属性のいずれかを選択して、リストをフィルタリングできます。
**イベント名**
イベントの名前。通常、異常なレベルのアクティビティが記録された AWS API。
**イベントソース**
`iam.amazonaws.com` や など、リクエストが行われた AWS サービス`s3.amazonaws.com`。イベントソースでフィルタリングすることを選択すると、イベントソースのリストをスクロールできます。
**Event ID**
Insights イベントの ID。イベント ID は [**Insights**] ページのテーブルには表示されませんが、Insights イベントをフィルタリングできる属性です。Insights イベントを生成するために分析される管理イベントまたはデータイベントのイベント IDs は、IDs とは異なります。
![\[CloudTrail Insights イベントリストフィルター。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_events_filter.png)
次のリストは、イベントのフィルタリングできない属性を示しています。
**Insight タイプ**
CloudTrail Insights イベントのタイプで、**[API コール率]** または **[API エラー率]** のいずれかです。**API コールレート**インサイトタイプは、ベースライン API コールボリュームに対して 1 分ごとに集計される書き込み専用管理またはデータ API コールを分析します。**API エラー率**インサイトタイプは、エラーコードが発生する管理 API コールまたはデータ API コールを分析します。API 呼び出しに失敗すると、エラーが表示されます。
**イベント開始時間**
Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[**Insights**] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。
**ベースライン平均**
ベースラインは、API コールレートまたはエラーレートアクティビティの通常のパターンを表し、毎日計算されます。ベースライン平均は、Insights イベントの開始前の 7 日間でのこれらの毎日のベースラインの平均です。この期間は一般的に 7 日間ですが、CloudTrail は計算期間を整数日に丸めるため、正確なベースライン期間はわずかに異なる場合があります。
**インサイト平均**
Insights イベントをトリガーした API コールの平均数、または API コールで返された特定エラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした発生率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。
**レートの変化**
測定された**ベースライン平均**と**インサイト平均**の値 (割合) の差分。例えば、発生する `AccessDenied` エラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、**[Rate change]** (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。
選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。
次のステップでは、属性でフィルタリングする方法について説明します。
**属性でフィルタリングするには**
1. 属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、[**ルックアップ値を入力**] ボックスに値を入力するか、または選択します。
1. 属性フィルタを削除するには、属性フィルタボックスの右側にある [**X**] を選択します。
次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。
**開始と終了の日時ででフィルタリングするには**
1. **[日付けと時刻でフィルタリング]** から、次のいずれかを選択します。
+ **[絶対範囲]** - 特定の時間を選択できます。次のステップに進みます。
+ **[相対範囲]** - デフォルトで選択されます。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 3 に進みます。
1. **[絶対範囲]** に設定するには、次の操作を行います。
1. 時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、`yyyy/mm/dd` の形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値は `hh:mm:ss` の形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、**18:30:00** を入力します。
1. カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。**[Apply]** (適用) を選択します。
1. **[相対範囲]** を設定するには、次の操作を行います。
1. Insights イベントの開始時刻を基準としたプリセット期間を選択します。プリセットされた時間範囲は、30 分、1 時間、12 時間、または 1 日です。カスタムの時間範囲を指定するには、[**Custom**] を選択します。
1. 相対時間を設定したら、[**適用**] を選択します。
1. 時間範囲フィルタを削除するには、[**日時でフィルタリング**] ボックスの右側にあるカレンダーアイコンを選択し、[**クリアして却下**] を選択します。
## Insights イベントの詳細の表示
1. 結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。
![\[異常な API アクティビティを示す CloudTrail Insights 詳細ページ。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。
![\[Insights イベントにマウスカーソルを合わせると表示される Insights イベントの統計情報。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
では、次の情報が示されています。**追加情報**グラフの面積:
+ **Insights タイプ**。これは API コールレートまたは API エラーレートです。
+ **[トリガー]** (トリガー) これは、異常なアクティビティが発生したかどうかを判断するために分析された管理イベントまたはデータイベントを一覧表示する **Cloudtrail イベント**タブへのリンクです。
+ **1 分あたりの API コール** または **1 分あたりのエラー**
+ **Baseline average** (ベースライン平均) - アカウントの特定のリージョンで、過去約 7 日内に測定された、Insights イベント がログに記録された API での 1 分あたりの標準的な発生率。
+ **Insights average** (インサイト平均) - Insights イベントをトリガーしたこの API での 1 分あたりの発生率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした API での 1 分あたりの API コールまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティの期間における 1 分あたりの API コールまたはエラーの割合です。
+ **イベントソース** 異常な数の API コールまたはエラーがログに記録された AWS サービスエンドポイント。前の画像では、ソースは `ec2.amazonaws.com` で、これは Amazon EC2 のサービスエンドポイントです。
+ **Start event ID** (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。
+ **End event ID** (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。
+ **Shared event ID** (共有イベント ID) - Insights イベントでは、**共有イベント ID** は、Insights イベントの開始と終了のペアを一意的に識別するために CloudTrail Insights が生成する GUID です。**共有イベント ID** は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。
1. **[Attributions]** (属性) タブを選択して、ユーザーID、ユーザーエージェント、API コールレート Insight イベント、異常なベースラインアクティビティに相関するエラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [**属性**] タブのテーブルに表示されます。
1. [**CloudTrail events**] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトで、フィルターはすでに Insights イベント名に適用されています。これは関連する API の名前でもあります。**CloudTrail イベント**タブには、Insights イベントの開始時間 (マイナス 1 分) から終了時間 (プラス 1 分) の間に発生した、対象の API に関連する CloudTrail 管理イベントまたはデータイベントが表示されます。
グラフで他の Insights イベントを選択すると、[**CloudTrail イベント**] テーブルに表示されるイベントが変わります。これらのイベントは、より深い分析を実行して、Insights イベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。
関連する API のイベントだけでなく、Insights イベント期間中に記録されたすべての CloudTrail イベントを表示するには、フィルターをオフにします。
1. [**Insights event record**] タブを選択して、Insights の開始イベントと終了イベントを JSON 形式で表示します。
1. リンクされた [**イベントソース**] を選択すると、そのイベントソースによってフィルタリングされた [**インサイト**] ページに戻ります。
## グラフのズーム、パン、ダウンロード
右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。
![\[PNG としてダウンロード、ズーム、パン、ズームイン、ズームアウト、および軸のリセットコマンドツールバー。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。
+ **プロットを PNG としてダウンロード** - 詳細ページに表示されているグラフ画像をダウンロードし、PNG 形式で保存します。
+ **ズーム** - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。
+ **パン** - グラフをシフトして、隣接する日付または時刻を表示します。
+ **軸のリセット** - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。
## グラフの期間設定の変更
グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (*X* 軸上に示される選択したイベントの継続時間) を変更できます。
![\[Insights イベントのタイムスパンコントロール。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Insights イベントのダウンロード
記録された Insights イベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。
**注記**
CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。
1. ダウンロードするイベントのフィルタと時間範囲を指定します。例えば、イベント名 `StartInstances` を指定し、過去 12 時間のアクティビティの時間範囲を指定できます。
1. [**Download events**] 選択し、その後 [**Download as CSV**] または [**Download as JSON**] を選択します。ファイルを保存する場所を選択するプロンプトが表示されます。
**注記**
ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。
1. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。
1. ダウンロードをキャンセルする場合は、[**キャンセル**] を選択します。ダウンロードが完了する前にキャンセルした場合、ローカルコンピューター上の CSV ファイルまたは JSON ファイルにイベントの一部しか含まれていない可能性があります。
# を使用した証跡の Insights イベントの表示 AWS CLI
このセクションでは、 AWS CLI `lookup-events`および `list-insights-data` コマンドを使用して、Insights イベントを有効にした証跡の過去 90 日間の Insights イベントを検索する方法について説明します。証跡で CloudTrail Insights を有効にする方法については、「[を使用した証跡の Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)」を参照してください。
**注記**
`lookup-events` または `list-insights-data`コマンドを使用してイベントデータストアの Insights イベントを検索することはできませんが、CloudTrail Lake には Insights イベントデータストアのサンプルクエリが多数用意されています。詳細については、「[Insights イベントのサンプルクエリの表示](insights-events-view-lake.md#insights-events-lake-queries)」を参照してください。
`lookup-events` コマンドには以下のオプションがあります。
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
`list-insights-data` コマンドには以下のオプションがあります。
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
の使用に関する一般的な情報については AWS Command Line Interface、 [AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)を参照してください。
**Contents**
+ [前提条件](#aws-cli-prerequisites-for-insights)
+ [コマンドラインのヘルプを取得する](#getting-command-line-help-insights)
+ [管理イベントの Insights イベントの検索](#looking-up-management-insights-with-the-aws-cli)
+ [データイベントの Insights イベントの検索](#looking-up-data-insights-with-the-aws-cli)
+ [管理イベントが返す Insights イベントの数を指定する](#specify-the-number-of-management-insights-to-return)
+ [データイベントが返す Insights イベントの数を指定する](#specify-the-number-of-data-insights-to-return)
+ [時間範囲別の管理イベントの Insights イベントの検索](#look-up-management-insights-by-time-range)
+ [時間範囲によるデータイベントの Insights イベントの検索](#look-up-data-insights-by-time-range)
+ [属性による管理イベントの Insights イベントの検索](#look-up-management-insights-by-attributes)
+ [属性参照の例](#attribute-lookup-example-insights)
+ [ディメンション別のデータイベントの Insights イベントの検索](#look-up-data-insights-by-attributes)
+ [ディメンションルックアップの例](#dimension-lookup-example-insights)
+ [管理イベントの Insights イベントの結果の次のページを指定する](#specify-next-page-of-management-results)
+ [管理イベントの Insights イベントの結果の次のページを指定する](#specify-next-page-of-data-results)
+ [管理イベントの Insights イベントの ファイルから JSON 入力を取得する](#json-input-from-file-managemenet-insights)
+ [データイベントの Insights イベントの ファイルから JSON 入力を取得する](#json-input-from-file-data-insights)
+ [参照の出力フィールド](#view-insights-events-cli-output-fields)
## 前提条件
+ AWS CLI コマンドを実行するには、 をインストールする必要があります AWS CLI。詳細については、「[AWS CLIの使用を開始する](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)」を参照してください。
+ AWS CLI バージョンが 1.6.6 より大きいことを確認します。CLI のバージョンを確認するには、コマンドラインで **aws --version** を実行します。
+ AWS CLI セッションのアカウント、リージョン、デフォルトの出力形式を設定するには、 **aws configure** コマンドを使用します。詳細については、「[AWS コマンドラインインターフェイスの設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)」を参照してください。
+ API コール率に関する Insights イベントを記録するには、証跡が `write` 管理イベントをログ記録している必要があります。API エラー率に関する Insights イベントを記録するには、証跡が `read` または `write` 管理イベントをログ記録している必要があります。
**注記**
CloudTrail AWS CLI コマンドでは、大文字と小文字が区別されます。
## コマンドラインのヘルプを取得する
`lookup-events` のコマンドライン ヘルプを表示するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events help
```
## 管理イベントの Insights イベントの検索
最新の Insights イベントを 50 件表示するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight
```
返されるイベントは、次の例のようになります。
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
出力内の参照関連フィールドの説明については、このトピックの「[参照の出力フィールド](#view-insights-events-cli-output-fields)」を参照してください。Insights イベント内のフィールドの説明については、「[証跡の Insights イベントの CloudTrail レコードコンテンツ](cloudtrail-insights-fields-trails.md)」を参照してください。
## データイベントの Insights イベントの検索
最新の Insights イベントを 50 件表示するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
返されるイベントは、次の例のようになります。
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 管理イベントが返す Insights イベントの数を指定する
管理イベントが返す Insights イベントの数を指定するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
** のデフォルト値は 50 です。有効な値は 1 から 50 です。次の例では、1 件の結果が返されています。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## データイベントが返す Insights イベントの数を指定する
データイベントが返す Insights イベントの数を指定するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
** のデフォルト値は 50 です。有効な値は 1 から 50 です。次の例では、1 件の結果が返されています。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 時間範囲別の管理イベントの Insights イベントの検索
過去 90 日間の管理イベントの Insights イベントを検索できます。時間範囲を指定するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` を UTC で指定すると、指定された時刻かその後に発生した Insights イベントのみが返されます。指定された開始時刻が指定された終了時刻よりも後である場合は、エラーが返されます。
`--end-time ` を UTC で指定すると、指定された時刻かその前に発生した Insights イベントのみが返されます。指定された終了時刻が指定された開始時刻よりも前である場合は、エラーが返されます。
デフォルトの開始時刻は、過去 90 日間のうち、データが利用できる最も早い日付です。デフォルトの終了時刻は、現在の時刻に最も近いイベント発生時刻です。
すべてのタイムスタンプは UTC で表示されます。
## 時間範囲によるデータイベントの Insights イベントの検索
過去 90 日間のデータイベントの Insights イベントを検索できます。時間範囲を指定するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` を UTC で指定すると、指定された時刻かその後に発生した Insights イベントのみが返されます。指定された開始時刻が指定された終了時刻よりも後である場合は、エラーが返されます。
`--end-time ` を UTC で指定すると、指定された時刻かその前に発生した Insights イベントのみが返されます。指定された終了時刻が指定された開始時刻よりも前である場合は、エラーが返されます。
デフォルトの開始時刻は、過去 90 日間のうち、データが利用できる最も早い日付です。デフォルトの終了時刻は、現在の時刻に最も近いイベント発生時刻です。
すべてのタイムスタンプは UTC で表示されます。
## 属性による管理イベントの Insights イベントの検索
属性でフィルタリングするには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
各 **lookup-events** コマンドに対し、属性キーと値のペアを 1 つだけ指定できます。以下に、`AttributeKey` の有効な Insights イベント値を示します。値名では大文字と小文字が区別されます。
+ `EventId`
+ `EventName`
+ `EventSource`
`AttributeValue` の最大長は 2,000 文字です。次の文字 (「`_`」、「` `」、「`,`」、「`\\n`」) は、2,000 文字の制限のうちの 2 文字としてカウントされます。
### 属性参照の例
次のコマンド例では、`EventName` の値が `PutRule` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
次のコマンド例では、`EventId` の値が `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
次のコマンド例では、`EventSource` の値が `iam.amazonaws.com` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## ディメンション別のデータイベントの Insights イベントの検索
ディメンションでフィルタリングするには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
**list-insights-events** コマンドごとに指定できるディメンションのキーと値のペアは 1 つだけです。以下に、`DimensionKey` の有効な Insights イベント値を示します。値名では大文字と小文字が区別されます。
+ `EventId`
+ `EventName`
+ `EventSource`
`DimensionValue` の最大長は 2,000 文字です。次の文字 (「`_`」、「` `」、「`,`」、「`\\n`」) は、2,000 文字の制限のうちの 2 文字としてカウントされます。
### ディメンションルックアップの例
次のコマンド例では、`EventName` の値が `PutObject` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
次のコマンド例では、`EventId` の値が `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
次のコマンド例では、`EventSource` の値が `s3.amazonaws.com` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 管理イベントの Insights イベントの結果の次のページを指定する
`lookup-events` コマンドの次の結果ページを取得するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
このコマンドでは、** の値は、前のコマンドの出力の最初のフィールドから取得されます。
コマンド内で `--next-token` を使用する場合は、前のコマンドと同じパラメータを使用する必要があります。たとえば、次のコマンドを実行したとします。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
次の結果ページを取得する場合、コマンドは次のようになります。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 管理イベントの Insights イベントの結果の次のページを指定する
`list-insights-data` コマンドの次の結果ページを取得するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
このコマンドでは、** の値は、前のコマンドの出力の最初のフィールドから取得されます。
コマンド内で `--next-token` を使用する場合は、前のコマンドと同じパラメータを使用する必要があります。たとえば、次のコマンドを実行したとします。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
次の結果ページを取得する場合、コマンドは次のようになります。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 管理イベントの Insights イベントの ファイルから JSON 入力を取得する
AWS CLI 一部の AWS サービスの には、JSON テンプレートの生成`--cli-input-json`に使用できる `--generate-cli-skeleton`と の 2 つのパラメータがあり、これを変更して`--cli-input-json`パラメータへの入力として使用できます。このセクションでは、これらのパラメータを `aws cloudtrail lookup-events` で使用する方法について説明します。詳細については、「[AWS CLI スケルトンと入力ファイル](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)」を参照してください。
**JSON 入力をファイルから取得して Insights イベントを参照するには**
1. 次の例のように、`lookup-events` の出力をファイルにリダイレクトして、`--generate-cli-skeleton` で使用するための入力テンプレートを作成します。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
生成されるテンプレートファイル (この場合、LookupEvents.txt) は次のようになります。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. テキストエディタを使用し、必要に応じて JSON を変更します。JSON 入力には、指定された値のみが含まれている必要があります。
**重要**
空の値や Null 値は、使用する前にテンプレートからすべて削除する必要があります。
次の例では、時間範囲と、返される結果の最大数を指定しています。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 編集したファイルを入力として使用するには、次の例のように、構文 `--cli-input-json file://`** を使用します。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注記**
`--cli-input-json` と同じコマンドラインで、他の引数を使用することもできます。
## データイベントの Insights イベントの ファイルから JSON 入力を取得する
AWS CLI 一部の AWS サービスの には、JSON テンプレートの生成`--cli-input-json`に使用できる `--generate-cli-skeleton`と の 2 つのパラメータがあり、これを変更して`--cli-input-json`パラメータへの入力として使用できます。このセクションでは、これらのパラメータを `aws cloudtrail list-insights-data` で使用する方法について説明します。詳細については、「[AWS CLI スケルトンと入力ファイル](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)」を参照してください。
**JSON 入力をファイルから取得して Insights イベントを参照するには**
1. 次の例のように、`list-insights-data` の出力をファイルにリダイレクトして、`--generate-cli-skeleton` で使用するための入力テンプレートを作成します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
生成されたテンプレートファイル (この場合は ListInsightsData.txt) は次のようになります。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. テキストエディタを使用し、必要に応じて JSON を変更します。JSON 入力には、指定された値のみが含まれている必要があります。
**重要**
空の値や Null 値は、使用する前にテンプレートからすべて削除する必要があります。
次の例では、時間範囲と、返される結果の最大数を指定しています。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 編集したファイルを入力として使用するには、次の例のように、構文 `--cli-input-json file://`** を使用します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注記**
`--cli-input-json` と同じコマンドラインで、他の引数を使用することもできます。
## 参照の出力フィールド
**イベント**
指定された参照属性と時間範囲に基づく参照イベントのリストです。イベントリストは時刻でソートされ、最新のイベントが最初に表示されます。各エントリには、参照リクエストに関する情報と、取得された CloudTrail イベントの文字列表現が含まれます。
以下のエントリは、各参照イベント内のフィールドです。
**CloudTrailEvent**
返されたイベントのオブジェクト表現を含んだ JSON 文字列です。返される各要素については、「[ Record Body Contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)」を参照してください。
**EventId**
返されたイベントの GUID を含んだ文字列です。
**EventName**
返されたイベントの名前を含んだ文字列です。
**EventSource**
リクエストが行われた AWS サービス。
**EventTime**
イベントの日時です (UNIX 時刻形式)。
**リソース**
返されたイベントによって参照されるリソースのリストです。各リソースエントリは、リソースタイプとリソース名を指定します。
**ResourceName**
イベントによって参照されるリソースの名前を含んだ文字列です。
**ResourceType**
イベントによって参照されるリソースのタイプを含んだ文字列です。リソースタイプを特定できない場合は、null が返されます。
**ユーザー名**
返されたイベントに対するアカウントのユーザー名を含んだ文字列です。
**NextToken**
前の `lookup-events` コマンドから次の結果ページを取得するための文字列です。トークンを使用するには、パラメータが元のコマンドと同じである必要があります。`NextToken` エントリが出力に表示されない場合、返す結果はそれ以上存在しません。
CloudTrail Insights イベントの詳細については、このガイドの「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。