翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Detective での未処理のログのクエリ
<a name="query-raw-logs-detective"></a>

Detective を Security Lake と統合すると、Detective は AWS CloudTrail 管理イベントと Amazon Virtual Private Cloud (Amazon VPC) フローログに関連する raw ログを Security Lake から取得し始めます。

**注記**  
Detective で未処理のログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS サービスの使用料は、引き続き公開料金で適用されます。

AWS CloudTrail 管理イベントは、次のプロファイルで使用できます。
+ AWS アカウント
+ AWS ユーザー
+ AWS ロール
+ AWS ロールセッション
+ Amazon EC2 インスタンス
+ Amazon S3 バケット
+ IP アドレス
+ Kubernetes クラスター
+ Kubernetes ポッド
+ Kubernetes の件名
+ IAM ロール
+ IAM ロールセッション
+ IAM ユーザー

Amazon VPC フローログは、以下のプロファイルで使用できます。
+ Amazon EC2 インスタンス
+ Kubernetes ポッド

Detective コンソールを使用して Amazon Security Lake で Amazon Detective を使用する方法のデモンストレーションについては、次の動画をご覧ください。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/A_EWd2lvVW0/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/A_EWd2lvVW0)


**AWS アカウントの未処理のログのクエリを実行するには**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[検索]** を選択して `AWS account` を検索します。

1. **[全体的な API 呼び出し量]** セクションで、**スコープ時間の詳細表示**を選択します。

1. ここで、**[未処理のログをクエリ]** を開始できます。

![\[[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/query-raw-logs-awsaccount.png)


**[未処理のログのプレビュー]** テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。

![\[[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/query-raw-log-table.png)


[未処理のログをクエリ] テーブルで、**[クエリリクエストをキャンセル]**、**[Amazon Athena で結果を表示]**、**[結果をダウンロード]** (カンマ区切り値 (.csv) ファイル) を実行できます。

Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。
+ 未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後でもう一度お試しください。
+ Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。

**Topics**
+ [AWS ロールの raw ログのクエリ](#query-log-geo-location)
+ [Amazon EKS クラスターの raw ログのクエリ](#query-log-eks-cluster)
+ [Amazon EC2 インスタンスの raw ログのクエリ](#query-log-vpc)

## AWS ロールの raw ログのクエリ
<a name="query-log-geo-location"></a>

新しい位置情報での AWS ロールのアクティビティを把握したい場合は、Detective コンソールで確認できます。



**AWS ロールの未処理のログのクエリを実行するには**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. 「Detective **Summary**」ページ**「Newly observed geolocations**」セクションで、 AWS ロールを書き留めます。

1. ナビゲーションペインで、**[検索]** を選択して `AWS role` を検索します。

1.  AWS ロールで、リソースを展開して、そのリソースによってその IP アドレスから発行された特定の API コールを表示します。

1. 調査する API コールの横にある拡大鏡アイコンを選択し、**[未処理のログのプレビュー]** テーブルを開きます。  
![\[[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/query-raw-logs-awsrole.png)

## Amazon EKS クラスターの raw ログのクエリ
<a name="query-log-eks-cluster"></a>

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. 「Detective **Summary**」ページ「Container clusters with the most pods created」セクションから、Amazon EKS クラスターに移動します。 ****

1. **Amazon EKS クラスターの詳細**ページで、**Kubernetes API アクティビティ**タブを選択します。

1. **この Amazon EKS クラスターに関連する全体的な Kubernetes API アクティビティ**セクションで、**スコープ時間の詳細の表示**を選択します。

1. ここで、**[未処理のログをクエリ]** を開始できます。

## Amazon EC2 インスタンスの raw ログのクエリ
<a name="query-log-vpc"></a>



1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[検索]** を選択して `Amazon EC2 instance` を検索します。

1. **[全体的な VPC フロー量]**ペインで、調査する API コールの横にある拡大鏡アイコンを選択し、[**未処理のログのプレビュー**] テーブルを開きます。

1. ここで、**[未処理のログをクエリ]** を開始できます。  
![\[[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/query-raw-log-vpc.png)

**[未処理のログのプレビュー]** テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。

[未処理のログをクエリ] テーブルで、**[クエリリクエストをキャンセル]**、**[Amazon Athena で結果を表示]**、**[結果をダウンロード]** (カンマ区切り値 (.csv) ファイル) を実行できます。