View a markdown version of this page

CloudTrail Lake の可用性の変更 - AWS CloudTrail
既存のイベントデータストアの継続的なサポート移行オプションアーキテクチャの比較移行手順その他のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail Lake の可用性の変更

注記

AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake に似た機能については、CloudWatch をご覧ください。

慎重に検討した結果、2026 年 5 月 31 日以降、新しいお客様に AWS CloudTrail Lake を閉鎖することを決定しました。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。

AWS CloudTrail Lake は、 および 以外のAWS からの監査ログをキャプチャ AWS 、保存、分析するためのマネージドソリューションを提供します。 AWS CloudTrail は既存のお客様が引き続き利用できますが、CloudTrail Lake は重要なバグ修正とセキュリティ更新のみを受け取ります。

このガイドでは、 AWS CloudTrail Lake のお客様向けの移行オプションについて説明します。

注記

AWS CloudTrail は引き続き完全にサポートされます。 AWS CloudTrail Lake のみが新規顧客に公開されなくなりました。 AWS CloudTrail 証跡、インサイト、集計イベントは影響を受けません。

既存のイベントデータストアの継続的なサポート

AWS CloudTrail Lake は、組織イベントデータストアとアカウントイベントデータストアの 2 種類のイベントデータストア (EDS) をサポートしています。継続的なサポートのレベルは、設定したタイプによって異なります。

  • 組織のイベントデータストア – Organization に組織レベルの EDS AWS がある場合、 AWS CloudTrail Lake は引き続き期待どおりに機能します。これには、組織に追加された新しいメンバーアカウントのサポートと、追加の への拡張が含まれます AWS リージョン。組織のイベントデータストアを作成する方法については、「」を参照してください組織のイベントデータストアを作成する

  • アカウントイベントデータストア – AWS Organization にアカウントレベルのイベントデータストアしかない場合、 AWS CloudTrail Lake は新しい への拡張を含め、これらの既存のアカウントを引き続きサポートします AWS リージョン。ただし、 AWS CloudTrail Lake は組織に追加された新しいアカウントの取り込みをサポートしていません。組織内の新しいアカウントの AWS CloudTrail Lake データをキャプチャするには、組織のイベントデータストアを作成するか、Amazon CloudWatch に移行する必要があります。

注記

Organization に新しいメンバーアカウントを追加する予定 AWS があり、 AWS CloudTrail Lake でそれらのアカウントを自動的にカバーする場合は、組織のイベントデータストアが設定されていることを確認してください。アカウントイベントデータストアは、新しく追加された組織メンバーアカウントにカバレッジを拡張しません。

移行オプション

AWS CloudTrail Lake Logs データを Amazon CloudWatch に移行することをお勧めします。

Amazon CloudWatch

  • Amazon CloudWatch は、セキュリティ、運用、コンプライアンスデータを 1 つのソリューションに統合し、柔軟な分析とシームレスな統合機能を提供します。お客様は、Open Cybersecurity Schema Framework (OCSF) 形式と Open Telemetry (OTel) 形式を組み込みサポートすることで、データを自動的に正規化して処理し、ソース間で一貫性を提供できるため、分析とインサイトに集中できます。

  • Amazon CloudWatch は、CloudTrail Lake の現在の機能を同等の価格で提供し、CloudTrail Lake のお客様からの上位のリクエストであった追加機能を備えています。これには、OpenSearch を使用したネイティブ分析、一般的なサードパーティーソース用の構築済みコネクタ、Apache Iceberg APIs を介したオープンアクセスが含まれます。

  • Amazon CloudWatch の使用を開始するには、「Amazon CloudWatch ユーザーガイド」の「CloudWatch パイプライン」を参照してください。 Amazon CloudWatch 料金の詳細については、CloudWatch の料金」を参照してください。

アーキテクチャの比較

現在の AWS CloudTrail Lake アーキテクチャは、イベントデータストアやクエリを通じて監査ログをキャプチャ、保存、分析するためのマネージドソリューションを提供します。このシステムは、 内の機能として動作します AWS CloudTrail。推奨される代替手段である Amazon CloudWatch は、CloudTrail ログをキャプチャ、保存、分析するコア機能を維持します。セキュリティ、オペレーション、コンプライアンスのデータを 1 つのソリューションに統合します。Amazon CloudWatch は、OpenSearch によるネイティブ分析、一般的なサードパーティーソース用の構築済みコネクタ、Apache Iceberg APIs を介したオープンアクセス、Open Cybersecurity Schema Framework (OCSF) および Open Telemetry (OTel) 形式の組み込みサポートなどの追加機能を提供します。

機能 CloudTrail Lake CloudWatch 詳細
データソース 3 AWS、16 サードパーティー 60 以上 AWS、12 件のサードパーティー CloudWatch は、VPC Flow、Lambda、EKS、ALB、NLB、CloudTrail (Network & Insights Events を除く) を含む 30 以上の AWS ソースをサポートしています。
クロスアカウント/クロスリージョンの有効化 はい 部分的 CloudWatch Ingestion はアカウント間の有効化をサポートしていますが、リージョンごとに個別の有効化が必要です。
クロスアカウント/クロスリージョンの一元化 はい はい 1 つのアカウントとリージョンでアカウントとリージョン間のログの集約を有効にします。
CloudTrail 安全機能 – 遅延イベントの取り込み、終了保護、イミュータビリティ はい はい CloudWatch は、CW Ingestion を介した CloudTrail イベント/データのみをサポートします (証跡はサポートしません)。
データ変換とエンリッチメント 制限あり はい CloudWatch は、キーソースのマネージド OCSF 変換と残りのソースのカスタム変換をサポートしています。
ネイティブ分析 はい はい CloudTrail Lake は、Athena による SQL In-place クエリをサポートしています。CloudWatch は、OpenSearch による Logs QL、SQL、PPL In-place クエリをサポートしています。
ネストされた SQL はい なし CloudTrail Lake は、複雑なネストされた SQL クエリをサポートします。
3P 分析 はい はい CloudWatch は、Amazon S3 Tables と SageMaker AI Unified Studio を介して、選択した 3P ツールを使用してインプレースクエリをサポートします。 SageMaker
他の AWS 送信先または 3P ツールへのデータエクスポート はい はい CloudWatch サブスクリプションフィルターと S3 テーブルコネクタを介してデータを送信できます。
追加の分析 いいえ はい CloudWatch は、オブザーバビリティとセキュリティのユースケースに関するアラートとメトリクスをサポートしています。
CloudTrail のイベントセレクタ はい 制限あり CloudWatch は、CloudTrail データイベントのアドバンストセレクタをサポートしています。

移行手順

AWS は最近、履歴 CloudTrail Lake イベントデータストア (EDS) を Amazon CloudWatch に直接インポートできるようにすることで、運用データとセキュリティデータを統合するための簡単な方法を導入しました。この統合では、CloudWatch の新しい統合データ管理アーキテクチャを使用して、ログに 1 つのペインを提供します。

ベストプラクティス: パイロットアプローチ

履歴データのフルスケール移行を実行する前に、データの小さなサブセットを使用してパイロット移行を実行することを強くお勧めします。これにより、次のことが可能になります。

  • インポートされたログが CloudWatch に正しく表示されることを確認します。

  • クエリとダッシュボードが期待どおりに動作することを確認します。

  • IAM アクセス許可とロールが正しく設定されていることを確認します。

結果に満足したら、自信を持って履歴データセット全体を移行できます。

  • スキーマの検証: ログ形式が CloudWatch Logs で想定どおりに表示されることを確認します。

  • コスト管理: 24 時間のサンプルの量を見て、取り込みコストを見積もります。

  • クエリの検証: CloudWatch Logs Insights クエリをサンプルデータに対してテストし、モニタリングロジックがそのまま維持されていることを確認します。

履歴データセットを正常に移行したら、CloudWatch からの CloudTrail ログのライブ取り込みを有効にして、引き続きログをキャプチャできます。

注記

2023 年以前のデータは CloudTrail Lake から Amazon CloudWatch に移行されません。2023 年より前のイベントにアクセスする必要がある場合は、引き続き CloudTrail Lake 内で直接クエリを実行するか、Amazon S3 バケットに移動する必要があります。

前提条件

  • IAM アクセス許可: IAM ID に CloudTrail Lake (cloudtrail:GetEventDataStorecloudtrail:ListEventDataStore) と CloudWatch Logs (logs:CreateImportTask) の両方へのアクセス許可と IAM アクセス許可 (iam:ListRolesiam:CreateRole、) があることを確認しますiam:PassRole

  • サービスにリンクされたロール: CloudTrail では、ユーザーに代わってエクスポートを実行するために IAM ロールが必要です。これは、 コンソールでセットアッププロセス中に作成できます。

方法 1: CloudTrail コンソールの使用 (推奨)

これは、既存の Lake Event Data Store からデータをプッシュする最も直接的な方法です。

  1. CloudTrail コンソールを開きます。

  2. 左側のナビゲーションペインの Lake で、イベントデータストアを選択します。

  3. 移行するデータを含むイベントデータストアを選択します。

  4. 右上のアクションボタンを選択し、CloudWatch にエクスポートを選択します。

  5. エクスポート設定の構成:

    • 時間範囲: (パイロットに推奨) 履歴全体を選択する代わりに、狭いウィンドウ (過去 24 時間など) を選択して統合を検証します。検証したら、残りの履歴データのプロセスを繰り返します。

    • 送信先: 既存の CloudWatch Log Group を指定するか、新しいグループを作成します。

  6. IAM ロール: 既存の IAM ロールを選択するか、新しい IAM ロールの作成を選択して、CloudTrail が CloudWatch にログを配信できるようにします。 CloudTrail

  7. 設定を確認し、エクスポートを選択します。

方法 2: AWS CLI (create-import-task) を使用する

この方法では、履歴イベントデータの取り込みをプログラムでトリガーできます。

ステップ 1: ソース ARN を特定する

CloudTrail Lake Event Data Store の Amazon リソースネーム (ARN) が必要です。これは、CloudTrail コンソールまたは を実行して確認できますaws cloudtrail list-event-data-stores

ステップ 2: インポートタスクを作成する

logs サービスを使用してタスクを作成します。イベントデータストアのソース ARN を指定する必要があります。

aws logs create-import-task \
    --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \
    --import-role-arn "arn:aws:iam::account-id:role/role-name" \
    --import-filter '{"startEventTime": START_TIME, "endEventTime": END_TIME}'

パラメータ :

  • --import-source-arn: 履歴ログを含む CloudTrail Lake Event Data Store の ARN。

  • --import-role-arn: 正しいアクセス許可を持つ IAM ロールの ARN。

  • --import-filter: インポートするイベントの開始時刻と終了時刻を指定するオプションのオブジェクト。

ステップ 3: タスクステータスをモニタリングする

インポートは非同期であるため、 describe-import-tasks コマンドを使用して移行の進行状況を確認できます。

aws logs describe-import-tasks \
    --import-id "import-id"

その他のリソース