翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudTrail の仕組み
を作成すると、CloudTrail **イベント履歴**に自動的にアクセスできます AWS アカウント。**[イベント履歴]** では、 AWS リージョンで過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。
AWS アカウント 過去 90 日間のイベントの継続的な記録については、証跡または CloudTrail Lake イベントデータストアを作成します。
**Topics**
+ [CloudTrail イベント履歴](#how-cloudtrail-works-eventhistory)
+ [CloudTrail Lake とイベントデータストア](#how-cloudtrail-works-lake)
+ [CloudTrail Lake ダッシュボード](#how-cloudtrail-works-lake-dashboards)
+ [CloudTrail 証跡](#how-cloudtrail-works-trails)
+ [CloudTrail Insights イベント](#how-cloudtrail-works-insights)
+ [CloudTrail チャネル](#how-cloudtrail-works-channels)
## CloudTrail イベント履歴
CloudTrail コンソールで、**[イベント履歴]** ページに移動すると、簡単に過去 90 日間の管理イベントを表示できます。[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html) コマンド、または [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API 操作を実行してイベント履歴を表示することもできます。**イベント履歴**内のイベントは、単一の属性でイベントをフィルタリングすることによって検索できます。詳細については、「[CloudTrail イベント履歴の操作](view-cloudtrail-events.md)」を参照してください。
**[イベント履歴]** はアカウント内に存在する証跡やイベントデータストアには接続されておらず、証跡やイベントデータストアに加えた設定変更の影響も受けません。
**[イベント履歴]** ページの閲覧または `lookup-events` コマンドの実行には、CloudTrail の料金はかかりません。
## CloudTrail Lake とイベントデータストア
[CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティ](query-event-data-store-cloudtrail.md)イベント)、[CloudTrail Insights イベント](query-event-data-store-insights.md)、[AWS Audit Manager 証拠](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 設定項目](query-event-data-store-config.md)、または[外部イベント AWS](event-data-store-integration-events.md)をログに記録するイベントデータストアを作成できます。
イベントデータストアは AWS リージョン、現在の または AWS アカウント AWS リージョン 内のすべての からのイベントをログに記録できます。外部から**統合**イベントをログ記録するために使用するイベントデータストアは、1 つのリージョンのみ AWS にする必要があります。マルチリージョンイベントデータストアにすることはできません。
で組織を作成した場合は AWS Organizations、*その組織内のすべてのアカウントのすべてのイベントをログに記録する組織イベントデータストア*を作成できます。 AWS 組織のイベントデータストアを、すべての AWS リージョンまたは現在のリージョンに適用できます。組織のイベントデータストアは管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定した場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは、組織のイベントデータストアを表示することも、これを変更または削除することもできません。組織のイベントデータストアを使用して、 の外部からイベントを収集することはできません AWS。詳細については、「[組織のイベントデータストアについて](cloudtrail-lake-organizations.md)」を参照してください。
デフォルトでは、イベントデータストア内のすべてのイベントは CloudTrail によって暗号化されます。イベントデータストアを設定するときに、独自の AWS KMS keyを使用するかどうかを選択できます。独自の KMS キーを使用すると、暗号化と復号の AWS KMS コストが発生します。イベントデータストアを KMS キーに関連付けた後に、その KMS キーを削除または変更することはできません。詳細については、「[AWS KMS キーを使用した CloudTrail ログファイル、ダイジェストファイル、イベントデータストアの暗号化 (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md)」を参照してください。
次の表は、イベントデータストアで実行できるタスクに関する情報を示しています。
| タスク | 説明 |
| --- | --- |
| [ダッシュボードの表示と作成](lake-dashboard.md) | CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベントトレンドを確認できます。マネージドダッシュボードを表示したり、カスタムダッシュボードを作成したり、**Highlights** ダッシュボードを有効にして、CloudTrail Lake によってキュレートおよび管理されるイベントデータのハイライトを表示したりできます。 |
| [管理イベントのログ記録](logging-management-events-with-cloudtrail.md) | 読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するようにイベントデータストアを設定します。イベントデータストアのデフォルトでは、管理イベントがログに記録されます。
管理イベントは、高度なイベントセレクタフィールド `eventName`、`eventSource`、`eventType`、`readOnly`、`sessionCredentialFromConsole`、および `userIdentity.arn` でフィルタリングできます。 |
| [データイベントのログを記録する](logging-data-events-with-cloudtrail.md) | [高度なイベントセレクタ](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)を使用して詳細なセレクタを作成し、関心のあるデータイベントのみをログに記録することができます。例えば、`eventName` フィールドでフィルタリングして特定の API コールのログ記録を含めたり除外することができ、これにより、コストを制御できます。詳細については、「[高度なイベントセレクタを使用してデータイベントをフィルタする](filtering-data-events.md)」を参照してください。 |
| [ネットワークアクティビティイベントのログ記録](logging-network-events-with-cloudtrail.md) | ネットワークアクティビティイベントのログを記録するようにイベントデータストアを設定します。高度なイベントセレクタを使用して、`eventName`、`errorCode`、および `vpcEndpointId` フィールドをフィルタリングし、関心のあるデータイベントのみをログ記録することができます。 |
| [Insights イベントのログを記録する](query-event-data-store-insights.md) | Insights イベントをログ記録するようにイベントデータストアを設定し、管理 API コールに関連する異常なアクティビティを特定し応答できるようにします。詳細については、「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)を参照してください。 |
| [証跡イベントのコピー](cloudtrail-copy-trail-to-lake-eds.md) | 証跡イベントを[新規](scenario-lake-import.md)または[既存](cloudtrail-copy-trail-events-lake.md)のイベントデータストアにコピーして、証跡にログが記録されたイベントのポイントインタイムスナップショットを作成できます。 |
| [イベントデータストアでのフェデレーションを有効にする](query-federation.md) | イベントデータストアをフェデレーションして、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)のイベントデータストアに関連付けられたメタデータを表示し、Amazon Athena を使用してイベントデータに対して SQL クエリを実行できます。 AWS Glue データカタログに保存されているテーブルメタデータにより、Athena クエリエンジンはクエリするデータを検索、読み取り、処理する方法を知ることができます。 |
| [イベントデータストアでのイベント取り込みを停止または開始する](query-eds-stop-ingestion.md) | CloudTrail の管理イベントとデータイベント、または AWS Config 設定項目を収集するイベントデータストアでのイベントの取り込みを停止および開始できます。 |
| [AWS外のイベントソースとの統合を作成する](query-event-data-store-integration.md) | CloudTrail Lake *統合*を使用して、オンプレミスまたはクラウド、仮想マシン AWS、コンテナでホストされている社内アプリケーションや SaaS アプリケーションなど、ハイブリッド環境の任意のソースから、 の外部からユーザーアクティビティデータをログに記録して保存できます。利用可能な統合パートナーの詳細については、「[AWS CloudTrail Lake Integrations](https://aws.amazon.com/cloudtrail/partners/)」を参照してください。 |
| [CloudTrail コンソールで Lake サンプルクエリを表示する](lake-console-queries.md) | CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。 |
| [クエリを作成または編集する](query-create-edit-query.md) | CloudTrail のクエリは SQL で作成されます。クエリは、CloudTrail Lake の **[Editor]** (エディタ) タブで、SQL でクエリを最初から記述するか、保存されたクエリ、またはサンプルクエリを開いて編集することによって構築できます。 |
| [クエリ結果を S3 バケットに保存する](query-run-query.md#scenario-lake-save-queries) | クエリの実行後に、クエリ結果をS3 バケットに保存できます。 |
| [保存されたクエリ結果のダウンロード](view-download-cloudtrail-lake-query-results.md#cloudtrail-download-lake-query-results) | 保存された CloudTrail Lake クエリ結果を含む CSV ファイルをダウンロードできます。 |
| [保存されたクエリ結果の検証](cloudtrail-query-results-validation.md) | CloudTrail がクエリ結果を S3 バケットに配信した後、クエリ結果が変更、削除、または変更されなかったかどうかを判断するには、CloudTrail クエリ結果の整合性の検証を使用することができます。 |
CloudTrail Lake の詳細については、「[AWS CloudTrail Lake の使用](cloudtrail-lake.md)」を参照してください。
CloudTrail Lake のイベントデータストアとクエリには料金が発生します。イベントデータストアを作成する際に、イベントデータストアに使用する[料金オプション](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)を選択します。料金オプションによって、イベントの取り込みと保存にかかる料金、および、そのイベントデータストアのデフォルトと最長の保持期間が決まります。Lake でクエリを実行すると、スキャンされたデータ量に基づいて料金が発生します。CloudTrail 料金の詳細については、 ユーザーガイドの「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」および「[CloudTrail Lake のコスト管理](cloudtrail-lake-manage-costs.md)」を参照してください。
## CloudTrail Lake ダッシュボード
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベントトレンドを確認できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。
+ **マネージドダッシュボード** - マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベントトレンドを確認できます。これらのダッシュボードは自動的に利用可能になり、CloudTrail Lake によって管理されます。CloudTrail は 14 種類のマネージドダッシュボードを提供しています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
+ **カスタムダッシュボード** - カスタムダッシュボードでは、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
+ **Highlights ダッシュボード** - Highlights ダッシュボードを有効にして、アカウントのイベントデータストアによって収集された AWS アクティビティの概要を一目で確認します。Highlights ダッシュボードは CloudTrail によって管理されており、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、アカウントごとに異なります。これらのウィジェットには、検出された異常なアクティビティや異常が表示される可能性があります。例えば、Highlights ダッシュボードには、**[合計クロスアカウントアクセスウィジェット]** を含めることができます。このウィジェットは、異常なクロスアカウントアクティビティが増加しているかどうかを示します。CloudTrail は 6 時間ごとに Highlights ダッシュボードをアップデートします。ダッシュボードには、前回のアップデートからのデータのうち最後の 24 時間分が表示されます。
各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリを表します。
詳細については、「[CloudTrail Lake ダッシュボード](lake-dashboard.md)」を参照してください。
## CloudTrail 証跡
*証跡*とは、指定した Amazon S3 バケットにイベントを配信できる設定のことです。[Amazon CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) および [Amazon EventBridge](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-eventbridge) を使用して、証跡のイベントを配信および分析することもできます。
証跡は、CloudTrail 管理イベント、データイベント、ネットワークアクティビティイベント、および Insights イベントをログに記録できます。
AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。
**マルチリージョン証跡**
マルチリージョン証跡を作成すると、CloudTrail は で[有効](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) AWS リージョン になっているすべての にイベントを記録 AWS アカウント し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、すべての有効になっているリージョンのアクティビティをキャプチャするからです。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョン証跡になります。を使用して、単一リージョンの証跡をマルチリージョンの証跡に変換できます AWS CLI。詳細については[マルチリージョン証跡とオプトインリージョンを理解する](cloudtrail-multi-region-trails.md)、[コンソールでの証跡の作成](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)、および[単一リージョンの証跡からマルチリージョンの証跡への変換](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)を参照してください。
**単一リージョンの証跡**
単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。 AWS CLIを使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、 AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「[を使用した証跡の作成、更新、管理 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md) 」を参照してください。
**注記**
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
で組織を作成した場合は AWS Organizations、その*組織内のすべてのアカウントのすべてのイベントを記録する組織の証跡*を作成できます。 AWS 組織の証跡は、すべての AWS リージョン、または現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。
デフォルトでは、CloudTrail コンソールで証跡を作成すると、イベントログファイルとダイジェストファイルは KMS キーで暗号化されます。**[SSE-KMS 暗号化]** を有効にしない場合、イベントログファイルとダイジェストファイルは Amazon S3 サーバー側の暗号化 (SSE) を使用して暗号化されます。 バケットにログファイルを任意の期間、保存することができます。また、Amazon S3 ライフサイクルのルールを定義して、自動的にログファイルをアーカイブまたは削除することもできます。ログファイルの配信と確認に関する通知が必要な場合は、Amazon SNS 通知を設定できます。
CloudTrail は、ログファイルを 1 時間に複数回、約 5 分ごとに発行します。これらのログファイルには、CloudTrail をサポートするアカウントのサービスからの API コールが含まれています。詳細については、「[CloudTrail がサポートされているサービスと統合](cloudtrail-aws-service-specific-topics.md)」を参照してください。
**注記**
CloudTrail は、通常、API コールから平均 5 分以内にログを配信します。この時間は保証されません。詳細については、「[AWS CloudTrail サービスレベルアグリーメント](https://aws.amazon.com/cloudtrail/sla)」をご覧ください。
証跡を不適切な設定 (S3 バケットに到達できない状態など) にすると、CloudTrail は 30 日間、S3 バケットへのログファイルの再配信を試みます。これらの配信試行イベントには標準の CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。
CloudTrail は、ユーザーまたは AWS のサービスによりユーザーに代わって直接行われたアクションをキャプチャします。例えば、 CloudFormation `CreateStack` 呼び出しにより、 CloudFormation テンプレートの必要に応じて Amazon EC2、Amazon RDS、Amazon EBS、またはその他の サービスへの追加の API 呼び出しが発生する可能性があります。この動作は正常であり、想定されています。アクションが CloudTrail イベントの `invokedby`フィールドを持つ AWS サービスによって実行されたかどうかを特定できます。
次の表は、証跡で実行できるタスクに関する情報を示しています。
| タスク | 説明 |
| --- | --- |
| [管理イベントのログ記録](logging-management-events-with-cloudtrail.md) | 読み取り専用、書き込み専用、またはすべての管理イベントをログに記録するように証跡を設定します。 |
| [データイベントのログを記録する](logging-data-events-with-cloudtrail.md) | [高度なイベントセレクタ](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)を使用して詳細なセレクタを作成し、関心のあるデータイベントのみをログに記録することができます。例えば、`eventName` フィールドでフィルタリングして特定の API コールのログ記録を含めたり除外することができ、これにより、コストを制御できます。詳細については、「[高度なイベントセレクタを使用してデータイベントをフィルタする](filtering-data-events.md)」を参照してください。 |
| [ネットワークアクティビティイベントのログ記録](logging-network-events-with-cloudtrail.md) | ネットワークアクティビティイベントを記録するように証跡を設定します。高度なイベントセレクタを設定して、`eventName`、`errorCode`、および `vpcEndpointId` フィールドをフィルタリングし、関心のあるデータイベントのみをログ記録することができます。 |
| [Insights イベントのログを記録する](logging-insights-events-with-cloudtrail.md) | 管理 API コールに関連する異常なアクティビティを特定して応答できるように、インサイトイベントを記録するように証跡を設定します。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。 |
| [Insights イベントの表示](view-insights-events.md) | 証跡で CloudTrail Insights を有効にした後、CloudTrail コンソールまたは AWS CLIを使用して最大 90 日間 Insights イベントを表示できます。 |
| [Insights イベントのダウンロード](view-insights-events-console.md#downloading-insights-events) | 証跡で CloudTrail Insights を有効にすると、過去 90 日間までの証跡の Insights イベントを含む CSV ファイルまたは JSON ファイルをダウンロードできます。 |
| [証跡イベントを CloudTrail Lake にコピーする](cloudtrail-copy-trail-to-lake.md) | 既存の証跡イベントを CloudTrail Lake イベントデータストアにコピーして、証跡に記録されたイベントのpoint-in-timeスナップショットを作成できます。 |
| [Amazon SNS トピックを作成してサブスクライブする](configure-sns-notifications-for-cloudtrail.md) | バケットへのログファイルの配信に関する通知を受信するにはトピックを受信登録します。Amazon SNS は、Amazon Simple Queue Service でのプログラムによる通知を含む複数の方法で通知できます。 すべてのリージョンのログファイル配信に関する SNS 通知を受信するときは、証跡の SNS トピックを 1 つのみ指定します。すべてのイベントをプログラムで処理する場合は、「[CloudTrail Processing Library の使用](use-the-cloudtrail-processing-library.md)」を参照してください。 |
| [ログファイルの表示](get-and-view-cloudtrail-log-files.md) | S3 バケットからログファイルを検索してダウンロードします。 |
| [CloudWatch Logs を使用したイベントのモニタリング](monitor-cloudtrail-log-files-with-cloudwatch-logs.md) | CloudWatch Logs にイベントを送信するように証跡を設定できます。CloudWatch Logs を使用して、アカウントで特定の API コールとイベントをモニタリングできます。 マルチリージョン証跡を、イベントを CloudWatch Logs ロググループに送信するように設定すると、CloudTrail は、すべてのリージョンから単一のロググループにイベントを送信します。 |
| [SSE-KMS 暗号化を有効にする](encrypting-cloudtrail-log-files-with-aws-kms.md) | KMS キーを使用してログファイルとダイジェストファイルを暗号化すると、CloudTrail データのセキュリティをさらに強化できます。 |
| [ログファイル整合性の有効化](cloudtrail-log-file-validation-intro.md) | ログファイルの整合性の検証により、CloudTrail によって配信されてからログファイルが変更されていないことを確認できます。 |
| [他の AWS アカウントアカウントとのログファイルの共有](cloudtrail-sharing-logs.md) | アカウント間でログファイルを共有することができます。 |
| [複数のアカウントからのログの集約](cloudtrail-receive-logs-from-multiple-accounts.md) | 複数のアカウントからのログファイルを単一のバケットに集約できます。 |
| [パートナーソリューションの使用](https://aws.amazon.com/cloudtrail/partners/) | CloudTrail と統合されたパートナーソリューションで CloudTrail 出力を分析します。パートナーソリューションでは、変更の追跡、トラブルシューティング、セキュリティ分析などの幅広い機能セットが提供されます。 |
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。Amazon S3 の料金に関する詳細については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
## CloudTrail Insights イベント
AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、API コールレートと API エラーレートに関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。CloudTrail Insights は、*ベースライン*とも呼ばれる API コール量と API エラー率の通常のパターンを分析し、コール量や API エラー率が通常のパターン外にある場合に Insights イベントを生成します。API コール率に関する Insights イベントは、`write` 管理 API に対して生成されます。一方、API エラー率に関する Insights イベントは、`read` と `write` の両方の管理 API に対して生成されます。
CloudTrail 証跡とイベントデータストアのデフォルトでは、Insights イベントはログに記録されません。証跡またはイベントデータストアを設定して、Insights イベントをログに記録するようにする必要があります。詳細については、「[CloudTrail コンソールを使用した Insights イベントのログ記録](insights-events-enable.md)」および「[を使用した Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md)」を参照してください。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
### 証跡の Insights イベントとイベントデータストアの表示
CloudTrail は証跡とイベントデータストアの両方で Insights イベントをサポートしていますが、Insights イベントを表示およびアクセスする方法にはいくつかの違いがあります。
**証跡の Insights イベントの表示**
証跡で Insights イベントを有効にしており、CloudTrail が異常なアクティビティを検出した場合、Insights イベントが証跡のための宛先 S3 バケットにある異なるフォルダまたはプレフィックスに記録されます。CloudTrail コンソールで Insights イベントを表示すると、インサイトのタイプとインシデント期間も確認できます。詳細については、「[コンソールを使用して証跡の Insights イベントを表示する](view-insights-events-console.md)」を参照してください。
証跡で CloudTrail Insights を初めて有効にした後、証跡で Insights イベントを有効にしてから CloudTrail が Insights イベントの配信を開始するまで、最大 36 時間かかる場合があります (その間に異常なアクティビティが検出された場合)。
**イベントデータストアの Insights イベントの表示**
CloudTrail Lake で Insights イベントを記録するには、Insights イベントをログ記録する送信先イベントデータストアと、Insights を有効にして管理イベントをログ記録するソースイベントデータストアが必要です。詳細については、「[コンソールで Insights イベントのイベントデータストアを作成する](query-event-data-store-insights.md)」を参照してください。
ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
ソースイベントデータストアで CloudTrail Insights を有効にしており、CloudTrail が異常なアクティビティを検出した場合、CloudTrail は送信先イベントデータストアに Insights イベントを配信します。その後、Insights イベントに関する情報を取得するために宛先のイベントデータストアにクエリを実行したり、オプションとしてクエリ結果を S3 バケットに保存したりできます。詳細については、「[CloudTrail コンソールを使用してトレイルを編集する](query-create-edit-query.md)」および「[CloudTrail コンソールにサンプルクエリを表示する](lake-console-queries.md)」を参照してください。
送信先イベントデータストアの **Insights イベント**を可視化するために、[Insights イベント] ダッシュボードを表示することができます。Lake ダッシュボードの詳細については、「[CloudTrail Lake ダッシュボード](lake-dashboard.md)」を参照してください。
## CloudTrail チャネル
CloudTrail は次の 2 つのタイプの*チャネル*をサポートしています。
**外のイベントソースとの CloudTrail Lake 統合のチャネル AWS**
CloudTrail Lake は*チャネル*を使用して、CloudTrail と連携する外部パートナー、または独自のソースから、 の外部から CloudTrail Lake AWS にイベントを取り込みます。チャネルを作成するときは、チャネルソースから送信されるイベントを保存するイベントデータストアを 1 つまたは複数選択します。送信先イベントデータストアがアクティビティイベントをログ記録するように設定している間は、必要に応じてチャネルの送信先イベントデータストアを変更できます。外部パートナーからのイベント用のチャネルを作成するときは、パートナーまたはソースアプリケーションにチャネル ARN を提供します。チャネルにアタッチされたリソースポリシーにより、ソースはチャネルを介してイベントを送信できます。詳細については、「*AWS CloudTrail API リファレンス*」の「[の外部でイベントソースとの統合を作成する AWS](query-event-data-store-integration.md)」および「[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateChannel.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateChannel.html)」を参照してください。
**サービスにリンクされたチャネル**
AWS のサービスは、ユーザーに代わって CloudTrail イベントを受信するサービスにリンクされたチャネルを作成できます。サービスにリンクされたチャネルを作成する AWS サービスは、チャネルの高度なイベントセレクタを設定し、チャネルがすべてのリージョンに適用されるか、現在のリージョンに適用されるかを指定します。
[CloudTrail コンソール](cloudtrail-service-linked-channels.md#viewing-service-linked-channels-console) または [AWS CLI](cloudtrail-service-linked-channels.md#viewing-service-linked-channels-cli) を使用して、 AWS のサービスが作成した CloudTrail サービスにリンクされたチャネルに関する情報を表示できます。