翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用して証跡イベントをイベントデータストアにインポートする AWS CLI
このセクションでは、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行してイベントデータストアを作成および設定する方法と、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html) コマンドを使用してそのイベントデータストアにイベントをインポートする方法について説明します。証跡イベントのインポートに関する詳細については、「[イベントデータストアへ証跡イベントをコピーします](cloudtrail-copy-trail-to-lake-eds.md)」を参照してください。
## 証跡イベントのインポートの準備
証跡イベントをインポートする前に、次の準備を行います。
+ 証跡イベントをイベントデータストアにインポートするのに[必要なアクセス許可](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)を持つロールを持っていることを確認してください。
+ イベントデータストアに指定する [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) の値を決定します。`--billing-mode` によって、イベントの取り込みと保存にかかるコスト、および、イベントデータストアでの保持期間のデフォルトと最大が決まります。
CloudTrail Lake に証跡イベントをインポートすると、CloudTrail は gzip (圧縮) 形式で保存されているログを解凍します。次に CloudTrail はログに含まれているイベントをイベントデータストアにコピーします。非圧縮データのサイズは、実際の Amazon S3 ストレージサイズよりも大きくなる可能性があります。非圧縮データのサイズを概算するには、S3 バケット内のログのサイズに 10 を掛けます。この見積もりを使用して、ユースケースに合った `--billing-mode` の値を選択できます。
+ 指定する `--retention-period` の値を決定します。CloudTrail は、`eventTime` が指定された保存期間より古い場合はイベントをコピーしません。
適切な保持期間を決定するには、次の式に示すように、コピーしたい最も古いイベントの日数と、イベントデータストアにイベントを保持したい日数の合計を計算します。
**保持期間** = *最も古いイベントの日数* \$1 *保持する日数*
例えば、コピーする最も古いイベントが 45 日前のもので、そのイベントをイベントデータストアにさらに 45 日間保持したい場合は、保持期間を 90 日間に設定します。
+ 今後のイベントの分析にイベントデータストアを使用するかどうかを決定します。今後のイベントを取り込みたくない場合は、イベントデータストアを作成するときに `--no-start-ingestion` パラメータを含めます。デフォルトでは、イベントデータストアは作成されたときにイベントの取り込みを開始します。
## イベントデータストアを作成し、そのイベントデータストアに証跡イベントをインポートするには
1. **create-event-data-store** コマンドを実行して新しいイベントデータストアを作成します。この例では、コピーされる最も古いイベントが 90 日前のもので、イベントを 30 日間保持したいので、`--retention-period` は `120` に設定されています。今後のイベントは取り込みたくないので、`--no-start-ingestion` パラメータが設定されています。この例では、取り込むイベントデータは 25 TB 未満と予想されるため、デフォルト値の `EXTENDABLE_RETENTION_PRICING` を使用しているので、`--billing-mode` は設定されていません。
**注記**
証跡を置き換えるためにイベントデータストアを作成する場合は、証跡のイベントセレクタと一致するように `--advanced-event-selectors` を設定して、同じイベント範囲になるようにすることをお勧めします。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
最初の `Status` は `CREATED` なので、**get-event-data-store** コマンドを実行して取り込みが停止したことを確認します。
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
応答には `Status` が `STOPPED_INGESTION` になったことが表示され、イベントデータストアがライブイベントを取り込んでいないことが示されます。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. **start-import** コマンドを実行して、ステップ 1 で作成したイベントデータストアに証跡イベントをインポートします。`--destinations` パラメータの値として、イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。`--start-event-time` にはコピーする最も古いイベントの `eventTime` を指定し、`--end-event-time` にはコピーする最新のイベントの `eventTime` を指定します。には、証跡ログを含む SS3 バケットの S3 URI、S3 バケット AWS リージョン の 、および証跡イベントのインポートに使用されるロールの ARN `--import-source`を指定します。
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
以下に、応答の例を示します。
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) コマンドを実行して、インポートに関する情報を取得します。
```
aws cloudtrail get-import --import-id import-id
```
以下に、応答の例を示します。
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
インポートは、失敗がなかった場合、`COMPLETED` の `ImportStatus` で終了し、失敗があった場合、`FAILED` で終了します。
インポートに `FailedEntries` があった場合は、[https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) コマンドを実行して失敗のリストを返すことができます。
```
aws cloudtrail list-import-failures --import-id import-id
```
失敗したインポートを再試行するには、`--import-id` パラメータのみを指定して **start-import** コマンドを実行します。インポートを再試行すると、CloudTrail は失敗が発生した場所からインポートを再開します。
```
aws cloudtrail start-import --import-id import-id
```