翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudTrail Insights の使用
AWS CloudTrail Insights は、CloudTrail 管理イベントとデータイベントを継続的に分析することで、API コールレートと API エラーレートに関連する異常なアクティビティ AWS を特定して応答するのに役立ちます。CloudTrail Insights は、過去の管理イベントとデータイベントを分析して、*ベースライン*とも呼ばれる API コールレートと API エラーレートの通常のパターンを確立します。その後、CloudTrail は、現在の API コール率またはエラー率がベースラインから逸脱したときに Insights イベントを生成します。
管理イベントとデータイベント用に 2 種類の Insights を収集できます。
**管理イベント Insights**
+ **API コール率** – ベースライン API コールボリュームに対して 1 分あたりに発生する書き込み専用管理 API コールの測定値。管理イベントの API コールレートで Insights イベントをログに記録するには、証跡またはイベントデータストアが Insights を有効にし、`write`管理イベントをログに記録する必要があります。
+ **API エラー率** – エラーコードが発生した管理 API コールの測定値。API 呼び出しに失敗すると、エラーが表示されます。API エラー率に関する Insights イベントをログ記録するには、証跡またはイベントデータストアで Insights が有効にされ、`read` または `write` の管理イベント、または `read` と `write` の管理イベントの両方がログ記録されている必要があります。
**データイベントインサイト**
+ **API コールレート** – ベースライン API コールボリュームに対して 1 分あたりに発生するデータ API コールの測定。API コールレートで Insights イベントをログに記録するには、証跡で Insights を有効にし、データイベントをログに記録する必要があります。
+ **API エラー率** – エラーコードが発生するデータ API コールの測定。API 呼び出しに失敗すると、エラーが表示されます。API エラーレートで Insights イベントをログに記録するには、証跡で Insights とログ`read`または`write`データイベント、または `read`と`write`データイベントの両方を有効にする必要があります。
**注記**
データイベントの Insights イベントは、証跡でのみサポートされ、イベントデータストアではサポートされません。
CloudTrail Insights は、各リージョンで発生する管理イベントとデータイベントを分析し、ベースラインから逸脱する異常なアクティビティが検出されると Insights イベントを生成します。CloudTrail Insights イベントは、サポートする管理イベントまたはデータイベントが生成されるのと同じリージョンで生成されます。
Insights イベントには追加料金が適用されます。証跡とイベントデータストアの両方で管理イベント Insights を有効にし、データイベント Insights を有効にすると、個別に課金されます。詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**Topics**
+ [Insights イベントのコスト](insights-events-costs.md)
+ [Insights イベントの配信](insights-events-understanding.md)
+ [CloudTrail コンソールを使用した Insights イベントのログ記録](insights-events-enable.md)
+ [を使用した Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md)
+ [証跡の Insights イベントの表示](view-insights-events.md)
+ [イベントデータストアの Insights イベントの表示](insights-events-view-lake.md)
# Insights イベントのコスト
**注記**
データイベントの Insights イベントは、証跡でのみサポートされます。
既存の証跡またはイベントデータストアで Insights イベントを有効にすると、CloudTrail は証跡またはイベントデータストアによって収集された過去 28 日間の管理イベントとデータイベントを分析して、通常のアクティビティのベースラインを確立します。最初のベースラインが作成されると、ベースラインは過去 28 日間のデータに対して毎日再計算されます。ベースライン分析には CloudTrail 料金はかかりません。
ベースライン分析の後、CloudTrail によって分析された将来の管理イベントとデータイベントに対して CloudTrail 料金が発生します。有効な Insights タイプについて分析された管理イベントとデータイベントの数に基づいて料金が発生します。
API コールレートと API エラーレートの両方をログに記録することを選択した場合、 `read`と 管理イベントを記録する証跡またはイベントデータストア`write`の管理イベントの Insights タイプは、記録された管理イベントの合計数よりも大きくなります。これは、CloudTrail が書き込み専用管理イベントを 2 回分析し、そのうち API コール率を計算するために 1 回、API エラー率を決定するために 1 回分析するからです。読み取り専用の管理イベントは、API エラー率を計算するために 1 回分析されます。
同様に、API コールレートと API エラーレートの両方をログに記録することを選択した場合、ログ`read`とデータイベントを記録する証跡`write`のデータイベントの Insights タイプは、分析されたイベントの合計数が、記録されたデータイベントの合計数よりも大きくなります。これは、CloudTrail がすべてのデータイベントを 2 回分析し、API コールレートを計算するために 1 回、API エラーレートを決定するために 1 回分析するためです。
請求書の管理イベントとデータイベントの Insights の料金を確認するには、それぞれ `InsightsEvents`と `DataInsightsEvents`の使用タイプを探します。詳細については、「[を使用した CloudTrail のコストと使用状況の表示 AWS Cost Explorer](cloudtrail-costs.md)」を参照してください。
証跡とイベントデータストアの両方に対して個別の Insights 料金が発生し、証跡に対しては個別のデータイベント Insights が発生します。料金の詳細については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**例 1 – 証跡で API コールレートと API エラーレートの管理イベントに関するインサイトを有効にする**
この最初の例では、証跡ログ管理イベントで Insights を有効にし、両方の Insights タイプを収集することを選択します。この例の証跡は、`read` と `write` の両方の管理イベントをログに記録しています。
+ CloudTrail は、過去 28 日間にログ記録された管理イベントを分析してベースラインを作成します。分析には CloudTrail 料金はかかりません。
+ ベースラインが作成されると、証跡は 300,000 の管理イベントをログに記録します。そのうち 270,000 が `read` 管理イベント、30,000 が `write` 管理イベントです。
+ `write` 管理イベントは 2 回分析されます。1 回は API コール率について、もう 1 回 は API エラー率についてです (30,000 \$1 2=60,000)。
+ `read` 管理イベントは、API エラー率 (270,000 \$11=270,000) について 1 回分析されます。
+ 分析された管理イベントの合計は 330,000 (60,000 \$1 270,000) です。この証跡の 330,000 の管理イベントの分析にはコストが発生します。別の証跡またはイベントデータストアで Insights を有効にすると、それぞれ個別に課金されます。
**例 2 – 2 つの証跡の管理イベントで Insights を有効にする**
次の例では、証跡 A と証跡 B の 2 つの証跡ログ管理イベントで Insights を有効にします。API コールレート Insights は証跡 A でのみ有効にし、API エラーレート Insights は証跡 B でのみ有効にします。証跡ログ`read`と`write`管理イベントの両方。
+ CloudTrail は、過去 28 日間にログ記録された `write` 管理イベントを分析してベースラインを作成します。分析には CloudTrail 料金はかかりません。
+ ベースラインが作成されると、証跡は 800,000 の管理イベントをログに記録します。そのうち 710,000 が `read` イベント、90,000 が `write` イベントです。
証跡 A では、次の分析が行われます。
+ `write` 管理イベントは、API コール率 (90,000 x 1=90,000) について 1 回分析されます。
+ CloudTrail は API コール率 Insights の `write` 管理イベントのみを分析するため、`read` 管理イベントは分析されません。
+ 分析された管理イベントの合計は 90,000 です。証跡 A の 90,000 件の管理イベントの分析にはコストが発生します。
証跡 B では、次の分析が行われます。
+ `write` 管理イベントは、API エラー率 (90,000 \$1 1=90,000) について 1 回分析されます。
+ `read` 管理イベントは、API エラー率 (710,000 \$11=710,000) について 1 回分析されます。
+ 分析された管理イベントの合計は 800,000 (90,000 \$1 710,000) です。証跡 B の 800,000 件の管理イベントの分析にはコストが発生します。
**例 3 – 証跡とイベントデータストアで API コールレートと API エラーレートの管理イベントに関するインサイトを有効にする**
この例では、証跡とイベントデータストアの両方のログ記録管理イベントで、Insights for API コールレートと API エラーレートを有効にします。証跡とイベントデータストアの両方が `read` と `write` 管理イベントをログに記録しています。証跡とイベントデータストアの両方で Insights を有効にしたため、それらに対して CloudTrail Insights の料金が発生します。
+ CloudTrail は、過去 28 日間にログ記録された管理イベントを分析してベースラインを作成します。分析には CloudTrail 料金はかかりません。
+ ベースラインが作成されると、証跡とイベントデータストアは 500,000 の管理イベントを記録します。そのうち 380,000 が `read` 管理イベント、120,000 が `write` 管理イベントです。
証跡では、次の分析が行われます。
+ `write` 管理イベントは証跡で 2 回分析されます。1 回は API コール率について、もう 1 回 は API エラー率についてです (120,000 \$1 2=240,000)。
+ `read` 管理イベントは、API エラー率 (380,000 \$11=380,000) の証跡について 1 回分析されます。
+ 証跡について分析された管理イベントの合計は 620,000 (240,000 \$1 380,000) です。証跡の 620,000 件の管理イベントの分析にはコストが発生します。
イベントデータストアでは、次の分析が行われます。
+ `write` 管理イベントはイベントデータストアで 2 回分析されます。1 回は API コール率について、もう 1 回 は API エラー率についてです (120,000 \$1 2=240,000)。
+ `read` 管理イベントは、API エラー率 (380,000 \$11=380,000) のイベントデータストアについて 1 回分析されます。
+ イベントデータストアについて分析された管理イベントの合計は 620,000 (240,000 \$1 380,000) です。イベントデータストアの 620,000 件の管理イベントの分析にはコストが発生します。
**例 4 – 管理イベントを有効にする Insights とデータイベント Insights for API コールレートと API エラーレートを証跡で有効にする**
この最後の例では、管理イベントとデータイベントに関するインサイトを有効にします。この例の証跡は、ログ記録`read`、`write`管理、データイベントです。
+ CloudTrail は、過去 28 日間に記録された管理イベントとデータイベントを分析して、ベースラインを作成します。分析には CloudTrail 料金はかかりません。
+ ベースラインが作成されると、証跡は 300,000 の管理イベントを記録します。そのうち 270,000 が読み取り管理イベント、30,000 が書き込み管理イベントです。また、証跡は 400,000 件のデータイベントを記録し、そのうち 340,000 件が読み取りデータイベント、60,000 件が書き込みデータイベントです。
+ `write` 管理イベントは 2 回分析されます。1 回は API コール率について、もう 1 回 は API エラー率についてです (30,000 \$1 2=60,000)。`read` 管理イベントは、API エラー率 (270,000 \$11=270,000) について 1 回分析されます。分析された管理イベントの合計は 330,000 (60,000 \$1 270,000) です。
+ `read` および `write` データイベントは、API コールレートに 1 回、API エラーレート (400,000 \$1 2) に 1 回、2 回分析されます。分析されたデータイベントの合計は 800,000 です。
+ この証跡の 1,130,000 件の管理イベントとデータイベントを分析すると、コストが発生します。
# Insights イベントの配信
CloudTrail がキャプチャする他のタイプのイベントとは異なり、Insights イベントは、アカウントでの API の使用状況が典型的なパターンと大きく異なるような変化を CloudTrail が検出した場合にのみログ記録されます。
CloudTrail がイベントを配信する場所と Insights イベントの受信に要する時間は、証跡とイベントデータストアの間で異なります。
**注記**
データイベントの Insights イベントは、証跡でのみサポートされます。
**証跡の Insights イベントの配信**
CloudTrail Insights イベントが有効で、かつ CloudTrail が異常なアクティビティを検出した場合、証跡のための宛先 S3 バケットにある `/CloudTrail-Insight` フォルダーに、Insights イベントが配信されます。証跡で CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 36 時間かかる場合があります (その間に異常なアクティビティが検出された場合)。
証跡で Insights イベントのログ記録を無効にした後にそのログ記録を再度有効化するか、証跡でログ記録を停止/再開した場合、CloudTrail が Insights イベントの配信を再開するまでに最大 36 時間かかることがあります (その間に異常なアクティビティが検出された場合)。
**イベントデータストアの Insights イベントの配信**
ソースイベントデータストアで Insights イベントを有効にすると、CloudTrail は Insights イベントを送信先イベントデータストアに配信します。ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が送信先のイベントデータストアへの Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
ソースイベントデータストアの Insights イベントログ記録をオフにしてから Insights イベントを再度有効にするか、ソースイベントデータストアでのイベントの取り込みを停止/再開した場合は、CloudTrail が Insights イベントの配信を再開するまでに最大 7 日間かかることがあります (その間に異常なアクティビティが検出された場合)。CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
# CloudTrail コンソールを使用した Insights イベントのログ記録
このセクションでは、CloudTrail コンソールを使用して、既存の証跡またはイベントデータストアで Insights イベントを有効にする方法について説明します。
Insights イベントをログ記録するために新しい証跡を作成する方法については、「[コンソールでの証跡の作成](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)」を参照してください。
Insights イベントを収集するために新しいイベントデータストアを作成する方法の詳細については、「[コンソールで Insights イベントのイベントデータストアを作成する](query-event-data-store-insights.md)」を参照してください。
**Topics**
+ [コンソールを使用して既存の証跡で CloudTrail Insights を有効にする](#insights-events-enable-trail)
+ [コンソールを使用して既存のイベントデータストアで CloudTrail Insights を有効にする](#insights-events-enable-lake)
## コンソールを使用して既存の証跡で CloudTrail Insights を有効にする
既存の証跡で CloudTrail Insights を有効にするには、次の手順を使用します。
1. CloudTrail コンソールの左のナビゲーションペインで [**証跡**] を選択し、証跡の名前を選択します。
1. [**Insights イベント**] で、[**編集**] を選択します。
**注記**
Insights イベントの記録には追加料金が適用されます。CloudTrail の料金については、「[AWS CloudTrail 料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
1. [**Event type**] (イベントタイプ) で、[**Insights events**] (Insights イベント) を選択します。
1. **Insights イベント**で**管理イベント**または**データイベント**を選択する
1. **Insights タイプ**で、**API コールレート、API エラーレート、**またはその両方を選択します。API **コールレート**の Insights イベントをログに記録するには、証跡が**書き込み**管理イベントまたはデータイベントをログに記録されている必要があります。API **エラー率**の Insights イベントをログに記録するには、証跡が**読み取り**または**書き込み**の管理またはデータをログに記録している必要があります。
1. **[変更を保存]** を選択して、変更を保存します。
証跡で Insights イベントを有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 36 時間かかる場合があります (その間に異常なアクティビティが検出された場合)。
## コンソールを使用して既存のイベントデータストアで CloudTrail Insights を有効にする
既存のイベントデータストアで CloudTrail Insights を有効にするには、以下の手順を使用します。
CloudTrail Lake 内の Insights イベントの取り込みには、追加料金が適用されます。証跡とイベントデータストアの両方で Insights を有効にすると、それぞれ個別に課金されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**注記**
CloudTrail Insights を有効にできるのは、CloudTrail 管理イベントを含むイベントデータストアだけです。他のタイプのイベントデータストアで、CloudTrail Insights を有効にすることはできません。
1. CloudTrail コンソールの左側にあるナビゲーションペインで、**[Lake]** の下にある **[イベントデータストア]** を選択します。
1. イベントデータストアの名前を選択します。
1. **[管理イベント]** で、**[編集]** を選択します。
1. **Insights イベントキャプチャを有効にする** を選択します。
1. Insights イベントを収集する送信先イベントストアを選択します。送信先イベントデータストアは、このイベントデータストア内の管理イベントアクティビティに基づいて Insights イベントを収集します。送信先イベントデータストアの作成方法については、「[Insights イベントをログに記録する送信先イベントデータストアを作成するには](query-event-data-store-insights.md#query-event-data-store-insights-procedure)」を参照してください。
1. Insights タイプを選択します。**[API コールレート]**、**[API エラー率]** のいずれかまたは両方を選択できます。**[API コール率]** の Insights イベントをログに記録するには、**[Write]** 管理イベントをログ記録している必要があります。**[API エラー率]** の Insights イベントをログに記録するには、**[Read]** または **[Write]** 管理イベントをログ記録している必要があります。
1. **[変更を保存]** を選択して、変更を保存します。
CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
# を使用した Insights イベントのログ記録 AWS CLI
AWS CLIを使用すると、Insights イベントをログ記録するように、証跡とイベントデータストアを設定できます。
**注記**
Management events Insights の場合: API コールレートで Insights イベントをログに記録するには、証跡またはイベントデータストアが`write`管理イベントをログに記録する必要があります。API エラーレートで Insights イベントをログに記録するには、証跡またはイベントデータストアがログ`read`または`write`管理する必要があります。
Data events Insights の場合: API コールレートまたは API エラーレートで Insights イベントをログに記録するには、証跡が `read`または `write` データイベントをログに記録する必要があります。
**Topics**
+ [を使用した証跡の Insights イベントのログ記録 AWS CLI](#insights-events-CLI-enable-trails)
+ [を使用したイベントデータストアの Insights イベントのログ記録 AWS CLI](#insights-events-CLI-enable-lake)
## を使用した証跡の Insights イベントのログ記録 AWS CLI
証跡の現在の Insights セレクタを返すには、`get-insight-selectors` コマンドを実行します。
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
次のレスポンス例は、`insights-trail` という名前の証跡の Insights セレクタを示しています。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
証跡で Insights が有効になっていない場合、**get-insight-selectors** コマンドは次のエラーメッセージを返します: GetInsightSelectors オペレーションを呼び出すときにエラーが発生しました (InsightNotEnabledException): Trail arn:aws:cloudtrail:us-east-1:123456789012:trail/trailName で Insights が有効になっていません。証跡の設定を編集して Insights を有効にしてから、もう一度操作を試してください。
Insights イベントをログに記録するように証跡を設定するには、`put-insight-selectors` コマンドを実行します。次に、 を含むように証跡を設定する方法の例を示します。Insights セレクターの値は、`ApiCallRateInsight`、`ApiErrorRateInsight`、または両方になります。各 InsightType は、EventCategory またはデータ EventCategory、またはその両方の管理に対して有効にできます。
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
次の結果は、証跡用に設定された Insights イベントセレクタを示しています。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## を使用したイベントデータストアの Insights イベントのログ記録 AWS CLI
イベントデータストアで Insights を有効にするには、管理イベントをログ記録するソースイベントデータストアと、Insights イベントをログ記録する送信先イベントデータストアが必要です。
イベントデータストアで Insights イベントが有効になっているかどうかを表示するには、**get-insight-selectors** コマンドを実行します。
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
イベントデータストアで、Insights イベントまたは管理イベントのどちらを受信するように構成されているかを表示するには、**get-event-data-store** コマンドを実行します。
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
イベントデータストアが Insights イベントを受信するように設定されている場合、その `eventCategory` は `Insight` に設定されます。
次の手順で、宛先とソースイベントデータストアを作成し、Insights イベントを有効にする方法を示します。
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行して、Insights イベントを収集する送信先イベントデータストアを作成します。`eventCategory` の値は `Insight` にする必要があります。*retention-period-days* を、イベントデータストアにイベントを保持する日数に置き換えます。
AWS Organizations 組織の管理アカウントでサインインしており、[委任管理者](cloudtrail-delegated-administrator.md)にイベントデータストアへのアクセス権を付与したい場合には、`--organization-enabled` パラメータを含めてください。
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
以下に、応答の例を示します。
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
この応答の `ARN` (または ARN の ID サフィックス) は、ステップ 3 で `--insights-destination` パラメータの値として使用します。
1. 管理イベントをログ記録するソースイベントデータストアを作成するには、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) コマンドを実行します。イベントデータストアのデフォルトでは、すべてのログ管理イベントをログ記録します。すべての管理イベントをログ記録するのであれば、高度なイベントセレクタを指定する必要はありません。*retention-period-days* を、イベントデータストアにイベントを保持する日数に置き換えます。組織のイベントデータストアを作成する場合は、`--organization-enabled` パラメータを含めます。
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
以下に、応答の例を示します。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
この応答の `ARN` (または ARN の ID サフィックス) は、ステップ 3 で `--event-data-store` パラメータの値として使用します。
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) コマンドを実行して Insights イベントを有効にします。Insights セレクターの値は、`ApiCallRateInsight`、`ApiErrorRateInsight`、または両方になります。`--event-data-store` パラメータには、管理イベントをログに記録して Insights を有効にするソースイベントデータストアの ARN (または ARN の ID サフィックス) を指定します。`--insights-destination` パラメータには、Insights イベントをログ記録する送信先イベントデータストアの ARN (または ARN の ID サフィックス) を指定します。
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
次の結果は、イベントデータストア用に設定された Insights イベントセレクタを表示しています。
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
イベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。
# 証跡の Insights イベントの表示
このセクションでは、CloudTrail Insights を有効にして、証跡の過去 90 日間の Insights イベントをルックアップする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「[イベントデータストアの Insights ダッシュボードの表示](insights-events-view-lake.md#insights-events-view-lake-dashboard)」を参照してください。
証跡の過去 90 日間の Insights イベントは、コンソールの **[Insights]** ページから表示、フィルタリング、ダウンロードできます。
過去 90 日間の Insights イベントをプログラムで取得できます。
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html) コマンドまたは [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API オペレーションを実行して AWS CLI 管理イベントをログに記録する証跡の場合。
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html) コマンドまたは [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html) API オペレーションを実行して AWS CLI データイベントをログに記録する証跡の場合。
証跡の Insights イベントレコードフィールドの説明については、「[証跡の Insights イベントの CloudTrail レコードコンテンツ](cloudtrail-insights-fields-trails.md)」を参照してください。
**注記**
Insights ****ページまたは AWS CLI `lookup-events` `list-insights-data` コマンドは、管理イベントまたはデータイベントをログ記録している証跡で Insights を有効にしている場合にのみ Insights イベントを一覧表示します。証跡で Insights を有効にする方法については、「[コンソールを使用して既存の証跡で CloudTrail Insights を有効にする](insights-events-enable.md#insights-events-enable-trail)」および「[を使用した証跡の Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)」を参照してください。
API コールレートで Insights イベントをログに記録するには、証跡が`write`管理イベントまたはデータイベントをログに記録する必要があります。API エラーレートで Insights イベントをログに記録するには、証跡がログ`read`、`write`管理、またはデータイベントを記録する必要があります。
**Topics**
+ [コンソールを使用して証跡の Insights イベントを表示する](view-insights-events-console.md)
+ [を使用した証跡の Insights イベントの表示 AWS CLI](view-insights-events-cli.md)
# コンソールを使用して証跡の Insights イベントを表示する
このセクションでは、CloudTrail コンソールの **[Insights]** ページから証跡の過去 90 日間の Insights イベントを表示、ルックアップ、ダウンロードする方法について説明します。イベントデータストアの CloudTrail Insights を表示する方法については、「[イベントデータストアの Insights ダッシュボードの表示](insights-events-view-lake.md#insights-events-view-lake-dashboard)」を参照してください。
Insights イベントが証跡でログ記録されると、それらのイベントは [**インサイト**] ページに 90 日間表示されます。[**インサイト**] ページからイベントを手動で削除することはできません。証跡に対して有効な Insights イベントは、その証跡用に設定された Amazon S3 バケットに保存されるため、バケットから Insights イベントを削除すると、それらのイベントが削除されます。
証跡ログをモニタリングでき、CloudWatch Logs を有効にすることで、特定の Insights イベントの発生時に通知を受けることができます。詳細については、「[Amazon CloudWatch Logs による CloudTrail ログファイルのモニタリング](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)」を参照してください。
**注記**
コンソールに Insights イベントを表示するには、証跡で CloudTrail Insights イベントを有効にする必要があります。その時間中に異常なアクティビティが検出された場合、CloudTrail が最初の Insights イベントを配信するまでに最大 36 時間かかることがあります。
Management events Insights の場合: API コールレートで Insights イベントをログに記録するには、証跡が`write`管理イベントをログに記録する必要があります。API エラー率に関する Insights イベントを記録するには、証跡が `read` または `write` 管理イベントをログ記録している必要があります。
Data events Insights の場合: API コールレートまたは API エラーレートで Insights イベントをログに記録するには、証跡が `read` または `write` データイベントをログに記録する必要があります。
**Insights イベントを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/home/](https://console.aws.amazon.com/cloudtrail/home/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインで、**[Insights]** を選択して過去 90 日間にアカウントにログインしたすべての Insights イベントを表示します。**[ダッシュボード]** ページから最新の Insights イベントを 5 つ表示することもできます。
1. Insights ****ページで、管理イベント Insights またはデータイベント Insights タブのいずれかを選択できます。
1. Insights イベントは、イベントソース、イベント名、またはイベント ID でフィルタリングできます。Insights イベントのフィルタリングの詳細については、「[Insights イベントのフィルタリング](#filtering-insights-events)」を参照してください。
1. さらに、リストを**相対範囲**または**絶対範囲**に制限できます。
**Contents**
+ [Insights イベントのフィルタリング](#filtering-insights-events)
+ [Insights イベントの詳細の表示](#viewing-details-for-an-event)
+ [グラフのズーム、パン、ダウンロード](#viewing-insight-details-zoom)
+ [グラフの期間設定の変更](#viewing-insight-details-timespan)
+ [Insights イベントのダウンロード](#downloading-insights-events)
## Insights イベントのフィルタリング
デフォルトでは、**[Insights]** ページのイベントは、イベント開始時刻ごとに逆の時系列で表示されます。
次の 3 つの属性のいずれかを選択して、リストをフィルタリングできます。
**イベント名**
イベントの名前。通常、異常なレベルのアクティビティが記録された AWS API。
**イベントソース**
`iam.amazonaws.com` や など、リクエストが行われた AWS サービス`s3.amazonaws.com`。イベントソースでフィルタリングすることを選択すると、イベントソースのリストをスクロールできます。
**Event ID**
Insights イベントの ID。イベント ID は [**Insights**] ページのテーブルには表示されませんが、Insights イベントをフィルタリングできる属性です。Insights イベントを生成するために分析される管理イベントまたはデータイベントのイベント IDs は、IDs とは異なります。
![\[CloudTrail Insights イベントリストフィルター。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_events_filter.png)
次のリストは、イベントのフィルタリングできない属性を示しています。
**Insight タイプ**
CloudTrail Insights イベントのタイプで、**[API コール率]** または **[API エラー率]** のいずれかです。**API コールレート**インサイトタイプは、ベースライン API コールボリュームに対して 1 分ごとに集計される書き込み専用管理またはデータ API コールを分析します。**API エラー率**インサイトタイプは、エラーコードが発生する管理 API コールまたはデータ API コールを分析します。API 呼び出しに失敗すると、エラーが表示されます。
**イベント開始時間**
Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[**Insights**] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。
**ベースライン平均**
ベースラインは、API コールレートまたはエラーレートアクティビティの通常のパターンを表し、毎日計算されます。ベースライン平均は、Insights イベントの開始前の 7 日間でのこれらの毎日のベースラインの平均です。この期間は一般的に 7 日間ですが、CloudTrail は計算期間を整数日に丸めるため、正確なベースライン期間はわずかに異なる場合があります。
**インサイト平均**
Insights イベントをトリガーした API コールの平均数、または API コールで返された特定エラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした発生率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。
**レートの変化**
測定された**ベースライン平均**と**インサイト平均**の値 (割合) の差分。例えば、発生する `AccessDenied` エラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、**[Rate change]** (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。
選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。
次のステップでは、属性でフィルタリングする方法について説明します。
**属性でフィルタリングするには**
1. 属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、[**ルックアップ値を入力**] ボックスに値を入力するか、または選択します。
1. 属性フィルタを削除するには、属性フィルタボックスの右側にある [**X**] を選択します。
次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。
**開始と終了の日時ででフィルタリングするには**
1. **[日付けと時刻でフィルタリング]** から、次のいずれかを選択します。
+ **[絶対範囲]** - 特定の時間を選択できます。次のステップに進みます。
+ **[相対範囲]** - デフォルトで選択されます。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 3 に進みます。
1. **[絶対範囲]** に設定するには、次の操作を行います。
1. 時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、`yyyy/mm/dd` の形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値は `hh:mm:ss` の形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、**18:30:00** を入力します。
1. カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。**[Apply]** (適用) を選択します。
1. **[相対範囲]** を設定するには、次の操作を行います。
1. Insights イベントの開始時刻を基準としたプリセット期間を選択します。プリセットされた時間範囲は、30 分、1 時間、12 時間、または 1 日です。カスタムの時間範囲を指定するには、[**Custom**] を選択します。
1. 相対時間を設定したら、[**適用**] を選択します。
1. 時間範囲フィルタを削除するには、[**日時でフィルタリング**] ボックスの右側にあるカレンダーアイコンを選択し、[**クリアして却下**] を選択します。
## Insights イベントの詳細の表示
1. 結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。
![\[異常な API アクティビティを示す CloudTrail Insights 詳細ページ。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。
![\[Insights イベントにマウスカーソルを合わせると表示される Insights イベントの統計情報。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
では、次の情報が示されています。**追加情報**グラフの面積:
+ **Insights タイプ**。これは API コールレートまたは API エラーレートです。
+ **[トリガー]** (トリガー) これは、異常なアクティビティが発生したかどうかを判断するために分析された管理イベントまたはデータイベントを一覧表示する **Cloudtrail イベント**タブへのリンクです。
+ **1 分あたりの API コール** または **1 分あたりのエラー**
+ **Baseline average** (ベースライン平均) - アカウントの特定のリージョンで、過去約 7 日内に測定された、Insights イベント がログに記録された API での 1 分あたりの標準的な発生率。
+ **Insights average** (インサイト平均) - Insights イベントをトリガーしたこの API での 1 分あたりの発生率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした API での 1 分あたりの API コールまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティの期間における 1 分あたりの API コールまたはエラーの割合です。
+ **イベントソース** 異常な数の API コールまたはエラーがログに記録された AWS サービスエンドポイント。前の画像では、ソースは `ec2.amazonaws.com` で、これは Amazon EC2 のサービスエンドポイントです。
+ **Start event ID** (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。
+ **End event ID** (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。
+ **Shared event ID** (共有イベント ID) - Insights イベントでは、**共有イベント ID** は、Insights イベントの開始と終了のペアを一意的に識別するために CloudTrail Insights が生成する GUID です。**共有イベント ID** は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。
1. **[Attributions]** (属性) タブを選択して、ユーザーID、ユーザーエージェント、API コールレート Insight イベント、異常なベースラインアクティビティに相関するエラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [**属性**] タブのテーブルに表示されます。
1. [**CloudTrail events**] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトで、フィルターはすでに Insights イベント名に適用されています。これは関連する API の名前でもあります。**CloudTrail イベント**タブには、Insights イベントの開始時間 (マイナス 1 分) から終了時間 (プラス 1 分) の間に発生した、対象の API に関連する CloudTrail 管理イベントまたはデータイベントが表示されます。
グラフで他の Insights イベントを選択すると、[**CloudTrail イベント**] テーブルに表示されるイベントが変わります。これらのイベントは、より深い分析を実行して、Insights イベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。
関連する API のイベントだけでなく、Insights イベント期間中に記録されたすべての CloudTrail イベントを表示するには、フィルターをオフにします。
1. [**Insights event record**] タブを選択して、Insights の開始イベントと終了イベントを JSON 形式で表示します。
1. リンクされた [**イベントソース**] を選択すると、そのイベントソースによってフィルタリングされた [**インサイト**] ページに戻ります。
## グラフのズーム、パン、ダウンロード
右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。
![\[PNG としてダウンロード、ズーム、パン、ズームイン、ズームアウト、および軸のリセットコマンドツールバー。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。
+ **プロットを PNG としてダウンロード** - 詳細ページに表示されているグラフ画像をダウンロードし、PNG 形式で保存します。
+ **ズーム** - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。
+ **パン** - グラフをシフトして、隣接する日付または時刻を表示します。
+ **軸のリセット** - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。
## グラフの期間設定の変更
グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (*X* 軸上に示される選択したイベントの継続時間) を変更できます。
![\[Insights イベントのタイムスパンコントロール。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Insights イベントのダウンロード
記録された Insights イベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。
**注記**
CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。
1. ダウンロードするイベントのフィルタと時間範囲を指定します。例えば、イベント名 `StartInstances` を指定し、過去 12 時間のアクティビティの時間範囲を指定できます。
1. [**Download events**] 選択し、その後 [**Download as CSV**] または [**Download as JSON**] を選択します。ファイルを保存する場所を選択するプロンプトが表示されます。
**注記**
ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。
1. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。
1. ダウンロードをキャンセルする場合は、[**キャンセル**] を選択します。ダウンロードが完了する前にキャンセルした場合、ローカルコンピューター上の CSV ファイルまたは JSON ファイルにイベントの一部しか含まれていない可能性があります。
# を使用した証跡の Insights イベントの表示 AWS CLI
このセクションでは、 AWS CLI `lookup-events`および `list-insights-data` コマンドを使用して、Insights イベントを有効にした証跡の過去 90 日間の Insights イベントを検索する方法について説明します。証跡で CloudTrail Insights を有効にする方法については、「[を使用した証跡の Insights イベントのログ記録 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)」を参照してください。
**注記**
`lookup-events` または `list-insights-data`コマンドを使用してイベントデータストアの Insights イベントを検索することはできませんが、CloudTrail Lake には Insights イベントデータストアのサンプルクエリが多数用意されています。詳細については、「[Insights イベントのサンプルクエリの表示](insights-events-view-lake.md#insights-events-lake-queries)」を参照してください。
`lookup-events` コマンドには以下のオプションがあります。
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
`list-insights-data` コマンドには以下のオプションがあります。
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
の使用に関する一般的な情報については AWS Command Line Interface、 [AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)を参照してください。
**Contents**
+ [前提条件](#aws-cli-prerequisites-for-insights)
+ [コマンドラインのヘルプを取得する](#getting-command-line-help-insights)
+ [管理イベントの Insights イベントの検索](#looking-up-management-insights-with-the-aws-cli)
+ [データイベントの Insights イベントの検索](#looking-up-data-insights-with-the-aws-cli)
+ [管理イベントが返す Insights イベントの数を指定する](#specify-the-number-of-management-insights-to-return)
+ [データイベントが返す Insights イベントの数を指定する](#specify-the-number-of-data-insights-to-return)
+ [時間範囲別の管理イベントの Insights イベントの検索](#look-up-management-insights-by-time-range)
+ [時間範囲によるデータイベントの Insights イベントの検索](#look-up-data-insights-by-time-range)
+ [属性による管理イベントの Insights イベントの検索](#look-up-management-insights-by-attributes)
+ [属性参照の例](#attribute-lookup-example-insights)
+ [ディメンション別のデータイベントの Insights イベントの検索](#look-up-data-insights-by-attributes)
+ [ディメンションルックアップの例](#dimension-lookup-example-insights)
+ [管理イベントの Insights イベントの結果の次のページを指定する](#specify-next-page-of-management-results)
+ [管理イベントの Insights イベントの結果の次のページを指定する](#specify-next-page-of-data-results)
+ [管理イベントの Insights イベントの ファイルから JSON 入力を取得する](#json-input-from-file-managemenet-insights)
+ [データイベントの Insights イベントの ファイルから JSON 入力を取得する](#json-input-from-file-data-insights)
+ [参照の出力フィールド](#view-insights-events-cli-output-fields)
## 前提条件
+ AWS CLI コマンドを実行するには、 をインストールする必要があります AWS CLI。詳細については、「[AWS CLIの使用を開始する](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)」を参照してください。
+ AWS CLI バージョンが 1.6.6 より大きいことを確認します。CLI のバージョンを確認するには、コマンドラインで **aws --version** を実行します。
+ AWS CLI セッションのアカウント、リージョン、デフォルトの出力形式を設定するには、 **aws configure** コマンドを使用します。詳細については、「[AWS コマンドラインインターフェイスの設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)」を参照してください。
+ API コール率に関する Insights イベントを記録するには、証跡が `write` 管理イベントをログ記録している必要があります。API エラー率に関する Insights イベントを記録するには、証跡が `read` または `write` 管理イベントをログ記録している必要があります。
**注記**
CloudTrail AWS CLI コマンドでは、大文字と小文字が区別されます。
## コマンドラインのヘルプを取得する
`lookup-events` のコマンドライン ヘルプを表示するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events help
```
## 管理イベントの Insights イベントの検索
最新の Insights イベントを 50 件表示するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight
```
返されるイベントは、次の例のようになります。
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
出力内の参照関連フィールドの説明については、このトピックの「[参照の出力フィールド](#view-insights-events-cli-output-fields)」を参照してください。Insights イベント内のフィールドの説明については、「[証跡の Insights イベントの CloudTrail レコードコンテンツ](cloudtrail-insights-fields-trails.md)」を参照してください。
## データイベントの Insights イベントの検索
最新の Insights イベントを 50 件表示するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
返されるイベントは、次の例のようになります。
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 管理イベントが返す Insights イベントの数を指定する
管理イベントが返す Insights イベントの数を指定するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
** のデフォルト値は 50 です。有効な値は 1 から 50 です。次の例では、1 件の結果が返されています。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## データイベントが返す Insights イベントの数を指定する
データイベントが返す Insights イベントの数を指定するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
** のデフォルト値は 50 です。有効な値は 1 から 50 です。次の例では、1 件の結果が返されています。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 時間範囲別の管理イベントの Insights イベントの検索
過去 90 日間の管理イベントの Insights イベントを検索できます。時間範囲を指定するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` を UTC で指定すると、指定された時刻かその後に発生した Insights イベントのみが返されます。指定された開始時刻が指定された終了時刻よりも後である場合は、エラーが返されます。
`--end-time ` を UTC で指定すると、指定された時刻かその前に発生した Insights イベントのみが返されます。指定された終了時刻が指定された開始時刻よりも前である場合は、エラーが返されます。
デフォルトの開始時刻は、過去 90 日間のうち、データが利用できる最も早い日付です。デフォルトの終了時刻は、現在の時刻に最も近いイベント発生時刻です。
すべてのタイムスタンプは UTC で表示されます。
## 時間範囲によるデータイベントの Insights イベントの検索
過去 90 日間のデータイベントの Insights イベントを検索できます。時間範囲を指定するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` を UTC で指定すると、指定された時刻かその後に発生した Insights イベントのみが返されます。指定された開始時刻が指定された終了時刻よりも後である場合は、エラーが返されます。
`--end-time ` を UTC で指定すると、指定された時刻かその前に発生した Insights イベントのみが返されます。指定された終了時刻が指定された開始時刻よりも前である場合は、エラーが返されます。
デフォルトの開始時刻は、過去 90 日間のうち、データが利用できる最も早い日付です。デフォルトの終了時刻は、現在の時刻に最も近いイベント発生時刻です。
すべてのタイムスタンプは UTC で表示されます。
## 属性による管理イベントの Insights イベントの検索
属性でフィルタリングするには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
各 **lookup-events** コマンドに対し、属性キーと値のペアを 1 つだけ指定できます。以下に、`AttributeKey` の有効な Insights イベント値を示します。値名では大文字と小文字が区別されます。
+ `EventId`
+ `EventName`
+ `EventSource`
`AttributeValue` の最大長は 2,000 文字です。次の文字 (「`_`」、「` `」、「`,`」、「`\\n`」) は、2,000 文字の制限のうちの 2 文字としてカウントされます。
### 属性参照の例
次のコマンド例では、`EventName` の値が `PutRule` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
次のコマンド例では、`EventId` の値が `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
次のコマンド例では、`EventSource` の値が `iam.amazonaws.com` である Insights イベントが返されます。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## ディメンション別のデータイベントの Insights イベントの検索
ディメンションでフィルタリングするには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
**list-insights-events** コマンドごとに指定できるディメンションのキーと値のペアは 1 つだけです。以下に、`DimensionKey` の有効な Insights イベント値を示します。値名では大文字と小文字が区別されます。
+ `EventId`
+ `EventName`
+ `EventSource`
`DimensionValue` の最大長は 2,000 文字です。次の文字 (「`_`」、「` `」、「`,`」、「`\\n`」) は、2,000 文字の制限のうちの 2 文字としてカウントされます。
### ディメンションルックアップの例
次のコマンド例では、`EventName` の値が `PutObject` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
次のコマンド例では、`EventId` の値が `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
次のコマンド例では、`EventSource` の値が `s3.amazonaws.com` である Insights イベントが返されます。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 管理イベントの Insights イベントの結果の次のページを指定する
`lookup-events` コマンドの次の結果ページを取得するには、次のコマンドを入力します。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
このコマンドでは、** の値は、前のコマンドの出力の最初のフィールドから取得されます。
コマンド内で `--next-token` を使用する場合は、前のコマンドと同じパラメータを使用する必要があります。たとえば、次のコマンドを実行したとします。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
次の結果ページを取得する場合、コマンドは次のようになります。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 管理イベントの Insights イベントの結果の次のページを指定する
`list-insights-data` コマンドの次の結果ページを取得するには、次のコマンドを入力します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
このコマンドでは、** の値は、前のコマンドの出力の最初のフィールドから取得されます。
コマンド内で `--next-token` を使用する場合は、前のコマンドと同じパラメータを使用する必要があります。たとえば、次のコマンドを実行したとします。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
次の結果ページを取得する場合、コマンドは次のようになります。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 管理イベントの Insights イベントの ファイルから JSON 入力を取得する
AWS CLI 一部の AWS サービスの には、JSON テンプレートの生成`--cli-input-json`に使用できる `--generate-cli-skeleton`と の 2 つのパラメータがあり、これを変更して`--cli-input-json`パラメータへの入力として使用できます。このセクションでは、これらのパラメータを `aws cloudtrail lookup-events` で使用する方法について説明します。詳細については、「[AWS CLI スケルトンと入力ファイル](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)」を参照してください。
**JSON 入力をファイルから取得して Insights イベントを参照するには**
1. 次の例のように、`lookup-events` の出力をファイルにリダイレクトして、`--generate-cli-skeleton` で使用するための入力テンプレートを作成します。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
生成されるテンプレートファイル (この場合、LookupEvents.txt) は次のようになります。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. テキストエディタを使用し、必要に応じて JSON を変更します。JSON 入力には、指定された値のみが含まれている必要があります。
**重要**
空の値や Null 値は、使用する前にテンプレートからすべて削除する必要があります。
次の例では、時間範囲と、返される結果の最大数を指定しています。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 編集したファイルを入力として使用するには、次の例のように、構文 `--cli-input-json file://`** を使用します。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注記**
`--cli-input-json` と同じコマンドラインで、他の引数を使用することもできます。
## データイベントの Insights イベントの ファイルから JSON 入力を取得する
AWS CLI 一部の AWS サービスの には、JSON テンプレートの生成`--cli-input-json`に使用できる `--generate-cli-skeleton`と の 2 つのパラメータがあり、これを変更して`--cli-input-json`パラメータへの入力として使用できます。このセクションでは、これらのパラメータを `aws cloudtrail list-insights-data` で使用する方法について説明します。詳細については、「[AWS CLI スケルトンと入力ファイル](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)」を参照してください。
**JSON 入力をファイルから取得して Insights イベントを参照するには**
1. 次の例のように、`list-insights-data` の出力をファイルにリダイレクトして、`--generate-cli-skeleton` で使用するための入力テンプレートを作成します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
生成されたテンプレートファイル (この場合は ListInsightsData.txt) は次のようになります。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. テキストエディタを使用し、必要に応じて JSON を変更します。JSON 入力には、指定された値のみが含まれている必要があります。
**重要**
空の値や Null 値は、使用する前にテンプレートからすべて削除する必要があります。
次の例では、時間範囲と、返される結果の最大数を指定しています。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 編集したファイルを入力として使用するには、次の例のように、構文 `--cli-input-json file://`** を使用します。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注記**
`--cli-input-json` と同じコマンドラインで、他の引数を使用することもできます。
## 参照の出力フィールド
**イベント**
指定された参照属性と時間範囲に基づく参照イベントのリストです。イベントリストは時刻でソートされ、最新のイベントが最初に表示されます。各エントリには、参照リクエストに関する情報と、取得された CloudTrail イベントの文字列表現が含まれます。
以下のエントリは、各参照イベント内のフィールドです。
**CloudTrailEvent**
返されたイベントのオブジェクト表現を含んだ JSON 文字列です。返される各要素については、「[ Record Body Contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)」を参照してください。
**EventId**
返されたイベントの GUID を含んだ文字列です。
**EventName**
返されたイベントの名前を含んだ文字列です。
**EventSource**
リクエストが行われた AWS サービス。
**EventTime**
イベントの日時です (UNIX 時刻形式)。
**リソース**
返されたイベントによって参照されるリソースのリストです。各リソースエントリは、リソースタイプとリソース名を指定します。
**ResourceName**
イベントによって参照されるリソースの名前を含んだ文字列です。
**ResourceType**
イベントによって参照されるリソースのタイプを含んだ文字列です。リソースタイプを特定できない場合は、null が返されます。
**ユーザー名**
返されたイベントに対するアカウントのユーザー名を含んだ文字列です。
**NextToken**
前の `lookup-events` コマンドから次の結果ページを取得するための文字列です。トークンを使用するには、パラメータが元のコマンドと同じである必要があります。`NextToken` エントリが出力に表示されない場合、返す結果はそれ以上存在しません。
CloudTrail Insights イベントの詳細については、このガイドの「[CloudTrail Insights の使用](logging-insights-events-with-cloudtrail.md)」を参照してください。
# イベントデータストアの Insights イベントの表示
このセクションでは、**Insights イベントダッシュボード**を表示し、サンプルクエリを実行して、Insights イベントデータストアの Insights イベントを表示する方法について説明します。イベントデータストアで CloudTrail Insights を有効にする方法については、「[コンソールを使用して既存のイベントデータストアで CloudTrail Insights を有効にする](insights-events-enable.md#insights-events-enable-lake)」を参照してください。
CloudTrail クエリには、スキャンされたデータ量に基づいて料金が発生します。コストを抑えるため、クエリに開始および終了 `eventTime` タイムスタンプを追加することで、クエリを制限することをお勧めします。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
イベントデータストアの Insights イベントレコードフィールドの説明については、「[イベントデータストアの Insights イベントの CloudTrail レコードコンテンツ](cloudtrail-insights-fields-lake.md)」を参照してください。
**Topics**
+ [イベントデータストアの Insights ダッシュボードの表示](#insights-events-view-lake-dashboard)
+ [Insights イベントのサンプルクエリの表示](#insights-events-lake-queries)
## イベントデータストアの Insights ダッシュボードの表示
**Insights イベントダッシュボード**には、全体的な Insights タイプ別の Insights イベントの比率、上位ユーザーとサービスに関する Insights タイプ別の Insights イベントの比率、および 1 日あたりの Insights イベント数が表示されます。ダッシュボードには、最大 30 日間の Insights イベントを一覧表示するウィジェットも含まれます。
**注記**
ソースイベントデータストアで CloudTrail Insights を初めて有効にした後、CloudTrail が Insights イベントの配信を開始するまで、最大 7 日かかる場合があります (その間に異常なアクティビティが検出された場合)。詳細については、「[Insights イベントの配信](insights-events-understanding.md)」を参照してください。
**Insights イベントダッシュボード**には、ソースイベントデータストアの設定によって決定される、選択したイベントデータストアによって収集された Insights イベントに関する情報のみが表示されます。例えば、ソースイベントデータストアで、`ApiErrorRateInsight` ではなく `ApiCallRateInsight` の Insights イベントを有効にしている場合には、`ApiErrorRateInsight` の Insights イベントに関する情報は表示されません。
**Insights イベントダッシュボードを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. 左のナビゲーションペインの **[Lake]** の下にある **[ダッシュボード]** を選択します。
1. **マネージドダッシュボードとカスタムダッシュボード**タブを選択します。
1. **AWS マネージドダッシュボード**から、**Insights イベントダッシュボード**を選択します。
1. Insights イベントデータストアを選択します。
1. **[絶対範囲]** または **[相対範囲]** でダッシュボードデータをフィルターします。特定の日付と時刻の範囲を選択するには、**[絶対範囲]** を選択します。事前定義済みの時間範囲またはカスタム範囲を選択するには、**[相対範囲]** を選択します。デフォルトでは、ダッシュボードには過去 24 時間のイベントデータが表示されます。
**注記**
CloudTrail Lake クエリには、スキャンされたデータ量に基づいて料金が発生します。コストを抑えるには、より狭い時間範囲にフィルタリングします。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
1. [更新] アイコンを選択して、ダッシュボードのウィジェットのグラフィックを入力します。各ウィジェットは更新のステータスを示します。
Lake ダッシュボードの詳細については、「[CloudTrail Lake ダッシュボード](lake-dashboard.md)」を参照してください。
## Insights イベントのサンプルクエリの表示
CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、Insights イベントのサンプルクエリが多数用意されています。
**Insights イベントのサンプルクエリを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[クエリ]** を選択します。
1. **[Query]** (クエリ) ページで、**[Sample queries]** (サンプルクエリ) タブを開きます。
1. Insights イベントのクエリを検索します。**[クエリ名]** を選択して、**[エディタ]** タブでクエリを開きます。
![\[例は、Insights イベントのサンプルクエリを示しています。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. **[エディタ]** タブで、Insights イベントデータストアを選択します。リストからイベントデータストアを選択すると、CloudTrail はイベントデータストア ID をクエリエディターの `FROM` 行に自動的に入力します。
1. クエリを実行するには、**[実行]** を選択します。クエリが完了したら、コマンド出力とクエリ結果を表示できます。
**[コマンド出力]** タブには、クエリが成功したかどうか、一致したレコードの数、クエリの実行時間など、クエリに関するメタデータが表示されます。
**[クエリ結果]** タブには、選択したイベントデータストア内のクエリと一致したイベントデータが表示されます。
クエリ編集の詳細については、「[CloudTrail コンソールを使用してトレイルを編集する](query-create-edit-query.md)」を参照してください。クエリの実行およびクエリ結果の保存に関する詳細については、「[クエリを実行し、クエリ結果をコンソールに保存する](query-run-query.md)」を参照してください。