GuardDuty の CloudTrail 管理イベント分析の料金が増加している原因を知りたい
2025.08.01はじめに
こんにちは。
テクニカルサポートの大森です。
最近の娘のブームはまたアンパンマンに戻ってきました。
GuardDuty の CloudTrail 管理イベント分析の料金増加の原因と調査方法についてまとめてみようと思います。
問題
各リージョンで CloudTrail 管理イベント分析の料金が増加していますが、CloudTrail イベント数を確認してもバージニア北部リージョンでしかイベント数が増加しておらず、原因が特定できません。
調査方法を教えてください。
理由
GuardDuty ではグローバルサービスに関連する CloudTrail イベントは GuardDuty を有効にした各リージョンにレプリケートされて分析されます。(参考1)
そのため、それぞれのリージョンに記録される CloudTrail イベント数と GuardDuty によって分析された CloudTrail イベント数に差が生じることがあります。
原因調査方法
CloudTrail 証跡 から Athena テーブルを作成しクエリ実行を行い、バージニア北部リージョンでどの API が増加しているかを調査してください。(参考2、3)
最後に
今回はグローバルサービスに関するイベント数が増えたパターンを解説していますが、単独のリージョンで CloudTrail 管理イベント分析の料金が増えた場合も Athena での分析が有用なのでご活用ください。
このブログがどなたかのお役に立てますと幸いです。
参考
1.GuardDuty 基本データソース - Amazon GuardDuty
GuardDuty は、ネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail Global Service Events (GSE) を消費すると、それらのイベントをレプリケートし、GuardDuty を有効にした各リージョンで処理します。
2.AWS CloudTrail ログの検索用に、Amazon Athena テーブルを自動的に作成する方法を教えてください。
![[小ネタ] 経営層にも分かるようGuardDutyの検出結果をGeminiのCanvas機能でビジュアル化してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-6a331d7c70f1897ca2ef1ad4cbe7c6bf/78c556633ae5115aa065636cc4a1160a/eyecatch_gemini)
