[アップデート] CloudTrail Lake が 既存の CloudTrail 証跡の S3 からログをインポートできるようになりました

どうも、ちゃだいん（@chazuke4649）です。

AWS CloudTrail Lake が 既存の CloudTrail 証跡の Amaozn S3 からログをインポートできるようになりました。

AWS CloudTrail Lake now supports import of CloudTrail Logs from Amazon S3

Copy existing AWS CloudTrail trails events to a AWS CloudTrail Lake event data store | AWS Cloud Operations & Migrations Blog

何が嬉しい？

CloudTrailイベントに対して、 Athena/S3不要で簡単にSQL分析環境をCloudTrail単体で利用できる CloudTrail Lake。

今までは、既存のCloudTrail証跡からインポートできず、あくまでCloudTrail Lakeを有効化したタイミングからのイベントしか分析することができませんでした。今回のアップデートで、既存CloudTrail証跡のS3からインポートできるようになったので、過去のCloudTrailイベントも分析できるようになりました。

また、インポートしたいデータの期間を指定できるので、CloudTrail Lakeで分析したい期間のデータのみをインポートしクエリをかける、といった限定的にCloudTrail Lake を利用することも可能になりました。これによってインポートのコストを抑えることができるようになります。

そもそもCloudTrail Lakeとは？という方は以下記事をどうぞ。

Announcing AWS CloudTrail Lake – a managed audit and security Lake | AWS Cloud Operations & Migrations Blog

[アップデート] CloudTrailログ分析環境が超絶簡単に手に入る！「CloudTrail Lake」がリリースされました | DevelopersIO

AWS Organizations環境でCloudTrail Lakeを試してみる | DevelopersIO

やってみた

先述の公式ブログおよび以下ドキュメントを参考にやってみます。

Copying trail events to CloudTrail Lake - AWS CloudTrail

ちなみに今回は、公式ブログでも紹介していない「新しいCloudTrail Lakeイベントデータストアを作成する中で既存の証跡からコピーする」方法をやってみます。

CloudTrailコンソールの Lake から 「新しいイベントデータストアを作成する」を選択します。

今回は、名前を tast-lake、保持期間を１年とします。

Step2のEvent typeにて、 Copy trail events の項目が追加されているので、デフォルト設定状態に、これを追加します。

上記を選択すると、以下セクションが表示されます。

以下値で進めます。

• 既存の証跡の名前： sample-trail
• イベントの期間: １年
• IAMロール: 新しく作成する
• IAMロール名： (CloudTrailLake-ap-northeast-1-)TempRole

最後に確認画面が表示され、問題なければイベントデータストアの作成を実行します。

（現時点では、ここには既存の証跡からコピーに関する設定が表示されないようなので注意です）

作成リクエストが成功しました。

下にスクロールするとコピーイベントのステータスを確認できます。

調査は以上です。

終わりに

今回CloudTrail Lakeを初めて触りましたが、CloudTrail完結でAPIイベントにサクッとクエリできる状態になるのは、スピーディでサクサクと利用できそうな操作感でした。

今回既存の証跡からインポートできるようになったので、新しい環境だけでなく既存環境でも活用していけそうです。

それでは今日はこの辺で。ちゃだいん（@chazuke4649）でした。