AWS CloudTrail Lake がユーザーの任意のタイミングでイベントの取り込みを停止・開始できるようになりました。これまでは、取り込みを停止したい場合はイベントデータストアを削除する必要がありましたが、今後はイベントデータストアを維持したまま取り込みの停止・開始ができます。これにより監査や分析等で利用したいときのみイベントを取り込みできます。また、無効化している状態でもクエリで検索ができます。
イベントの取り込みを停止する stop ingestion 機能は次の AWS ユーザーガイドに記載があります。
試してみた
早速、試してみます。
管理イベントの取り込みを選択しているイベントデータストアを利用します。
イベントの取り込みをアクションから無効化します。無効した時刻は2023-06-09 15:07 (UTC)頃です。
停止後はステータスが有効から停止済みに変わります。
マネジメントコンソール上で適当に操作して、10 分後くらいに直近のイベントを検索してみました。停止したのは2023-06-09 15:07 (UTC)頃であり、停止した時刻以降のイベントが存在しないことが分かります。
別の確認方法として、停止した後に適当な間隔をあけてイベント数をカウントしたところ、増えていないことが確認できました。
# Execution Time: 2023-06-09T15:34:27.901196624Z Query Statement: SELECT
# count (*)
# FROM
# 29d279f5-5188-4541-ba32-7640b1d86dc6
_col0
1004# Execution Time: 2023-06-09T15:50:45.113244269Z Query Statement: SELECT
# count (*)
# FROM
# 29d279f5-5188-4541-ba32-7640b1d86dc6
_col0
1004取り込みの停止後はイベントが記録されていないことを確認できました。
イベントの取り込みを再開するためには、同じくアクションからStart ingestingを選択します。
さいごに
AWS CloudTrail Lake がユーザーの任意のタイミングでイベントの取り込みを停止・開始できるようになったため、早速試してみました。イベントの取り込み停止中でもクエリで検索できる点が気に入っています。
以上、このブログがどなたかのご参考になれば幸いです。
5
