CloudTrail Lake のInsight イベントおよび外部イベントの取り込みは停止できません
2025.02.07あしざわです。
CloudTrail Lake の料金が気になる。そう感じたことがある方はいませんか。
私はあります。
今回はCloudTrail Lake Insights のコストを一時的に削減したい、そんな人に役立つ(かも?)なブログです。
はじめに
CloudTrail Lake の料金はこちらの内訳で計算されています。
| 項目 | 値 |
|---|---|
| データ取り込み | CloudTrail 管理、データ、ネットワークアクティビティ(Preview)イベント:0.75 USD/GB 他のデータソース:0.50 USD/GB |
| データ保持 | なし ※保持期間を延長する場合は、1 か月あたり 0.023 USD/GB |
| データクエリ | スキャンされたデータ 0.005 USD/GB |
※料金オプションが 1 年間の延長可能な保持料金 の場合
データ保持期間を延長しない限り、継続的に利用費が発生するのはデータ取り込み料金だけです。
つまり、データの取り込みさえ停止できればコストを削減できるのです。
CloudTrail Lake にはイベントデータストアの取り込みを停止・開始する機能があり、監査分析機能を維持したまま取り込みコストを削減することができます。
この機能があれば、なんらかの理由で一時的にコストを削減したい際、役に立ちそうですよね。
ただし、取り込みの停止・開始機能の利用には制限があります。
取り込みの停止・開始は、以下のCloudTrailイベントを取り込むデータストアでのみ利用できます。
- CloudTrail イベント(管理イベント、データイベント、ネットワークアクティブティイベント)
- Config 設定項目
ここに含まれないイベント(CloudTrail Insights イベントやAWS 外部のイベント)を取り込むデータストアの停止・開始は、現状不可能です。データの取り込みを停止するためにはデータストアを削除するしかないです。
本件は以下の公式ドキュメントの記載から判断しています。
The options to Start ingestion and Stop ingestion are only available on event data stores containing either CloudTrail events (management events, data events, and network activity events), or AWS Config configuration items.
(日本語訳)
取り込みの開始と 取り込みの停止のオプションは、CloudTrail イベント (管理イベント、データイベント、ネットワークアクティビティイベント) または AWS Config 設定項目のいずれかを含むイベントデータストアでのみ使用できます。
それでは、実際に試してみましょう。
やってみた
事前に4種類のイベントデータストアを作成しています。
イベントデータストア名と取り込んでいるイベントをまとめたものがこちらです。
test-eventdatastore(CloudTrail 管理イベント)test-eventdatastore-config(Config 設定項目)test-eventdatastore-insights(CloudTrail Insights イベント)test-eventdatastore-external(外部イベント)
マネジメントコンソールからの取り込み停止
マネジメントコンソールから、各イベントの取り込みの停止ができるか確認してみます。
test-eventdatastore (CloudTrail 管理イベント)
イベントデータストアの詳細画面のアクションから取り込みを停止をクリックします。
確認画面で取り込みを停止をクリックします。
ステータスが停止済みとなりました。
test-eventdatastore-config (Config 設定項目)
管理イベント同様、アクションから取り込みを停止します。
確認画面は割愛しますが、こちらも停止できました。
test-eventdatastore-insights (CloudTrail Insights イベント)
イベントデータストアの詳細画面のアクションに取り込みを停止が表示されません。
つまり、取り込み停止はできないとわかりました。
test-eventdatastore-external (外部イベント)
こちらもアクション欄に取り込みを停止が表示されません。
Insightsイベントと同様、取り込み停止はできませんでした。
ここまでをまとめると、以下の結果となりました:
test-eventdatastore(CloudTrail 管理イベント):取り込み停止できるtest-eventdatastore-config(Config 設定項目):取り込み停止できるtest-eventdatastore-insights(CloudTrail Insights イベント):取り込み停止できないtest-eventdatastore-external(外部イベント):取り込み停止できない
スクリーンショットをご覧いただいた通り、取り込み停止がサポートされているイベントデータストアではアクション配下に取り込みを停止ボタンが表示されますが、サポートされていないイベントデータストアそもそもボタンが出てこないようです。
AWS CLIからの削除
「マネジメントコンソールからはできないかもしれないけど、他の方法だったらできるんじゃないか」と諦めきれない人もいるかもしれません。AWS CLIからイベントの停止を試みてみましょう。
AWS CLI からのイベントデータストアの取り込み停止は、こちらのコマンドから実行できます。
・取り込み停止
aws cloudtrail stop-event-data-store-ingestion --event-data-store <イベントデータストアのARN>
・取り込み状態の確認
aws cloudtrail get-event-data-store --event-data-store <イベントデータストアのARN> |jq -r .Status
参考:https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/stop-event-data-store-ingestion.html
以下試していきます。
test-eventdatastore (CloudTrail 管理イベント)
$ aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:ap-northeast-1:123456789012:eventdatastore/12345678-3606-4910-abcd-33aea8c53187
(出力なし)
$ aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:ap-northeast-1:123456789012:eventdatastore/12345678-3606-4910-abcd-33aea8c53187 |jq -r .Status
STOPPED_INGESTION
→ 停止できました
test-eventdatastore-config (Config 設定項目)
$ aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:ap-northeast-1:213789436036:eventdatastore/cdb6e941-3204-4358-a0ff-dd040cf893c6
(出力なし)
$ aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:ap-northeast-1:213789436036:eventdatastore/cdb6e941-3204-4358-a0ff-dd040cf893c6 |jq -r .Status
STOPPED_INGESTION
→ 停止できました
test-eventdatastore-insights (CloudTrail Insights イベント)
$ aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:ap-northeast-1:213789436036:eventdatastore/57087630-e4bb-4bc4-8baf-5e6ef8d7a283
An error occurred (InvalidEventDataStoreCategoryException) when calling the StopEventDataStoreIngestion operation: The event data store category must be set to eventCategory=[Management | Data | Config].
→ API エラーとなり、停止できませんでした
test-eventdatastore-external (外部イベント)
$ aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:ap-northeast-1:213789436036:eventdatastore/ae09c3a0-0bf8-4ef6-be1d-7891f2a3dc0e
An error occurred (InvalidEventDataStoreCategoryException) when calling the StopEventDataStoreIngestion operation: The event data store category must be set to eventCategory=[Management | Data | Config].
→ API エラーとなり、停止できませんでした
AWS CLI からもマネジメントコンソール同様、以下の結果となりました:
test-eventdatastore(CloudTrail 管理イベント):取り込み停止できるtest-eventdatastore-config(Config 設定項目):取り込み停止できるtest-eventdatastore-insights(CloudTrail Insights イベント):取り込み停止できないtest-eventdatastore-external(外部イベント):取り込み停止できない
以上で、取り込み停止の検証は終わります。全て想定通りでしたね。
AWS CLI のAPI ドキュメントに以下の記載があるように、冒頭で説明した特定カテゴリのイベントデータストアでないと取り込み停止は実行できないようです。
To stop ingestion, the event data store Status must be ENABLED and the eventCategory must be Management , Data , NetworkActivity , or ConfigurationItem .
(日本語訳)
取り込みを停止するには、イベントデータストアのStatusがENABLEDで、eventCategoryがManagement、Data、NetworkActivity、またはConfigurationItemでなければならない。
参考までに、取り込みの開始はこちらのコマンドから実行できます。
$ aws cloudtrail start-event-data-store-ingestion --event-data-store <イベントデータストアのARN>
課金を停止したい時はどうすればいいのか
取り込みを停止できないとはいえ、どうしても課金を停止したい時があると思います。
そのようなケースでは、現状 イベントデータストアを削除する しかないです。
イベントデータストアを削除するときは、事前に終了保護を無効化してください。
その後、イベントデータストアを削除します。
イベントデータストアを削除しても即座に実施されず、一旦削除保留のステータスとなります。
削除保留となったイベントデータストアは、データを含め7日後に完全に削除されるようです。
最後に
ここまで、CloudTrail Lake のイベントデータストアの取り込み停止・開始機能について紹介、検証しました。
「削除する判断とまではいかないけど、しばらく停止しておきたい」というケースもあると思うので、他のイベントデータストアでも取り込み停止ができるようになると嬉しいな、と思います。
以上です。
![[Amazon FSx for NetApp ONTAP] SMBのサーバーサイドコピーはできるのか確認してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-9e9d102dfa6d7896319b16fe069cdf55/c3bbbeab42ba5764c5a573e979719805/amazon-fsx-for-netapp-ontap)
