ユーザ用ツール

サイト用ツール


aws:cloudtrail:index.html

AWS

AWS CloudTrailで、イベントを保管

Amazon CloudTrailとは

製品ページ AWS CloudTrail
AWS ドキュメント AWS CloudTrail

  • 監査サービス
  • イベント履歴と証跡情報
  • 「イベント履歴」は90日保管。90日を超えて保存したい場合は、「証跡情報」の設定をする

イベント履歴

  • イベント履歴は90日間保存
  • CloudTrailはデフォルト有効になっており、無料

イベント履歴対象

  • セキュリティグループの設定 (例: IAM AttachRolePolicyAPI オペレーション)
  • デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション).
  • データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)
  • ログ記録の設定 (例: AWS CloudTrail CreateTrail API オペレーション)

イベント履歴対象外

  • データイベント(S3バケットへのオブジェクトのPut・Get等)は非表示。
  • 単なる情報表示(Describe)系は管理イベントだけど、非表示。


証跡情報

  • 証跡を有効にすると、S3バケットに約5分間隔で保存されます
  • 保存期間が無限にできます。
  • CloudWatch Logsと連携できます。
    CloudWatch Logsで、特定のイベント発生時などにSNSで通知ができます。
    • 例えば、AWS管理コンソールで、Rootアカウントが利用された場合に、アラート通知することができます。

証跡情報の対象

管理イベント
  • EC2インスタンスやS3バケットの作成
イベント情報
  • S3バケットのデータ操作、Lambda関数の実行など
  • Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObject、DeleteObject、PutObject API オペレーション)
  • AWS Lambda 関数の実行アクティビティ (Invoke API)


設定

証跡の設定

リージョン確認

AWS管理コンソールの右上で、今のリージョンを確認してください。
多くの人は、「東京」になっていることを確認してください。

注意:
この確認をしないで、後の手順で、S3バケットを新規に作成すると、普段使っていないにリージョンにS3 バケットが作成されてしまいます。

ダッシュボードより、証跡の作成

「証跡の作成」ボタンをクリックしてください。

証跡名 management-events
証跡ログバケット aws-cloudtrail-logs-xxxxxxx 自動で決まります


証跡のCloudWatch Logsとの連携設定

CloudWatch Logsでロググループの作成

CloudWatch Logsでロググループを作成しておきます。
[CloudWatch] - [ログ] - [ロググループ]で、アクションから「ロググループの作成」をクリックします。

ロググループ名:cloudtrail-log-group
保存期間 :  失効しない


CloudWatch LogsでloudWatch Logsの設定

  1. [CloudTrail] - [証跡情報] - 「設定したいCloudTrail名」をクリック
  2. CloudWatch Logsの項目で「編集」をクリック
CloudWatch Logs 有効
ロググループ デフォルト:新規
例:cloudtrail-log-group
事前に作成しておいたLogグループを指定します。
事前にない場合でも、「cloudtrail-logxxxxxx」を作成し、利用できます。
IAM ロール 新規
ロール名:
ClouTrailRoleForCloudWatchLogs
新規に作成します。
CloudTrailのログをCloudWatchログに書き込む権限を得ます。



参考資料

aws/cloudtrail/index.html.txt · 最終更新: 2021/08/18 17:38 by kurihara

ページ用ツール