■ はじめに

CloudTrail について扱う。

目次

【１】CloudTrail
　１）利用例
　２）業務上での実際の利用例
【２】ログの種類
　１）管理イベント
　２）データイベント
【３】ログの保持期間
【４】CloudWatch Logsとの連携
　１）仕組み

【１】CloudTrail

* AWS アカウント内のAPIリクエストを記録（監査ログ）するサービス
 => 実行されたアクション(AWS Management Console, CLI etc)は、
　　CloudTrail にイベントとして記録

cf. trail = 跡、痕跡

１）利用例

[1] どのIAMユーザが、いつ、AWSコンソールにログインしたか
[2] どのIAMアクセスキーやIAMロールを使用して、
　　リソースの作成が行われているか

２）業務上での実際の利用例

[1] 見おぼえないAWSコンポーネント（例：VPC）があった場合
　　誰が作ったのかを確認する

手順例

[1] ClouldTrailのページまで遷移
[2] 左ペインの[Event history]を選択
[3] 「Lookup attributes: Resource name」を選択
[4] 対象リソース（例えば、VPC ID や EC2 instance IDなど）を入力
 => 検索でヒットしたら、順に追っていく

【２】ログの種類

１）管理イベント
２）データイベント

１）管理イベント

* デフォルトだと有効
* 過去90日分のログを確認
 => それ以上保持したい場合は、S3に証跡を残すように設定できる

例

* AWSマネージメントコンソールのログイン
* EC2インスタンスの作成
* S3バケットの作成
など

２）データイベント

* デフォルトだと無効

例

* S3バケット上のデータ操作
* Lambda関数の実行
など

【３】ログの保持期間

* デフォルトは、90日間
 => ただし、ログファイルをS3に保持させることが可能

【４】CloudWatch Logsとの連携

CloudWatch Logs と連携すると、、、

例えば、ユーザが不正な操作をした場合に
自動で検知し、早期に発見できる

１）仕組み

* 事前に不正な操作をした際のログメッセージ・キーワードを登録しておく
 => ユーザが不正な操作をしたら、検知される

関連記事

CloudWatch ～ 基礎知識編 ～
https://dk521123.hatenablog.com/entry/2022/03/08/145856
AWS Config ～ 基礎知識編 ～
https://dk521123.hatenablog.com/entry/2023/01/18/000000
AWS の セキュリティを考える
https://dk521123.hatenablog.com/entry/2017/08/31/235847
AWS認定 ～ アソシエイト/ソリューションアーキテクト ～
https://dk521123.hatenablog.com/entry/2022/03/01/000000
AWS Glue ～ トリガ / EventBridgeイベント ～
https://dk521123.hatenablog.com/entry/2021/07/16/161359