AWS

AWS CloudTrailとは?証跡を作成してみた

こんにちは、インフラエンジニアのれおです。

この記事では
  • CloudTrailにについて知りたい
  • CloudTrailのログ記録方法を知りたい

今回は、AWS CloudTrailで証跡を作成したので作成方法などを記録します。

AWS CloudTrailとは

CloudTrailは、AWSアカウント内のすべてのAPI呼び出しを記録します。

AWSの操作は、すべてAPIを通じて提供されているため、AWSアカウント内のすべての操作を記録することになります。

AWS Cloud Trailの特徴をまとめてみました。

  • リージョン毎のサービスなのでリージョンごとに有効化、保存される
  • 「誰が、どこで、いつ、何をしたのか」が保存される
  • ログは90日間無料で保存。90日以降保存する場合は、S3などを利用する(有料)
  • ログの改ざんを防止する機能がある
  • 3つの証跡イベントが保存される

3つの証跡イベントについては後述します。

操作ログを残すことでセキュリティ対策やトラブルシューティングにも利用できるので、AWSアカウントを新規で作成した際は、設定すべきですね。

CloudTrailに記録されるイベント

CloudTrailはすべての操作を記録すると記載しましたが、一部記録されない操作もあるので注意が必要です。

『CloudTrail のサポートされていないサービス』←公式ドキュメントを参考にしてください

AWSの機能であるマネジメントコンソールやAPIといったものを通した操作が記録の対象となるようで、具体的には次の操作が記録されます。

1.管理イベント
AWSアカウントのリソースで実⾏される管理オペレーション
例)ログ記録の設定
  ネットワーク構成変更
  コンフィグの参照
  デバイスの登録

2.データイベント
AWSアカウントのリソースで実⾏される管理オペレーション
例)AmazonS3オブジェクトレベルの APIアクティビティ
  (GetObject、DeleteObject、PutObject APIなど)
  AWSLambda関数の実⾏アクティビティ (Invoke API)

3.インサイトイベント
管理イベントのAPIコールボリュームの計測値が、通常のパターンから外れた場合に⽣成
例)リソースプロビジョニングの急上昇
  IAMアクションのバースト
  定期的なメンテナンスアクティビティのギャップ

CloudTrailで証跡を作成する

ここからは、CloudTrailで証跡を作成していきます。

AWSマネジメントサービスから「CloudTrail」を検索

「証跡を作成」を押下。

証跡名を入力。
ログファイルの暗号化は今回は特に必要ないので「ログファイルのSSE-KMS暗号化」のチェックを外しておきましょう。

「次へ」を押下。

イベントタイプは、追加料金が適用されてしまうため、デフォルト設定のままにします。

管理イベントもデフォルトのまま設定します。
「次へ」を押下し証跡の作成します。

作成されると下記のように確認できます。

取得されたログはダッシュボードから確認できます。

CloudTrail はアクティビティ発生後 15 分以内にログが出力される。5分間隔でログを出力すると『How CloudTrail Works – AWS CloudTrail』にあるので注意が必要です。

まとめ

今回は、AWS CloudTrailの証跡を作成しました。

AWSのアカウントを作成する際には、必ず利用するサービスなので細かい仕様の理解が必要そうですね。

参考元URL