AWS CloudTrailで、イベントを保管

製品ページ AWS CloudTrail
AWS ドキュメント AWS CloudTrail

• 監査サービス
• イベント履歴と証跡情報
• 「イベント履歴」はデフォルトで90日保管。
• 90日を超えて保存したい場合は、「証跡情報」の設定をする

AWS Configは、AWSリソースがいつ、どのように変更されたかの履歴
CloudTrailは、誰がどの操作を行ったかの履歴

• イベント履歴はデフォルトで90日間保存
• CloudTrailはデフォルト有効になっており、無料

• セキュリティグループの設定 (例: IAM AttachRolePolicyAPI オペレーション)
• デバイスの登録 (例: Amazon EC2 CreateDefaultVpc API オペレーション).
• データをルーティングするルールの設定 (例: Amazon EC2 CreateSubnet API オペレーション)
• ログ記録の設定 (例: AWS CloudTrail CreateTrail API オペレーション)

• データイベント（S3バケットへのオブジェクトのPut・Get等）は非表示。
• 単なる情報表示(Describe)系は管理イベントだけど、非表示。

• 証跡を有効にすると、S3バケットに約５分間隔で保存されます
• S3に保存することで、保存期間が無限にできます。

• EC2インスタンスやS3バケットの作成

• S3バケットのデータ操作、Lambda関数の実行など
• Amazon S3 オブジェクトレベルの API アクティビティ (例: GetObject、DeleteObject、PutObject API オペレーション)
• AWS Lambda 関数の実行アクティビティ (Invoke API)

• CloudWatch Logsと連携できます。
  CloudWatch Logsで、特定のイベント発生時などにSNSで通知ができます。
  • 例えば、AWS管理コンソールで、Rootアカウントが利用された場合に、アラート通知することができます。

AWS管理コンソールの右上で、今のリージョンを確認してください。
多くの人は、「東京」になっていることを確認してください。

注意：
この確認をしないで、後の手順で、S3バケットを新規に作成すると、普段使っていないにリージョンにS3 バケットが作成されてしまいます。

「証跡の作成」ボタンをクリックしてください。

※事前に作成しないで大丈夫です。CloudTrailの設定手順で自動で作られます。

CloudWatch Logsでロググループを作成しておきます。
[CloudWatch] - [ログ] - [ロググループ]で、アクションから「ロググループの作成」をクリックします。

1. [CloudTrail] - [証跡] - 「設定したいCloudTrail名」をクリック
2. CloudWatch Logsの項目で「編集」をクリック

CloudTrail 「ログファイルの整合性の検証」は、CloudTrail ログファイルが改ざんされているか確認する機能です。
必ず有効化しておきましょう。
有効にすることで、チェックすることができます。

aws cloudtrail validate-logs --trail-arn <CloudTrail の ARN> --start-time <開始時間> --end-time <終了時間>