製品ページ AWS CloudTrail
AWS ドキュメント AWS CloudTrail
AWS Configは、AWSリソースがいつ、どのように変更されたかの履歴
CloudTrailは、誰がどの操作を行ったかの履歴
AWS管理コンソールの右上で、今のリージョンを確認してください。
多くの人は、「東京」になっていることを確認してください。
注意:
この確認をしないで、後の手順で、S3バケットを新規に作成すると、普段使っていないにリージョンにS3 バケットが作成されてしまいます。
「証跡の作成」ボタンをクリックしてください。
証跡名 | management-events | |
証跡ログバケット | aws-cloudtrail-logs-xxxxxxx | 自動で決まります |
※事前に作成しないで大丈夫です。CloudTrailの設定手順で自動で作られます。
CloudWatch Logsでロググループを作成しておきます。
[CloudWatch] - [ログ] - [ロググループ]で、アクションから「ロググループの作成」をクリックします。
ロググループ名 | cloudtrail-log-group | |
保存期間 | 失効しない | |
KMS key ARN optional | 不要 |
CloudWatch Logs | 有効 | |
ロググループ | デフォルト:新規 例:cloudtrail-log-group | 事前に作成しておいたLogグループを指定します。 事前にない場合でも、「cloudtrail-logxxxxxx」を作成し、利用できます。 |
IAM ロール | 新規 ロール名: ClouTrailRoleForCloudWatchLogs | 新規に作成します。 CloudTrailのログをCloudWatchログに書き込む権限を得ます。 |
CloudTrail 「ログファイルの整合性の検証」は、CloudTrail ログファイルが改ざんされているか確認する機能です。
必ず有効化しておきましょう。
有効にすることで、チェックすることができます。
aws cloudtrail validate-logs --trail-arn <CloudTrail の ARN> --start-time <開始時間> --end-time <終了時間>