目次

AWS

AWS CloudTrailで、イベントを保管




Amazon CloudTrailとは

製品ページ AWS CloudTrail
AWS ドキュメント AWS CloudTrail



AWS Configは、AWSリソースがいつ、どのように変更されたかの履歴
CloudTrailは、誰がどの操作を行ったかの履歴

イベント履歴

イベント履歴対象

イベント履歴対象外


証跡情報(S3)

証跡情報の対象

管理イベント
イベント情報


CloudWatch Logs連携




設定

証跡の設定

リージョン確認

AWS管理コンソールの右上で、今のリージョンを確認してください。
多くの人は、「東京」になっていることを確認してください。

注意:
この確認をしないで、後の手順で、S3バケットを新規に作成すると、普段使っていないにリージョンにS3 バケットが作成されてしまいます。

ダッシュボードより、証跡の作成

「証跡の作成」ボタンをクリックしてください。

証跡名 management-events
証跡ログバケット aws-cloudtrail-logs-xxxxxxx 自動で決まります


証跡のCloudWatch Logsとの連携設定

CloudWatch Logsで、ロググループの作成

※事前に作成しないで大丈夫です。CloudTrailの設定手順で自動で作られます。

CloudWatch Logsでロググループを作成しておきます。
[CloudWatch] - [ログ] - [ロググループ]で、アクションから「ロググループの作成」をクリックします。

ロググループ名 cloudtrail-log-group
保存期間  失効しない
KMS key ARN
optional
不要


CloudTrailをCloudWatch Logsに飛ばす設定

  1. [CloudTrail] - [証跡] - 「設定したいCloudTrail名」をクリック
  2. CloudWatch Logsの項目で「編集」をクリック
CloudWatch Logs 有効
ロググループ デフォルト:新規
例:cloudtrail-log-group
事前に作成しておいたLogグループを指定します。
事前にない場合でも、「cloudtrail-logxxxxxx」を作成し、利用できます。
IAM ロール 新規
ロール名:
ClouTrailRoleForCloudWatchLogs
新規に作成します。
CloudTrailのログをCloudWatchログに書き込む権限を得ます。


CloudTrail 「ログファイルの整合性の検証」

CloudTrail 「ログファイルの整合性の検証」は、CloudTrail ログファイルが改ざんされているか確認する機能です。
必ず有効化しておきましょう。
有効にすることで、チェックすることができます。

aws cloudtrail validate-logs --trail-arn <CloudTrail の ARN> --start-time <開始時間> --end-time <終了時間>



参考資料

AWS Black Belt Tech シリーズ 2015 AWS CloudTrail & AWS Config from Amazon Web Services Japan