re:Invent 2013特集~中の人 CloudTrailを使ってみた編~

Pocket

昨日発表されたCloudTrailを触ってみました。

CloudTrailとは

●AWS APIに対するコールを記録し、S3に保存する機能。

●プログラムから呼び出されるAPIに対するコールの記録をアプリケーション側からだけでなくAWS側で記録する事が出来る様になる。

●問題が起きた時の切り分けや、どのユーザーがどんなアクションをしたかといったセキュリティ面での管理棟を行う事が出来る。

●Sumo Logic, Splunk, Cognizandなど様々なツールとも連携。現在はUS(Varginia, Oregon)のみで利用可能。

 

既に利用する事が出来ますので、早速触ってみました。

1. Management Console > CloudTrailを選択
20131115_05_001

2.以下の様に東京では利用できないのでVirginia/Oregonを選択します。
20131115_05_002

3. Get Startedをクリック
20131115_05_003

4. ログ保存先のS3バケット名を選択するだけで利用する事も、詳細を指定して利用する事も可能です。
20131115_05_004

20131115_05_005

5. わずかこれだけで利用開始されました。
また、”Turn off”をクリックする事でログ取得を停止できます。
20131115_05_006

取得したログを確認してみましょう。
Management Console > S3に移動し、上記で選択したバケットに移動する と”AWSLogs”というディレクトリが作成されている事が確認できます。

階層を進んで行くと
AWSLogs > [アカウントID] > CloudTrail > [リージョン名] > 年 > 月 > 日
の様になっており、複数のアカウントや複数リージョンのログをまとめて管理できる事がわかります。

また、時間も約5分おきに取得している事が確認できます。

20131115_05_007

なお、バケットの中身はjson形式となっております。

さらに上記をsplunkstormにインポートしてみました。

1.下記URLにアクセスし、アカウント作成してログインします。
https://www.splunkstorm.com/

2.Add Projectsで新しいプロジェクトを作成し、”File upload”で作成されたログファイルをアップします。(Source type:JSON)
複数ファイルを選択してアップする事も可能です。

3.”Explorer Data”をクリックするとデータが表示されます。
20131115_05_008

 

その他の詳細は以下から確認できます。
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/whatisawscloudtrail.html

いかがでしたでしょうか?
非常に簡単な設定で、ニーズの多かった操作ログの監視を行う事が出来ます。

 

↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓