Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
29
Help us understand the problem. What are the problem?
@leomaro7

AWS CloudTrail

1.AWS CloudTrailとは?

「いつ誰が何をしたのか」を記録しておいてくれるサービスです。

2.特徴

  • デフォルトでOnになっている。
  • 90日間保存できる。(90日以上保存させる場合は、S3に保存させるようにする。)
  • S3の保存先はS3でバージョンニングを有効にするか、クロスアカウントなどを利用することを検討する。
  • 5分おきに作成される。

3.イベント履歴

「イベント履歴」をクリックしてみましょう。
CloudTrail はデフォルトで有効になっているため、今まで行ってきた「サインイン」や「IAM ユーザーの作成」などもすべてイベントとして記録されています。

image.png

このようにCloudTrail では何も設定しなくても、デフォルトで過去90日間のイベントが無料で記録されています。
今後もし「消した覚えがないのにサーバが跡形もなく消え去っている!」というようなことがあったら、先ずCloudTrail を開いていつ誰がサーバを削除したのか確認してみましょう。

4.証跡情報

*管理イベントのみデフォルトで有効になっています。

画面だけ確認して見ましょう。

「認跡の作成」
スクリーンショット 2019-01-31 21.18.44.png

証跡名:適当な名前
証跡情報を全てのリージョンに適用:すべてのリージョンに残すか選択します。
スクリーンショット 2019-01-31 21.26.29.png

管理イベント
読み込み/書き込みイベント:すべて・読み取り専用・書き込み専用・なし から選択できます。
スクリーンショット 2019-01-31 21.26.38.png

データイベント
S3・Lambdaを選択できます。
スクリーンショット 2019-01-31 21.34.45.png

ここで新しいS3バケットを作成して保存することもできます。
スクリーンショット 2019-01-31 21.35.57.png

なお、追加料金が発生するため、作成しませんでした。

5.暗号化

  • デフォルトでCloudTrailイベントログファイルは、Amazon S3サーバーサイド暗号化(SSE)を使用して暗号化されています。
  • ログファイルをAWS KMSキーで暗号化することもできます。

6.CloudTrail Insights

  • Insights は異常なアクティビティがログに記録された場合、Insights イベントがこのテーブルに 90 日間表示されます。
  • CloudTrail Insights を有効にした場合は、最初の Insights イベントを受信するまでに最大 36 時間かかります。

7.ログファイルの整合性の検証

  • CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断する。
  • 仕組みとしては1時間毎にハッシュ値を取得して、それを照合している。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
29
Help us understand the problem. What are the problem?