[前回] AWS公式資料で挑むSCS認定(19)-こんな時どうする(分野1:インシデント対応)
はじめに
引き続き「こんな時どうする」集の作成です。
今回は「分野2: ログと監視」がテーマとなります。
「分野2: ログと監視」基本知識のおさらい
監視(モニタリング)に使用されるサービス
- AWS CloudWatch Logs
- AWS Config
- Amazon CloudTrail
ログの種類
- AWSサービスログ
- CloudWatch Logs
- CloudTrail
- ELB
- VPCフローログ
- S3バケットログ
- CloudFrontアクセスログ
- 各環境固有のログ
- OSログ
- アプリケーションログ
- セキュリティログ
- アクティビティログ
- アクセスログ
- センサーログ
ログ処理に使用されるサービス
- Kinesis Data Streams
- Kinesis Data Firehose
- Athena
「分野2: ログと監視」の「こんな時どうする」
-
EC2インスタンスのメモリ使用率とディスク使用率を、CloudWatchのメトリクスとして収集したい
- カスタムメトリクスのため(標準でなく)、CloudWatchエージェントのインストールが必要
- CloudWatchエージェントのインストール手順
-
VPCネットワーク内でネットワークACL(NACL)、セキュリティグループ(SG)の許可・禁止についてのトラフィックログを監視したい
- VPCフローログで監視可能
-
複数AWSアカウントのログを集中管理したい
- すべてのログを集中型ログ記録アカウントのS3バケットに送信
- セキュリティ管理者へのみ読み取りアクセスを許可するようにバケットポリシーを設定
-
別リージョンのS3に保存されたログをロード・集計することなく、標準SQLを用いて特定条件で絞り込んで取得したい
- Athenaを利用
-
過去のログデータを参照はしないが、コンプライアンスのため5年間コスト効率よく保持したい
- 参照しないログデータをS3 Glacierに移動しアーカイブする
-
特定のEC2インスタンス間で送受信されるトラフィックの完全なパケット分析
- パケットキャプチャをサポートするAWS MarketPlaceのAMIを使用
- トラフィックがそれを通るように制御するためルートテーブルを設定
-
EC2インスタンスのENIを通過するトラフィックを、EC2サーバーにログインせずパケット分析したい
- Amazon VPC traffic mirroringを使用
- EC2インスタンスのENIからネットワークトラフィックをミラーリング
- 任意のENIやNLBにパケットをコピーし分析
おわりに
「分野2: ログと監視」に対し、「こんな時どうする」でした。
次回は「分野3: インフラストラクチャのセキュリティ」です。
お楽しみに。