環境
CloudTrailの証跡の作成
証跡属性の選択
全般的な詳細
| 設定項目 |
入力内容 |
| 証跡名 |
sample-trail |
| ストレージの場所 |
新しい S3 バケットを作成します |
| ログファイルの SSE-KMS 暗号化 |
有効 |
| カスタマー管理の AWS KMS キー |
新規 |
| AWS KMS エイリアス |
alias/sample-cloudtrail-logs |
| ログファイルの検証 |
有効 |
| SNS 通知の配信 |
有効 |
| 新しい SNS トピックの作成 |
cloudtrail-alerts-sample |
CloudWatch Logs
| 設定項目 |
入力内容 |
| CloudWatch Logs |
有効 |
| ロググループ |
新規 |
| ロググループ名 |
/aws/cloudtrail/sample |
| IAMロール |
新規 |
| ロール名 |
sample-cloudtrail-role |
入力が完了しましたら、次へをクリックします
ログイベントの選択
イベント
| 設定項目 |
入力内容 |
| イベントタイプ |
管理イベント, Insights イベント, ネットワークアクティビティイベント |
管理イベント
| 設定項目 |
入力内容 |
| API アクティビティ |
読み取り, 書き込み, AWS KMS イベントの除外, Amazon RDS のデータ API イベントを除外 |
Insights イベント
| 設定項目 |
入力内容 |
| Insights の種類を選択 |
API コールレート, API エラー率 |
ネットワークアクティビティイベント
| 設定項目 |
入力内容 |
| ネットワークアクティビティのイベントソース |
ec2.amazonaws.com |
| ログセレクターテンプレート |
すべてのイベントをログに記録する |
| セレクター名 |
sample-ec2-data-events |
入力が完了しましたら、次へをクリックします
確認と作成
入力が完了しましたら、証拠の作成をクリックします
S3の保存期間を7日に設定
S3管理画面 → バケット選択 → 「管理」→「ライフサイクルルールを作成する」
| 設定項目 |
入力内容 |
| ライフサイクルルール名 |
expire-cloudtrail-logs-7days |
| ルールスコープを選択 |
1 つ以上のフィルターを使用してこのルールのスコープを制限する |
| プレフィックス |
AWSLogs/ |
| ライフサイクルルールのアクション |
オブジェクトの現行バージョンを有効期限切れにする |
| オブジェクト作成後の日数 |
7 |
入力が完了しましたら、ルールの作成をクリックします
まとめ
CloudTrailの証跡を作成し、S3・CloudWatch・SNS・KMSと連携させてログ管理と通知を自動化する手順を解説しました。
