Memo/AmazonWebServices/CloudTrail

http://dexlab.net/pukiwiki/index.php?Memo%2FAmazonWebServices%2FCloudTrail
 

CloudTrail?

CloudTrail?: APIのログをS3に記録するサービス。

  • Q: AWS Management ConsoleでCloudTrail?のログに「user name=root」だが、存在しないAccessKeyIDが表示される。
  • A: AWSサポートの回答: AccessKeyID が「ASIA*** 」から始まる場合、AWS Management Consoleでrootユーザでログインした操作ログ。一時的なIDが利用されるため。

可視化


誰が操作したのかを調べる

AWS console上では90日前(以前は7日前だった)までしか調べられないが、S3上のログには全てあるので、1年以上前でも調査できる。

  • filecloudtrail2tsv.20171027.zip
    • 記事のはスクリプト中のタブがスペースに変わっているので補完
    • aws profileを指定できるように
    • 日付を指定できるように
    • SAML認証していた場合、ユーザ名も出力
  1. cloudtrail2tsv.sh をテキストエディタで開いて変数を設定する
  2. 実行: ./cloudtrail2tsv.sh
  3. out.tsvをExcelやGoogle spreadsheetで開く
  4. フィルタ機能でよしなに調べる

awscliで全リージョン有効化

  • AWSアカウント作成直後に、全リージョンのログを1 bucketに集める
    1. AWS_PROFILE=example
    2. AWS_REGION=ap-northeast-1
    3.  
    4. aws cloudtrail create-subscription \
    5.   --name default \
    6.   --s3-new-bucket "cloudtrail-bucket-${AWS_PROFILE}" \
    7.   --profile $AWS_PROFILE \
    8.   --region $AWS_REGION
    9.  
    10. aws cloudtrail update-trail \
    11.   --name default \
    12.   --is-multi-region-trail \
    13.   --profile $AWS_PROFILE \
    14.   --region $AWS_REGION

添付ファイル: filecloudtrail2tsv.20171027.zip 81件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-05-24 (木) 15:58:36 (32d)