Memo/AmazonWebServices/CloudTrail

http://dexlab.net/pukiwiki/index.php?Memo%2FAmazonWebServices%2FCloudTrail
 

CloudTrail?

CloudTrail?: APIのログをS3に記録するサービス。

  • Q: AWS Management ConsoleでCloudTrail?のログに「user name=root」だが、存在しないAccessKeyIDが表示される。
  • A: AWSサポートの回答: AccessKeyID が「ASIA*** 」から始まる場合、AWS Management Consoleでrootユーザでログインした操作ログ。一時的なIDが利用されるため。

可視化


誰が操作したのかを調べる

AWS console上では90日前(以前は7日前だった)までしか調べられないが、S3上のログには全てあるので、1年以上前でも調査できる。

  • filecloudtrail2tsv.20171027.zip
    • 記事のはスクリプト中のタブがスペースに変わっているので補完
    • aws profileを指定できるように
    • 日付を指定できるように
    • SAML認証していた場合、ユーザ名も出力
  1. cloudtrail2tsv.sh をテキストエディタで開いて変数を設定する
  2. 実行: ./cloudtrail2tsv.sh
  3. out.tsvをExcelやGoogle spreadsheetで開く
  4. フィルタ機能でよしなに調べる

添付ファイル: filecloudtrail2tsv.20171027.zip 64件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-04-10 (火) 15:15:26 (15d)