AWS CloudTrailの操作ログを確認する中で、以下のようなお悩みはありませんか。
・必要なログを探すのに時間がかかる
・ログを見ても、どこに何が書かれているのか分かりにくい
本記事では、AWS CloudTrailの操作ログを効率よく確認する方法として、Logstorage(ログストレージ)をご紹介します。
AWS CloudTrailのログ
AWS CloudTrailの操作ログとして、ここでは「CloudTrailが記録したS3に関する操作ログ」を一例に挙げます。このログには、「IAMのユーザーが、S3バケットのセキュリティ設定を確認した」などの情報が記録されています。以下は生ログ(サンプル)ですが、ご覧のとおり内容を読み解くのは容易ではありません。
{eventVersion: 1.08
userIdentity: {type: IAMUser
principalId: XXXXXXXXXXXXXXXXXXXXX
arn: arn:aws:iam::999999999999:user/xxxxx
accountId: 999999999999
accessKeyId: XXXXXXXXXXXXXXXXXXXX
userName: xxxxx
sessionContext: {sessionIssuer: {}
webIdFederationData: {}
attributes: {creationDate: 20xx-10-16T02:06:06Z
mfaAuthenticated: false
}
}
}
eventTime: 20xx-10-16T02:06:17Z
eventSource: s3.amazonaws.com
eventName: GetBucketPublicAccessBlock
awsRegion: us-east-1
sourceIPAddress: xxxxx
userAgent: [S3Console/0.4, aws-internal/3 aws-sdk-java/100.10.1030 Linux/100.10.156-94.273.amzn2int.x86_64 OpenJDK_64-Bit_Server_VM/25.302-b08 java/100.10.0_302 vendor/Oracle_Corporation cfg/retry-mode/standard]
requestParameters: {publicAccessBlock:
bucketName: s3-objects-logstorage
Host: s3-objects-logstorage.s3.us-east-1.amazonaws.com
}
responseElements: null
additionalEventData: {SignatureVersion: SigV4
CipherSuite: ECDHE-RSA-AES128-GCM-SHA256
bytesTransferredIn: 0
AuthenticationMethod: AuthHeader
x-amz-id-2: arsh3cy3ceZ23U63EQfgkUmsh/mRHwe0tJ8WFMG+kesNwhphqf1I+un0fEUH0md/M1TdHsbVA/E=
bytesTransferredOut: 326
}
requestID: 2ZTQ9C2D9MBP6FEN
eventID: 5c2be437-d747-4726-bab3-82ab3ae8c24b
readOnly: true
resources: [{accountId: 999999999999
type: AWS::S3::Bucket
ARN: arn:aws:s3:::s3-objects-logstorage
}
]
eventType: AwsApiCall
managementEvent: true
recipientAccountId: 999999999999
vpcEndpointId: vpce-f40dc59d
eventCategory: Management
}こうしたログが数千〜数万件も出力される環境では、必要な情報を探し出し、内容を正確に把握するまでに膨大な時間と労力がかかります。この課題をLogstorageが解決します。
AWS CloudTrailのログを効率的に確認する
Logstorageにログを取り込んで検索すると、タイムスタンプ・ユーザー名・ユーザータイプ・イベント名などが整理された状態で表示されます。これにより、「誰が、いつ、どのソースに対して、どのような操作をしたか」が一目で分かります。
ログの絞り込みも簡単です。たとえば、イベント名カラムにある「ListBuckets」というテキストをクリックすると、該当するログだけに絞り込めます。
また、ダッシュボードを活用することで、さまざまな観点からログを分析することも可能です。
他にも、Logstorageは日々のログ管理の負担を減らす機能を備えています。
✓ ログを自動で収集できるため、手動取得の手間を減らせる
✓ ログを最大1/10に圧縮して保管できるため、ストレージコストを削減できる
✓ ログから異常を検知してアラートで知らせるため、問題にすばやく気づける
✓ レポートを自動で作成・送付できるため、定期報告の負担を軽減できる
✓ ログを最大1/10に圧縮して保管できるため、ストレージコストを削減できる
✓ ログから異常を検知してアラートで知らせるため、問題にすばやく気づける
✓ レポートを自動で作成・送付できるため、定期報告の負担を軽減できる
AWSのログ管理について課題をお持ちの場合は、以下ページをご確認ください。
