【問題】
CloudTrailを用いてAWSアカウントの証跡を取得するように設定すること。
設定後、取得した証跡ファイルやイベント履歴にて中身を確認しましょう。
【条件】
なし
【参考資料】
公式ユーザーガイド
【利用シーン】
AWSアカウント内のログを取得し、監査や監視に利用します。
・企業の機密情報が入ったS3バケットを閲覧したユーザーの特定
・EC2やRDSなどのリソースを作成・削除したユーザーの特定
▼解答はコチラ▼
1.CloudTrailトップから「証跡の作成」をクリック
2.認証名を入力し、「証跡の作成」をクリック
3.CLoudTrailのログが取得が開始される
S3バケットのURLをクリック
4.証跡がS3にリージョン・日付別にgz形式で保存されている
5.バケットの最下層にある「json.gz」ダウンロードし、テキストエディタで開く
{"Records":[{"eventVersion":"1.09","userIdentity":{"type":"AWSService","invokedBy":"cloudtrail.amazonaws.com"},"eventTime":"2024-01-03T06:13:46Z","eventSource":"s3.amazonaws.com","eventName":"GetBucketAcl","awsRegion":"ap-northeast-1","sourceIPAddress":"cloudtrail.amazonaws.com","userAgent":"cloudtrail.amazonaws.com","requestParameters":{"bucketName":"aws-cloudtrail-logs-...6.別途、CloudTrail>イベント履歴をクリック
AWSアカウントの内のイベントについて確認する。
CloudTrailがどの粒度(細かさ)でログを取得しているか確認しましょう。
S3であればバケットの作成はもちろん、リストを見ただけでもログが出力されているはずです。
また、ログはjson形式で大量に保存されており、人力でログを確認することは困難となります。
Athenaやイベント履歴から確認するようにしましょう。
