AWS CloudTrail
https://gyazo.com/07fb261be5e945483a7bd4f5129db43a
awsのapiリクエストの証跡を保存するサービス(前提としてawsの操作は全てapiへのリクエストで行われている
AWSを「誰が」「いつ」「何に対して」「どのような」操作をしたのかを記録するサービス
検索とかには他のサービスと組み合わせる
リージョナル→証跡はリージョン毎に保存される
https://gyazo.com/9774e190c2b83409c3b936bc19208895
概念
証跡
CloudTrailで保存するログ一式
複数の証跡を作成することで用途ごとにログを重複して保存したりできる→コストとのトレードオフ
https://gyazo.com/1bacdd19f1b7e1c9d881e252fa9c7e60
hiroki.icon左のパターンは重複してデータを保管するので結構高くなるよね
管理イベント
管理系の操作ログ
コンソールへのログイン、EC2インスタンスの作成、S3バケットの作成、ネットワーク構成変更
データイベント
S3バケット上のデータ操作、Lambda実行
イベントセレクターで特定の操作のイベントログだけを取り込むとか
インサイトイベント
管理イベントの計測値が通常パターンから外れた場合に生成される
リソースプロビジョニングの急上昇とか
ユースケース
Cloud WatchLogsとの連携
事前に不正な操作を登録しておき、ユーザがそれに該当する行動をした時に検知する
→アラート
https://gyazo.com/95a47232b8f035429c102510baa49ff0
インサイトイベントから異常検知して通知する
AWS Organizationsで複数アカウントのTrailログを一つのバケットに集約できる
https://gyazo.com/95c429ee10e94a67314a270df113ac5e
ログの調査する
高度で応用的な調査であればElasticsearch Service
https://gyazo.com/21bb707917c33a3e85de14702f303f5bhttps://gyazo.com/a62ca935e905f450fc9e89daf0e26ed4
https://gyazo.com/0a80cd805da63cc8289215ec518398f1
https://gyazo.com/fe248a9c73a41e18a64882049aca5cfb
https://gyazo.com/d571b8eb01bf7d2130b78b0b38698a38
https://gyazo.com/921707774504bd5b51de7fafacd56580
/icons/hr.icon
https://youtu.be/_mmZa1Blxc4
https://gyazo.com/dd5ab75d76244dcec6f3205ed0f874a8
https://gyazo.com/be7f252b9390ec06307eccca66260369
https://gyazo.com/0f2b8299c6d07bb90eff7f4040c6acf2
https://gyazo.com/93e39b1ac1345409def067809d560794