AWS CloudTrailとは

AWSサービスに対して実行された操作をログとして記録するサービスです。
いつ、だれが、何をしたかを把握できないと、色々と不安です。気が付いたらおかしくなっていたでは困りますよね。

CloudTrailでは過去 90 日間のアカウントアクティビティを、無料で表示、フィルタリング、ダウンロードできます。
監査対応にも有効でしょうし、日ごろからこのようなログを取得しておくのはセキュリティ面で重要なことだと思います。

料金について

CloudTrailを設定するには”証跡”というものを作成しますが、証跡1つにつき無料で利用可能です。
CloudTrail の証跡が設定されると使用量に基づいて Amazon S3 の料金が適用されます。すべてのデータイベント、またはそのリージョンで記録された管理イベントの追加コピーについては、料金が発生します。

証跡の設定方法

1,マネジメントコンソールにログインする
2,CloudTrailを開く
3,左サイドメニューの認証情報をクリックして、[証跡の作成]

“証跡情報を全てのリージョンに適用” の箇所は特別な要件がなければ[はい]を選択します。
今後新たに開設されるリージョンに対しても自動的に有効化されるためです。

管理イベントの項目も[すべて]でよいでしょう。

最後に”ストレージの場所” ですが、これはCloudTrailで取得したログを保管するS3バケットを指定します。
ここでも細かく設定ができるので、必要であれば[詳細]をクリックして、設定してください。

ここで私がつまづいたポイント。バケットの名前です!
バケットの名前ですが、最初適当な名前を入力すると

s3 バケット名はすでに存在しています” とエラーになりました。

AWSのバケット名は、グローバルで一意なバケット名を選択する必要があるので、
誰ともかぶってなさそうな名前を付けてあげないといけないようです。

Amazon S3 バケットの命名要件

必要な項目の設定が完了したら[作成]をクリックしてください。ログの取得が開始されます。

さいごに

AWSを安全に使うためにぜひ設定をしておきましょう。
CloudWatchとの連携も可能なため、特定の操作に対して通知や自動対応も可能だそうです。

参考書籍
「Amazon Web Services 業務システム設計・移行ガイド」

コメントを残す