AWS_CloudTrailでユーザーの操作ログを取る　#325日目

AWS CloudTrailは、APIコールやユーザーのサインインアクティビティといった、AWSユーザーの操作をロギングするサービスです。

・ルートアカウント/IAMユーザーのオペレーションとAPIコールをトラッキングしてログを取得するサービス
・CloudTrailログファイルは暗号化されてS3に保存
・KMSによる暗号化もサポート
・デフォルトで90日間ログが保存される（設定すると永久保存）
・S3バケット代以外は無料（5GBまでは無料）

大きく以下の手順で設定できます。
①CloudTrailの証跡を有効化する
②CloudTrailのログファイルの保存先となるS3バケットを設定

では①から見ていきます。

AWSマネジメントコンソールのCloudTrailにアクセスし、Create trailをクリックします。

証跡名、S3のバケット名を定義し、以下の設定をします。

・SSE-KMS
　→AWS KMSの利用有無。ここでは無効にした
・Log file validation
　→ログの改変などが行われていないか検証しながらロギングする
・SNS notification delivery
　→Amazon SNSでメール通知などが可能になる
・CloudWatch Logs
　→ログをため込んで可視化できる。ただし有料。

設定したら「Next」をクリックします。

続いてイベントタイプの設定です。どのAPIアクティビティを取得するかを選べます。

・管理イベント
　→AWSリソースで実行された管理オペレーション
・データイベント
　→そのリソース上で実行された操作ログ
・Insightsイベント
　→アカウントの異常なアクティビティ
※基本は3つともチェックした方がよいが、管理イベント以外を追加すると料金が発生する

また、管理イベントは「読み取り／書き込み」をどっちも検知できるにしておきます。

Nextをクリックして最終確認すれば、Create Trail完了です。

ただこれは放置しておくとS3バケットにログがどんどん溜まってしまい、いつか無料枠を超えるので、不要なものは「Stop logging」しておきましょう。

ここまでお読みいただきありがとうございました！