Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail

 

CloudTrail — это сервис, который используется для отслеживания активности пользователей и использования API в облаке AWS. Он позволяет проводить аудит учетной записи AWS и управлять ею. С его помощью вы можете отслеживать, что происходит в вашей учетной записи AWS, и постоянно отслеживать их. Он предоставляет историю событий, которая отслеживает изменения ресурсов. Вы также можете включить регистрацию всех событий в S3 и проанализировать, какой другой сервис, например Athena или Cloudwatch .

В этом руководстве мы увидим историю событий вашей учетной записи AWS. Также мы собираемся создать « след » и сохранить событие в S3 и проанализировать их с помощью Cloudwatch .

История событий

Все события управления чтением / записью регистрируются историей событий. Он позволяет просматривать, фильтровать и загружать недавнюю активность в аккаунте AWS за последние 90 дней. Для этого не нужно ничего настраивать.

Использование консоли AWS

Перейдите в сервис CloudTrail и щелкните на панели управления . Вы можете увидеть название события, время и источник. Вы можете нажать « Просмотреть всю историю событий », чтобы просмотреть все события.

# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances

На странице сведений в истории событий вы можете применить фильтр по вашему выбору. Чтобы увидеть все события, используйте «Только для чтения» и «Ложь», как указано выше.

Использование AWS CLI

Вы также можете использовать AWS CLI для просмотра событий. Следующая команда показывает завершенный экземпляр вашей учетной записи.

# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances

Trails

Теперь давайте создадим след, который будет регистрировать все события вашей учетной записи и сохранять их в корзине S3.

На левой стороне выберите Trails и нажмите на кнопку « Создать след »

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

На следующей странице дайте название следу, выберите создание новой корзины S3 и дайте название корзине. (Если у вас уже есть ведро, вы также можете выбрать существующее ведро s3)

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Прокрутите страницу вниз и включите CloudWatch Logs. Создайте группу журналов и дайте имя. Кроме того, назначьте роль IAM и дайте имя. Затем нажмите «Далее».

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Если вы хотите регистрировать все типы событий, нажмите «Выбрать» в разделе «Тип событий». Мы просто идем с управленческими мероприятиями. Итак, нажмите « Далее» .

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Теперь просмотрите свою конфигурацию и нажмите « Create Trail ».

Вы также можете увидеть список созданных трейлов с помощью следующей команды AWS.

# aws cloudtrail list-trails

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Используйте следующую команду, чтобы увидеть все события следа, который мы создали выше.

# aws cloudtrail describe-trails --trail-name-list management-events

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Анализировать журнал в Cloudwatch

При создании CloudTrail мы определили отправку журнала в Cloudwatch. Итак, перейдите в сервис Cloudwatch и нажмите « Группа журналов ».

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

По умолчанию журналы хранятся бессрочно и никогда не истекают. Здесь вы также можете применить фильтр, чтобы получить желаемый результат. Например, мы увидим все запущенные экземпляры в учетной записи AWS. Для этого используйте фильтр RunInstances , как показано ниже. Вывод отображается в формате JSON.

Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail2

Вы также можете использовать CLI для получения всех событий журнала. Выполните следующую команду, чтобы получить все события группы журналов, которую вы определили выше.

# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229

В этой статье мы увидим, как проводить аудит и находить действия в аккаунте AWS с помощью CloudTrail. Спасибо за чтение.

Author: forgero