Мониторинг вызовов API и активности пользователей в AWS с помощью CloudTrail
CloudTrail — это сервис, который используется для отслеживания активности пользователей и использования API в облаке AWS. Он позволяет проводить аудит учетной записи AWS и управлять ею. С его помощью вы можете отслеживать, что происходит в вашей учетной записи AWS, и постоянно отслеживать их. Он предоставляет историю событий, которая отслеживает изменения ресурсов. Вы также можете включить регистрацию всех событий в S3 и проанализировать, какой другой сервис, например Athena или Cloudwatch .
В этом руководстве мы увидим историю событий вашей учетной записи AWS. Также мы собираемся создать « след » и сохранить событие в S3 и проанализировать их с помощью Cloudwatch .
История событий
Все события управления чтением / записью регистрируются историей событий. Он позволяет просматривать, фильтровать и загружать недавнюю активность в аккаунте AWS за последние 90 дней. Для этого не нужно ничего настраивать.
Использование консоли AWS
Перейдите в сервис CloudTrail и щелкните на панели управления . Вы можете увидеть название события, время и источник. Вы можете нажать « Просмотреть всю историю событий », чтобы просмотреть все события.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
На странице сведений в истории событий вы можете применить фильтр по вашему выбору. Чтобы увидеть все события, используйте «Только для чтения» и «Ложь», как указано выше.
Использование AWS CLI
Вы также можете использовать AWS CLI для просмотра событий. Следующая команда показывает завершенный экземпляр вашей учетной записи.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
Trails
Теперь давайте создадим след, который будет регистрировать все события вашей учетной записи и сохранять их в корзине S3.
На левой стороне выберите Trails и нажмите на кнопку « Создать след »
На следующей странице дайте название следу, выберите создание новой корзины S3 и дайте название корзине. (Если у вас уже есть ведро, вы также можете выбрать существующее ведро s3)
Прокрутите страницу вниз и включите CloudWatch Logs. Создайте группу журналов и дайте имя. Кроме того, назначьте роль IAM и дайте имя. Затем нажмите «Далее».
Если вы хотите регистрировать все типы событий, нажмите «Выбрать» в разделе «Тип событий». Мы просто идем с управленческими мероприятиями. Итак, нажмите « Далее» .
Теперь просмотрите свою конфигурацию и нажмите « Create Trail ».
Вы также можете увидеть список созданных трейлов с помощью следующей команды AWS.
# aws cloudtrail list-trails
Используйте следующую команду, чтобы увидеть все события следа, который мы создали выше.
# aws cloudtrail describe-trails --trail-name-list management-events
Анализировать журнал в Cloudwatch
При создании CloudTrail мы определили отправку журнала в Cloudwatch. Итак, перейдите в сервис Cloudwatch и нажмите « Группа журналов ».
По умолчанию журналы хранятся бессрочно и никогда не истекают. Здесь вы также можете применить фильтр, чтобы получить желаемый результат. Например, мы увидим все запущенные экземпляры в учетной записи AWS. Для этого используйте фильтр RunInstances , как показано ниже. Вывод отображается в формате JSON.
Вы также можете использовать CLI для получения всех событий журнала. Выполните следующую команду, чтобы получить все события группы журналов, которую вы определили выше.
# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229
В этой статье мы увидим, как проводить аудит и находить действия в аккаунте AWS с помощью CloudTrail. Спасибо за чтение.