メインコンテンツまでスキップ
Sumo Logic Japanese

AWS CloudTrail Source

AWS CloudTrail は、AWS に対して行われた API 呼び出しを記録します。この呼び出しには、AWS マネジメント コンソール、AWS SDK、コマンド ライン ツール、および上位レベルの AWS サービスを使用して実行される呼び出しがあります。これらのメッセージを Sumo Logic にアップロードするには、AWS CloudTrail Source を追加します。AWS CloudTrail Source は、アップロード前に自動的にログを parse します。

AWS CloudTrail Source を設定するには、次の手順を実行します。

  1. AWS アカウントで CloudTrail を設定します。選択内容に従って、専用の S3 バケットが生成されます。
  2. 上記で作成または使用した Sumo Logic へのアクセス権限を Amazon S3 バケットへ付与します。
  3. ログが、Amazon S3 バケットに配信されることを確認します。
  4. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。 
  5. Source を追加する Hosted Collector を選択し、[Add Source (Source を追加)] をクリックします。新しい Hosted Collector を作成するには、「Hosted Collector を設定する」を参照してください。
  6. [AWS CloudTrail] をクリックします。
  7. AWS Source の説明に記述されている設定を行います。
  8. 省略可能: AWS CloudTrail 用の Sumo Logic アプリケーションをインストールします。

CloudTrail ログ オブジェクト

CloudTrail ログ オブジェクトは、一連のイベント オブジェクトを含む単一の JSON レコード配列として AWS によって生成されます。AWS CloudTrail Source は、境界とタイムスタンプの処理ルールを自動的に適用して、CloudTrail レコード配列から個々のイベントオブジェクトを Sumo Logic 内の個別のログ メッセージとしてプル転送します。

次に、AWS CloudTrail ファイル オブジェクトの例を示します。

{"Records":[{"eventVersion":"1.03","userIdentity":{"type":"Root","principalId":"XXXXXXXXXX","arn": 
"arn:aws:iam::XXXXXXXXXX:root","accountId":"XXXXXXXXXX","accessKeyId": "XXXXXXXXXXXXXXXX","sessionContext": 
{"attributes":{"mfaAuthenticated":"false", "creationDate":"2016-04-01T16:09:43Z"}}}, "eventTime": 
"2016-04-01T16:19:26Z","eventSource":"s3.amazonaws.com","eventName":"GetBucketLocation","awsRegion": 
"us-west-2","sourceIPAddress":" 192.168.1.1","userAgent":"[S3Console/0.4]","requestParameters": 
{"bucketName":"example"},"responseElements":null,"requestID":"DE61373E09329981","eventID": 
"d4877d6c-4bf2-4a46-82d5-c8d710905138","eventType":"AwsApiCall","recipientAccountId":"XXXXXXXXXX"}, 
{"eventVersion": "1.03","userIdentity":"type":"Root","principalId":"XXXXXXXXXX","arn": 
"arn:aws:iam::XXXXXXXXXX:root","accountId": "XXXXXXXXXX","accessKeyId":"XXXXXXXXXXXXXXXX","sessionContext": 
{"attributes":{"mfaAuthenticated":"false", "creationDate":"2016-04-01T16:09:43Z"}}},"eventTime": 
"2016-04-01T16:19:26Z","eventSource":"s3.amazonaws.com", "eventName":"GetBucketLocation","awsRegion": 
"us-west-2","sourceIPAddress":" 192.168.1.1","userAgent": "[S3Console/0.4]","requestParameters": 
{"bucketName":"example"},"responseElements":null,"requestID": "F1A6B08803D73C5A","eventID": 
"2b4d6eea-ecb8-4853-a1d2-f0b6b931d5bf","eventType":"AwsApiCall","recipientAccountId": 
"XXXXXXXXXX"}, {"eventVersion":"1.04","userIdentity":"type":"Root","principalId":"XXXXXXXXXX","arn": 
"arn:aws:iam::XXXXXXXXXX:root","accountId":"XXXXXXXXXX","accessKeyId":"XXXXXXXXXXXXXXXX","sessionContext": 
{"attributes":{"mfaAuthenticated":"false","creationDate":"2016-04-01T16:09:43Z"}}},"eventTime": 
"2016-04-01T16:22:11Z","eventSource":"cloudtrail.amazonaws.com","eventName":"DescribeTrails","awsRegion": 
"us-west-2","sourceIPAddress":"10.1.1.1","userAgent":"console.amazonaws.com","requestParameters": 
{"trailNameList":[]},"responseElements":null,"requestID":"e36e19ff-f825-11e5-9015-0336c0231e57", "eventID": 
"9b5a6b39-0415-4c88-b7f1-698161bf028b","eventType":"AwsApiCall","recipientAccountId": 
"XXXXXXXXXX"},{"eventVersion": "1.04","userIdentity":"type":"Root","principalId":"XXXXXXXXXX", 
"arn":"arn:aws:iam::XXXXXXXXXX:root","accountId": "XXXXXXXXXX","accessKeyId":"XXXXXXXXXXXXXXXX", 
"sessionContext":{"attributes":{"mfaAuthenticated":"false", "creationDate":"2016-04-01T16:09:43Z"}}}, 
"eventTime":"2016-04-01T16:22:34Z","eventSource":"cloudtrail.amazonaws.com", "eventName":"DescribeTrails", 
"awsRegion":"us-west-2","sourceIPAddress":"10.1.1.1","userAgent":"console.amazonaws.com", "requestParameters":
{"trailNameList":[]},"responseElements":null,"requestID": "f0c79c48-f825-11e5-933d-65f8283355b7", "eventID":
"2f9837ef-f727-45d7-a217-2974d27cb998","eventType": "AwsApiCall","recipientAccountId":"XXXXXXXXXX"}}

CloudTrail イベントは、Sumo Logic 内で次のように表示されます。

coudtrail_events.png

AWS Source

  • この記事は役に立ちましたか?