AWS CloudTrail アプリケーションのログの収集
このページでは、AWS CloudTrail アプリケーションでのログ収集を設定する方法について説明します。
AWS CloudTrail Source を設定するには、次の手順を実行します。
- Amazon S3 バケットに、Sumo Logic へのアクセス権を与えます。
- AWS アカウントで CloudTrail を設定します。
- ログが、Amazon S3 バケットに配信されることを確認します。
- AWS CloudTrail Source を Sumo Logic に追加します。
- Sumo で AWS 管理者アクティビティのトラッキングを有効化します。このステップは省略可能ですが、これを行わないと [AWS CloudTrail - User Monitoring (AWS CloudTrail - ユーザ モニタリング)] ダッシュボードの管理者アクティビティ パネルにデータが供給されません。
- AWS CloudTrail 用の Sumo Logic アプリケーションをインストールします。
ログ メッセージのサンプル
{
"eventVersion":"1.01",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDAJ6IGVQ4XQZQDAYEOA",
"arn":"arn:aws:iam::956882708938:user/Olaf",
"accountId":"956882708938",
"userName":"system"
},
"eventTime":"2017-09-27T20:00:10Z",
"eventSource":"signin.amazonaws.com",
"eventName":"ConsoleLogin",
"awsRegion":"us-east-1",
"sourceIPAddress":"65.98.119.36",
"userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36",
"requestParameters":null,
"responseElements":{
"ConsoleLogin":"Failure"
},
"additionalEventData":{
"MobileVersion":"No",
"LoginTo":"https://console.aws.amazon.com/console/home?state\u003dhashArgs%23\u0026isauthcode\u003dtrue",
"MFAUsed":"No"
},
"eventID":"f36c1d07-73cf-4ab8-84b1-04c93ac2aaeb"
}
フィールド抽出テンプレート
parse "eventSource\":\"*\"" as event_source
| parse "\"sourceIPAddress\":\"*\"" as source_ipaddress
| parse "\"eventName\":\"*\"" as event_name
| parse "\"eventSource\":\"*\"" as event_source
| parse "awsRegion\":\"*\"" as aws_Region
| parse "\"userName\":\"*\"" as user
クエリのサンプル
作成/削除されたネットワーク イベントとセキュリティ イベント
_sourceCategory=AWS_EAGLE (*Security* OR *Network*)
| parse "\"userName\":\"*\"" as user
| parse "\"eventName\":\"*\"" as event
| parse regex field=event "^(?<event_type>[A-Z][a-z]+?)[A-Z]"
| where (event matches "*Security*" OR event matches "*Network*") and event_type in ("Create","Delete")
| count by event
| sort _count