AWS CloudTrail アプリケーションのログの収集
このページでは、AWS CloudTrail アプリケーションでのログ収集を設定する方法について説明します。
AWS CloudTrail Source を設定するには、次の手順を実行します。
- Amazon S3 バケットに、Sumo Logic へのアクセス権を与えます。
- AWS アカウントで CloudTrail を設定します。
- ログが、Amazon S3 バケットに配信されることを確認します。
- AWS CloudTrail Source を Sumo Logic に追加します。
- Sumo で AWS 管理者アクティビティのトラッキングを有効化します。このステップは省略可能ですが、これを行わないと [AWS CloudTrail - User Monitoring (AWS CloudTrail - ユーザ モニタリング)] ダッシュボードの管理者アクティビティ パネルにデータが供給されません。
- AWS CloudTrail 用の Sumo Logic アプリケーションをインストールします。
ログ メッセージのサンプル
{ "eventVersion":"1.01", "userIdentity":{ "type":"IAMUser", "principalId":"AIDAJ6IGVQ4XQZQDAYEOA", "arn":"arn:aws:iam::956882708938:user/Olaf", "accountId":"956882708938", "userName":"system" }, "eventTime":"2017-09-27T20:00:10Z", "eventSource":"signin.amazonaws.com", "eventName":"ConsoleLogin", "awsRegion":"us-east-1", "sourceIPAddress":"65.98.119.36", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36", "requestParameters":null, "responseElements":{ "ConsoleLogin":"Failure" }, "additionalEventData":{ "MobileVersion":"No", "LoginTo":"https://console.aws.amazon.com/console/home?state\u003dhashArgs%23\u0026isauthcode\u003dtrue", "MFAUsed":"No" }, "eventID":"f36c1d07-73cf-4ab8-84b1-04c93ac2aaeb" }
フィールド抽出テンプレート
parse "eventSource\":\"*\"" as event_source
| parse "\"sourceIPAddress\":\"*\"" as source_ipaddress
| parse "\"eventName\":\"*\"" as event_name
| parse "\"eventSource\":\"*\"" as event_source
| parse "awsRegion\":\"*\"" as aws_Region
| parse "\"userName\":\"*\"" as user
クエリのサンプル
作成/削除されたネットワーク イベントとセキュリティ イベント
_sourceCategory=AWS_EAGLE (*Security* OR *Network*)
| parse "\"userName\":\"*\"" as user
| parse "\"eventName\":\"*\"" as event
| parse regex field=event "^(?<event_type>[A-Z][a-z]+?)[A-Z]"
| where (event matches "*Security*" OR event matches "*Network*") and event_type in ("Create","Delete")
| count by event
| sort _count