Upload
amazon-web-services-japan
View
1.709
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
1 1
3
AWS CloudTrail
• 概要 – AWSアカウントへの操作をロギングするサービス
– 管理コンソール、コマンドライン、3rd party等API
コールされる全てのイベントが対象
– 出力はS3、SNS(Simple Notification Service)で通知可能
• ユースケース – ユーザー利用状況の監視
– セキュリティ管理
– コンプライアンス強化
– リソースライフサイクル管理
• AWSリソースの作成から削除までの管理
4
AWS CloudTrailは拡張中です
対応サービス追加予定
–対応済:
EC2/EBS/VPC/RDS/IAM/
STS(Security Token
Service)
対応リージョン
– US East (Virginia)
– US West (Oregon)
5
S3バケット新規作成する?
S3バケット名
全リージョンのログを含める?
SNSの通知をONにする?
SNSのトピック名
6
* ルートのURL
* バケット名
* 接頭辞
* リージョン名
* 年(yyyy)
* 月(mm)
* 日(dd)
* タイムスタンプ(ISO 8601形式のUTC)
* 個別識別のためのアルファベット
7
SNSをMailで受けると大漁
8 8
ログ利用の実際
JSON形式そのままは非現実的
EMR, RedShift等に処理させる
9 9
ログの活用例
9
web server
EC2で生成 S3に集約 EMR/Redshift で集計
S3D
istC
p
hiv
e o
r
stre
am
ing
RDSに出力
AWS CloudTrail Partnersが肩代わり
10 10
ログの収集、解析までをワンストップで行うSaaS – SumologicのWebコンソールで作業 – ログの形式はテキスト形式であればあらゆるものが可能
SumoLogicの全サーバはAWS上で動作 – 各種セキュリティ基準をクリア済
一日500MBまでのログであれば無料で利用可能 利用実績 – Netflix, orange, limelightなどなど
CloudTrail
Partner
11 11
SumoLogic内で動作するCloudTrail用アプリ出力サンプル (12.3提供予定)
12 12
sumologicにログインして、 “Collectors”を選択
さらに、”Add Collector” を選択
13 13
Hosted Collectorを選択
14 14
コレクタに名前をつける。
“Add Source”で参照先を追加
15
整理用にNameを定義
S3バケットを設定
IAMでつくったS3アクセス鍵
16 16
コレクタがあることを確認
17 17
OpsWorksしか動いてない例
18 18
19 19
20
Questions?
21 21
その他 your log files are encrypted using Amazon S3 server-side encryption (SSE).
CloudTrail typically delivers log files within 15 minutes of an API call
ログは5分毎にデリバリーされる。デリバリーの際にSNSでトピックをとばせる
you can also define Amazon S3 lifecycle rules to archive or delete log files automatically
You can aggregate log files from multiple AWS regions and multiple AWS accounts into a single Amazon S3 bucket
IAMとも連携しており、CloudTrailに対する編集権限をIAMでコントロール可能
単独アカウントの複数リージョン、複数アカウントを単独リージョン、複数アカウントの複数リージョンサポート、いずれも可能
料金は、S3とSNS分のみ
22 22
複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions
Multiple AWS Accounts with Resources in One AWS Region
Multiple AWS Accounts With Resources in Multiple AWS Regions
23 23
複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions
Multiple AWS Accounts with Resources in One AWS Region
Multiple AWS Accounts With Resources in Multiple AWS Regions
24 24
ログの見方
JSON形式で眺める 例えばJSON整形サービス: http://www.ctrlshift.net/jsonprettyprinter/
HTMLでみてみる http://json.bloople.net/
Excelでみてみる JavaScriptバージョン http://jsfiddle.net/sturtevant/vUnF9/
コンバーター http://json-csv.com/
Classmethod http://dev.classmethod.jp/referencecat/aws-cloudtrail/
EMRで解析
Redshiftで解析
3rd party製品 Splunk等を使う
25
JSONをexcelに変換して
みてみた場合
26 26
複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions
Multiple AWS Accounts with Resources in One AWS Region
Multiple AWS Accounts With Resources in Multiple AWS Regions
27
• 画面上位のサービス名をクリックして、”Amazon CloudTrail”をクリックします
28
• 画面左上の、”Region”をクリックし、“US West (Oregon)”をクリックします(注: この資料作成時点で、CloudTrailは上記2リージョンをサポートしています)
• 画面下部の、[Get Started]をクリックして、RDSの起動を開始します
29
• これで、CloudTrailによりAPIコールのログが保存されはじめました!