データタイプ¶
アクティビティログはタイムライン形式で表示されます。
画面左側にAWS Config、右側にAWS CloudTrailのデータが表示されます。
異常なアクティビティはどう見分ける?
例えば、以下のような観点で異常かどうかや緊急性の有無を見極めることができる可能性があります
- 普段アクセスがないロケーション(国外など)
- エラーレートが高い
- ユーザの振る舞いが普段と違う
- 予定されたメンテナンス時間以外のアクティビティ
- 機密情報への侵害の有無
- プロダクション環境への影響
次にそれぞれのログフォーマットについて説明します
AWS Config¶
AWS Configは以下のタイプが存在します
Type | 説明 |
---|---|
Created(緑) |
リソースが作成された |
Updated(黄) |
リソースが更新された |
Deleted(赤) |
リソースが削除された |
また、AWS Configは以下のメタデータを表示します
- resource: リソースID
- type: (上記参照)
- state_id: 状態のID
- aws_account: 12桁のアカウントID
- region: リージョンコード
CloudTrail¶
CloudTrailは以下タイプがあります
Type | 説明 |
---|---|
Read(緑) |
参照系のアクション |
Write(黄) |
更新系のアクション |
Error(赤) |
アクション失敗 |
また、CloudTrailは以下のメタデータを表示します
- event_name: アクション名
- type: (上記参照)
- ID: CloudTrailのID
- event_source: AWSサービス名
- username: ユーザ名
- location:
- AWSの内部のアクションの場合はAWSのサービス名
- AWSの外部からのログは、IPアドレスと国コードを付加して表示します