« 【AWS発表】AWSのIPアドレスレンジをJSONで提供 | メイン | 【AWS発表】Amazon Zocaloアップデート - モバイルアプリ + 5TB ファイル »

【AWS発表】CloudTrail と CloudWatch Logs が連携。2つのパートナーソリューションの紹介

ご存知の通り AWS CloudTrail は AWS アカウントでの API 操作を記録し、指定された S3 のバケットにログを保管します(詳しい情報は過去の投稿「AWS CloudTrail - AWS APIコールの記録を保存」を御覧ください)。また今年、 OS やアプリケーションのログを保管して監視することができる CloudWatch Logs を発表しました。お伝えした通り、CloudWatch Logs は指定したフレーズや値、パターンを監視する機能を提供します。

CloudTrail と CloudWatch が連携

今回、CloudTrail と CloudWatch Logs が連携できるようになったことをお伝えします。この連携により CloudTrail が特定の API 操作を記録した際に、CloudWatch で SNS 通知が行えるようになります。

SNS 通知により関心があるパターンが検知された際に、すぐ対応が行えるようになります。操作をしたユーザに詳細を確認するために連絡することもできますし、自動的にトラブルチケットを作成することや他のトラブルシューティング操作を開始することもできます。例えば、VPC に関連した API 呼び出しを監視する CloudWatch Logs メトリックフィルタを作成して、CloudWatch メトリックと CloudWatch アラームを作成すると、メトリック値が指定した閾値を越えた時に、SNS 通知を届けることが出来ます。

CloudTrail のコンソールからこの連携を有効にすると、CloudTrail は API 操作が記録されたログファイルが指定した Cloudwatch ロググループに届きます。:

あらゆる AWS 機能と同様に、AWS コマンドラインインターフェース (CLI)AWS SDK を使って、この連携を有効にすることができます。この新しい連携機能を有効にした後でも、引き続きCloudTrailは指定された S3 バケットへログファイルを保存します。

メトリック、フィルタ、アラームの設定

早速、連携を設定してみましょう。SNS 通知を受け取って迅速な対応を行えるようにするには、CloudWatch メトリックフィルタ、メトリック、アラームを作成する必要があります。AWS アカウントで認証失敗が発生した時に、SNS 通知を受け取りたいとしましょう。3 ステップでセットアップできます。

CloudTrail は API コールが失敗した理由を、不適切あるいは権限不足であるとエラーコードをデータに含めて提供しているので、メトリックフィルタを使って文字列 "AccessDenied" と "UnauthorizedOperation" を CloudTrail イベントから検索できます。:

次に、フィルタを名前空間 "LogMetrics" 内の "AuthorizationFailureCount" という名前の CloudWatch メトリックを生成するように設定する必要があります。"AccessDenied" あるいは "UnauthorizedOperation" が出てくる度にメトリックの値を 1 増やすようにします。:

次に、CloudWatch アラームを作成し、閾値を設定します。今回は認証失敗の度に通知を受けるため、1 分に 1 回以上失敗が発生したらアラームが発生するようにします。もちろん、必要に応じてカスタマイズすることもできます。

自分の SNS トピックにEメールのサブスクリプションを作成して、認証失敗させることでこれをテストしてみます。通知テキストは以下のようになるかと思います。:

You are receiving this email because your Amazon CloudWatch Alarm
"AuthorizationFailureCount" in the US - N. Virginia region has entered
the ALARM state, because "Threshold Crossed: 1 datapoint (3.0) was greater
than the threshold (1.0)." at "Wednesday 05 November, 2014 19:12:58 UTC

見て頂いた通り、CloudTrail と CloudWatch をつないで SNS 通知を設定するにはほんの数分しかかかりません。CloudTrail チームはこの新しい機能についてみなさんのフィードバックをお待ちしています。お客様がどの API や API の操作を監視したいかについてチームは特に興味を持っています。CloudTrail のフォーラムを見てぜひフィードバックをお願いします。

費用と利用可能なリージョン

この連携機能は CloudWatch Logs がサポートされているリージョンで既に利用可能です。: 米国東部(バージニア)、米国西部(オレゴン)、欧州(アイルランド)。CloudWatch Logs や CloudWatch の標準的な費用がかかります。

パートナーによるサポート

AWS パートナーである CloudNexa と Graylog2 は CloudTrail のログファイルを分析するツールをアナウンスしました。

CloudNexa 社(プレミアコンサルティングパートナー、AWS リセラー)はクラウド管理サービスを提供されています。今回 vNOC プラットフォームの一部として追加料金無しで新しい CloudTrail 対応機能の提供を開始しました。このツールを使ってリージョン毎の CloudTrail イベントを見たり、最もよく呼び出された API コール、サービスを確認したりすることができます。また、無関係なイベントをフィルタリングしたり、関心がある部分を素早くドリルダウンすることができます。以下は VNOC ダッシュボードのスナップショットです。:

より詳しい情報は、Webサイト1分ビデオをご確認下さい。


Graylog2 は OS やアプリケーションのログと CloudTrail からのログファイルを組み合わせる事を可能にするオープンソースのソリューションです。一度これらのイベントを取り込むと、Graylog2 は大量のデータから簡単検索を実施したり、複数のソースからのイベントを関連させてダッシュボードを作ることができます。

より詳しい情報は、Webサイト1分ビデオをご確認下さい。

コメント

トラックバック

この記事のトラックバックURL:
http://www.typepad.com/services/trackback/6a00d8341c534853ef01b8d0992554970c

【AWS発表】CloudTrail と CloudWatch Logs が連携。2つのパートナーソリューションの紹介を参照しているブログ:

Featured Event

2016年3 月

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31