https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-tutorial.html
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html
イベント履歴には、過去 90 日間に発生したイベントのみが表示されます
グローバルサービスイベントは、2021 年 11 月 22 日から米国東部 (バージニア北部) でのみ利用可
米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、
グローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。
-- 1. コマンド等のインストール
-- 1.1 aws cli version 2 インストール
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 1.2 jqインストール
sudo yum -y install jq
-- 2. S3 バケットを作成する
aws s3 mb s3://bucket123
aws s3 ls
-- 3. バケットポリシーの追加
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::bucket123"
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket123/AWSLogs/999999999999/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:ap-northeast-1:999999999999:trail/trail01"
}
}
}
]
}
aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://policy01.json
aws s3api get-bucket-policy \
--bucket bucket123
-- 4. 証跡の作成
aws cloudtrail create-trail \
--name trail01 \
--s3-bucket-name bucket123 \
--no-include-global-service-events \
--no-is-multi-region-trail \
--no-enable-log-file-validation \
--no-is-organization-trail
aws cloudtrail list-trails
aws cloudtrail describe-trails
aws cloudtrail get-trail \
--name trail01
-- 5. ログ記録の開始
aws cloudtrail get-trail-status \
--name trail01
aws cloudtrail start-logging \
--name trail01
-- 6. ログ記録の停止
aws cloudtrail get-trail-status \
--name trail01
aws cloudtrail stop-logging \
--name trail01
-- 7. ログファイルの表示
CloudTrail は、通常、API コールから平均 15 分以内にログを配信します。この時間は保証されません。
aws s3 ls s3://bucket123 --recursive
aws s3 cp s3://bucket123/AWSLogs/999999999999/CloudTrail/ap-northeast-1/2022/03/12/999999999999_CloudTrail_ap-northeast-1_20220312T1245Z_tzTGFWNaCSmLbshB.json.gz - | zcat | jq
-- 8. クリーンアップ
-- 証跡の削除
aws cloudtrail describe-trails
aws cloudtrail delete-trail \
--name trail01
-- バケットの削除
aws s3 ls
aws s3 rb s3://bucket123 --force