{CloudTrail}AWS CloudTrail の開始方法のチュートリアル

https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-tutorial.html
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html

イベント履歴には、過去 90 日間に発生したイベントのみが表示されます

グローバルサービスイベントは、2021 年 11 月 22 日から米国東部 (バージニア北部) でのみ利用可

米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、
グローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。

 


-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

aws --version

-- 1.2 jqインストール
sudo yum -y install jq


-- 2. S3 バケットを作成する

aws s3 mb s3://bucket123

aws s3 ls

-- 3. バケットポリシーの追加

vim policy01.json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket123"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {"Service": "cloudtrail.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket123/AWSLogs/999999999999/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:ap-northeast-1:999999999999:trail/trail01"
                }
            }
        }
    ]
}


aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://policy01.json

aws s3api get-bucket-policy \
--bucket bucket123 


-- 4. 証跡の作成

aws cloudtrail create-trail  \
--name trail01  \
--s3-bucket-name bucket123  \
--no-include-global-service-events  \
--no-is-multi-region-trail  \
--no-enable-log-file-validation  \
--no-is-organization-trail

 

aws cloudtrail list-trails
aws cloudtrail describe-trails
aws cloudtrail get-trail \
--name trail01

-- 5. ログ記録の開始
aws cloudtrail get-trail-status \
--name trail01

aws cloudtrail start-logging \
--name trail01


-- 6. ログ記録の停止
aws cloudtrail get-trail-status \
--name trail01

aws cloudtrail stop-logging \
--name trail01

 


-- 7. ログファイルの表示


CloudTrail は、通常、API コールから平均 15 分以内にログを配信します。この時間は保証されません。

 

aws s3 ls s3://bucket123 --recursive

aws s3 cp s3://bucket123/AWSLogs/999999999999/CloudTrail/ap-northeast-1/2022/03/12/999999999999_CloudTrail_ap-northeast-1_20220312T1245Z_tzTGFWNaCSmLbshB.json.gz   - | zcat | jq 


-- 8. クリーンアップ


-- 証跡の削除
aws cloudtrail describe-trails

aws cloudtrail delete-trail \
--name trail01


-- バケットの削除
aws s3 ls
aws s3 rb s3://bucket123 --force