1 1

2 2

自己紹介 名前

– 荒木 靖宏

やってること

AWSソリューション

アーキテクト

Debian開発者

ID

Twitter: ar1

ar@debian.org

3

AWS CloudTrail

• 概要 – AWSアカウントへの操作をロギングするサービス

– 管理コンソール、コマンドライン、3rd party等API

コールされる全てのイベントが対象

– 出力はS3、SNS(Simple Notification Service)で通知可能

• ユースケース – ユーザー利用状況の監視

– セキュリティ管理

– コンプライアンス強化

– リソースライフサイクル管理

• AWSリソースの作成から削除までの管理

4

AWS CloudTrailは拡張中です

対応サービス追加予定

–対応済：

EC2/EBS/VPC/RDS/IAM/

STS(Security Token

Service)

対応リージョン

– US East (Virginia)

– US West (Oregon)

5

S3バケット新規作成する？

S3バケット名

全リージョンのログを含める？

SNSの通知をONにする？

SNSのトピック名

6

* ルートのURL

* バケット名

* 接頭辞

* リージョン名

* 年（yyyy）

* 月（mm）

* 日（dd）

* タイムスタンプ（ISO 8601形式のUTC）

* 個別識別のためのアルファベット

7

SNSをMailで受けると大漁

8 8

ログ利用の実際

JSON形式そのままは非現実的

EMR, RedShift等に処理させる

9 9

ログの活用例

9

web server

EC2で生成 S3に集約 EMR/Redshift で集計

S3D

istC

p

hiv

e o

r

stre

am

ing

RDSに出力

AWS CloudTrail Partnersが肩代わり

10 10

ログの収集、解析までをワンストップで行うSaaS – SumologicのWebコンソールで作業 – ログの形式はテキスト形式であればあらゆるものが可能

SumoLogicの全サーバはAWS上で動作 – 各種セキュリティ基準をクリア済

一日５００MBまでのログであれば無料で利用可能 利用実績 – Netflix, orange, limelightなどなど

CloudTrail

Partner

11 11

SumoLogic内で動作するCloudTrail用アプリ出力サンプル (12.3提供予定)

12 12

sumologicにログインして、 “Collectors”を選択

さらに、”Add Collector” を選択

13 13

Hosted Collectorを選択

14 14

コレクタに名前をつける。

“Add Source”で参照先を追加

15

整理用にNameを定義

Ｓ３バケットを設定

IAMでつくったＳ３アクセス鍵

16 16

コレクタがあることを確認

17 17

OpsWorksしか動いてない例

18 18

19 19

20

Questions?

21 21

その他 your log files are encrypted using Amazon S3 server-side encryption (SSE).

CloudTrail typically delivers log files within 15 minutes of an API call

ログは5分毎にデリバリーされる。デリバリーの際にSNSでトピックをとばせる

you can also define Amazon S3 lifecycle rules to archive or delete log files automatically

You can aggregate log files from multiple AWS regions and multiple AWS accounts into a single Amazon S3 bucket

IAMとも連携しており、CloudTrailに対する編集権限をIAMでコントロール可能

単独アカウントの複数リージョン、複数アカウントを単独リージョン、複数アカウントの複数リージョンサポート、いずれも可能

料金は、S3とSNS分のみ

22 22

複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions

Multiple AWS Accounts with Resources in One AWS Region

Multiple AWS Accounts With Resources in Multiple AWS Regions

23 23

複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions

Multiple AWS Accounts with Resources in One AWS Region

Multiple AWS Accounts With Resources in Multiple AWS Regions

24 24

ログの見方

JSON形式で眺める 例えばJSON整形サービス: http://www.ctrlshift.net/jsonprettyprinter/

HTMLでみてみる http://json.bloople.net/

Excelでみてみる JavaScriptバージョン http://jsfiddle.net/sturtevant/vUnF9/

コンバーター http://json-csv.com/

Classmethod http://dev.classmethod.jp/referencecat/aws-cloudtrail/

EMRで解析

Redshiftで解析

3rd party製品 Splunk等を使う

25

JSONをexcelに変換して

みてみた場合

26 26

複数のアカウントの管理も可能 One AWS Account With Resources in Multiple AWS Regions

Multiple AWS Accounts with Resources in One AWS Region

Multiple AWS Accounts With Resources in Multiple AWS Regions

27

• 画面上位のサービス名をクリックして、”Amazon CloudTrail”をクリックします

28

• 画面左上の、”Region”をクリックし、“US West (Oregon)”をクリックします(注: この資料作成時点で、CloudTrailは上記2リージョンをサポートしています)

• 画面下部の、[Get Started]をクリックして、RDSの起動を開始します

29

• これで、CloudTrailによりAPIコールのログが保存されはじめました！