CloudTrail è un servizio utilizzato per tenere traccia dell'attività dell'utente e dell'utilizzo dell'API nel cloud AWS. Consente il controllo e la governance dell'account AWS. Con esso, puoi monitorare ciò che sta accadendo nel tuo account AWS e monitorarli continuamente. Fornisce la cronologia degli eventi che tiene traccia delle modifiche alle risorse. Puoi anche abilitare la registrazione di tutti gli eventi in S3 e analizzare quale altro servizio come Athena o Cloudwatch.
In questo tutorial vedremo la cronologia degli eventi del tuo account AWS. Inoltre, creeremo un "percorso" e memorizzeremo l'evento in S3 e lo analizzeremo utilizzando Cloudwatch.
Cronologia eventi
Tutti gli eventi di gestione di lettura/scrittura vengono registrati dalla cronologia degli eventi. Ti consente di visualizzare, filtrare e scaricare l'attività recente dell'account AWS negli ultimi 90 giorni. Non è necessario impostare nulla per questo.
Utilizzo della console AWS
Vai al servizio "CloudTrail" e fai clic sulla dashboard. È possibile visualizzare il nome dell'evento, l'ora e l'origine. Puoi fare clic su "Visualizza cronologia eventi completa" per visualizzare tutti gli eventi.
Nella pagina dei dettagli della Cronologia eventi, puoi applicare un filtro a tua scelta. Per vedere tutti gli eventi usa Sola lettura e false come sopra.
Utilizzo di AWS CLI
Puoi anche utilizzare AWS CLI per guardare gli eventi. Il comando seguente mostra l'istanza Terminated del tuo account.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
Sentieri
Ora creiamo un trail che registrerà tutti gli eventi del tuo account e li memorizzerà in un bucket S3.
Sul lato sinistro, seleziona Percorsi e fai clic su "Crea percorso"
Nella pagina successiva, dai un nome al trail, scegli di creare un nuovo bucket S3 e assegna un nome al bucket. (Se hai già un bucket, puoi scegliere anche il bucket s3 esistente)
Scorri la pagina verso il basso e abilita CloudWatch Logs. Crea un gruppo di log e assegna un nome. Inoltre, Assegna il ruolo IAM e assegna un nome. Quindi, fai clic su Avanti.
Se desideri registrare tutti i tipi di eventi, fai clic su seleziona le opzioni nella sezione Tipo di eventi. Stiamo solo andando con gli eventi di gestione. Quindi, fai clic su Avanti.
Ora, rivedi la tua configurazione e fai clic su "Crea percorso".
Puoi anche vedere l'elenco dei trail creati con l'aiuto del seguente comando AWS.
# aws cloudtrail list-trails
Usa il comando seguente per vedere tutti gli eventi del trail che abbiamo creato sopra.
# aws cloudtrail describe-trails --trail-name-list management-events
Analizza il log in Cloudwatch
Durante la creazione di CloudTrail abbiamo definito di inviare il log a Cloudwatch. Quindi, vai al servizio Cloudwatch e fai clic su "gruppo di registro".
Per impostazione predefinita, i registri vengono conservati a tempo indeterminato e non scadono mai. Qui puoi anche applicare il filtro per ottenere l'output desiderato. Ad esempio, vedremo tutte le istanze in esecuzione nell'account AWS. Per fare ciò, usa il filtro "RunInstances" come mostrato di seguito. L'output viene visualizzato in formato JSON.
Puoi anche utilizzare la CLI per ottenere tutti gli eventi del registro. Esegui il comando seguente per ottenere tutti gli eventi del gruppo di log che hai definito sopra.
# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229
In questo articolo, vediamo come controllare e trovare le attività nell'account AWS utilizzando CloudTrail. Grazie per aver letto.
Leggi anche :Come creare e aggiungere un volume EBS nell'istanza AWS (EC2)