【驚愕】CloudTrailログ解析にlogglyを使ってみた結果www【使わないと損!】

記事タイトルとURLをコピーする


こんにちは、最近日が短くなってなんとなく家で過ごす時間が長くなってきました。新入社員船津です。

今回はCloudTrailのログ解析ツールlogglyを試したのでレポートです。

CloudTrailとは?


AWSの操作履歴のログをJSON形式で吐き出してくれるAWSのサービスのことで、データは5分毎にS3のバケット内に保存されていきます。
CloudTrailについてはこちらをどうぞ→ AWSの操作履歴を記録するCloudTrailを試してみた

CloudTrailを使うといろいろなアクションの実行履歴が取れるわけですが、JSONの洗練されすぎたスタイルは一般人にはどうもとっつきにくい…
ということでCloudTrail可視化ツールの「loggly」を使っていろんなログを「見える化」してみました。

loggly公式サイトhttp://www.loggly.com/

料金プラン

プラン(料金) データ量/日 保持期間
試用期間中(無料) 10GB 15日間
Lite(無料) 200MB 7日間
Standard(49$/月〜) 1GB 15日間
Pro(349$/月〜) 7GB 15日間

試用期間中は機能制限もなく、保存容量もかなり大きくなっています。Liteプラン(無料)だとアラート作成ができません。

基本的な使い方


まずはアカウント作成からです

CT_create_user

こんな感じでユーザー名やメールアドレスをぽちぽちっと入力するだけで準備完了です。
"ユーザ名".loggly.com にアクセスし、パスワードを入力するとコンソール画面が表示されます。
まずは上部タブの"Source Setup"から Sever Side Apps → AWS Cloudtrail と選択します。

CT_source

CT_split


するとこんな感じでS3バケットネームとアクセスキー情報を求められるので入力しましょう。

CT_key_info

以上で準備完了です。
logglyによるログの収集はキー情報の入力が完了した時点からなので、数時間〜一日くらい放置してログが貯まるのを待ちましょう。

CT_log

こんな感じでログが表示されていたら成功です。
logglyにログが貯まっているのを確認したところで、いよいよlogglyの機能を使ってログファイルの「見える化」を行っていきます。

ログイン履歴をとってみた


過去一日間のログイン履歴を取ります。まず左側のウィンドウから"json.eventName" を選択し、"ConsoleLogin"を選択します。すると検索結果にログインの際の情報のみが表示されるようになります。

CT_eventName
今度は下のウィンドウからこのマークを選択します。次に"Split by"から"json.useridentity.userName"を選択します。

CT_split2
するとこんな感じでログインしたユーザ名が表示されます。(見せられませんが…)

CT_userlist

さらにこのPie Chartに色の付いている部分をクリックするとそのログを参照することができます。

インスタンスの操作履歴をとってみた


今度はいきなり"Pie Chart"を選択します。先ほどと同じ要領で"json.eventName"を選択します。
すると以下のように表示され、

CT_eventList
Describe系のAPIコールが行われていることが確認できました。(・ω・)bグッ!

ダッシュボードをカスタマイズしてみた


先ほどのインスタンスの操作履歴をダッシュボードに追加してみましょう
まずは、"Pie Chart"が表示されている画面右上のこのマークを押します。

CT_widget
ウィンドウが開くので名前と説明を入力して"Save"ボタンを押しましょう。
その後は"Dashboards"に戻ります。
まずはタブを追加します。適当な名前を付けてタブを作成しましょう。

CT_addDashboards
タブを作ったら、タブの左上のこのマークをクリックします。

CT_widget

CT_addWidget

そして、"Custom Widgets"→自分の作ったウィジェット→"Add to Dash"とクリックします。
これで完了です。ダッシュボードが以下のようになっていれば(・ω・)bグッ!

CT_widgetinDashborads

【Attention!】
日本語は文字化けしてしまうので説明文には使えないようです。頑張って英語で書きましょう。

アラートを作成してみた


検索結果からアラートを作成することができます。
方法は非常に簡単で、このベルマークを押していくつかの項目を設定するだけです。

CT_topBar
例えばこの画面では"count"が5分以内に10回あったらメールを"someone@someplace.com"へ送信する、という風になっています。

CT_testAlert
ほかにもHTTPメソッド(GET, POST)を使用して送信することができるので、Zabbix等監視ツールへ情報を送信したい場合にも便利ですね。

以上、Logglyのレポートでした。いかがだったでしょうか?

実際のユースケースとしては、運用の監査や不正アクセスなどの調査が考えられます。今回は機能のレポートのみですが、また機会があれば今度は【超絶便利】logglyを実際の運用に使用してみた結果www【logglyだからできた】【離れたくない】みたいな感じでブログに書きたいと思います。

ほかにもたくさん機能がついているのでぜひみなさんも触ってみてください。

logglyを使用して快適なAWSライフを満喫していきましょう。(・ω・)bグッ!