AWS CloudTrailを解析出来るログアプリ

AWS CloudTrail

はそのままで見づらいので、すでにパートナーとして提供されているアプリを試してみます。

参考URL

http://aws.amazon.com/jp/cloudtrail/

CloudTrail でログとれ〜る 

AWSの操作履歴を記録するCloudTrailを試してみた « サーバーワークス エンジニアブログ 

【驚愕】CloudTrailログ解析にlogglyを使ってみた結果www【使わないと損!】 « サーバーワークス エンジニアブログ 

AWS 白帯シリーズ(5) CloudTrail のログを可視化する試み(1) by @inokara on @Qiita 

【Excel改造】AWSへのアクセスログをExcelで表示してみた【CloudTrail編】|クラスメソッドブログ 

今回試したのは

  • CloudCheckr
  • Stackdriver
  • Sumologic
  • Alert Logic

で大半は有料プランじゃないと見れないのが多かったので選んで再度検証を続けたい所。

その他のサービスはまた何か別の機会に試したい。

-----------------------------

[CloudCheckr]

http://cloudcheckr.com/

提供パターン

金額

ドキュメント: http://support.cloudcheckr.com/configure-aws-cloudtrail-to-log-trails-in-a-single-s3-bucket/

使える様になるまでのフロー

  • CloudCheckrにアカウントを作る
  • S3のGetObject権限があるIAMを作る -> 設定方法
  • CloudCheckr内にアカウントを作り上記IAMを設定する
  • 左側メニューのSecurity > CloudTrailの所から見る。

{width="169" height="400"}

データの収集は定時か強制に行う事が可能

感想

  • 設定自体は簡単だった
  • CloudCheckrがTrusted Advisorとほとんど同じ機能であった
  • CloudTrail用じゃなくてもCloudCheckr便利だった

{width="640" height="310"}

[【AWS発表】AWS CloudTrail アップデート - 7つの新サービス & CloudCheckr ]

[この機能いいね! - Alert Builder]
CloudCheckrの機能にAlert Builderというのがあって以下の内容をアラートとして送ってくれる

  1. AWS Costs
  2. CloudTrail(beta)
  3. EC2 Number of Instances
  4. EC2 Resources Utilization
  5. S3 Storage Used (less than/greater than)
  6. S3 Total Objects

AWSの機能を使えば5と6以外は出来るけど、5と6は自分で組む以外は出来なかった気がする。SNSやPagerDutyと連携も出来るので便利〜

{width="640" height="134"}

-----------------------------

[Stackdriver]

http://www.stackdriver.com/

https://app.stackdriver.com/

提供パターン: SaaS

金額: 無料もあるがEliteコースじゃないとCloudTrail使えない 

ドキュメント: http://support.stackdriver.com/customer/portal/articles/1491719-integrating-with-cloudtrail

使える様になるまでのフロー

StackDriverのアカウント作成

IAM roleを作成 ->設定方法

  • 上記の画面で一緒にIAM RoleのARNを入力する箇所がありStackDriverと連携をする

instanceの監視もしたいのであればagentインストールを行う

CloudTrailをOnにする

SNSでトピックを作る

SQSのキューを作り、上記のSNSのトピックをSubcribeする

感想

  • 有料だったので結局試せなかったのでなし
  • でも設定は簡単だった。
  • Googleアカウントでログイン出来るし、別のクラウドも一緒に管理出来るのはいいね
  • UIもネルフみたいで中二病を感じさせる

TODO

  • 後でEliteコースにしてみる

-----------------------------

[Sumologic]

使える様になるまでのフロー

Sumologicのアカウントを作る

CloudTrailをOnにする

S3の読み込み専用のIAMを作る(Access KeyとSecret Keyが必要)

Hosted Collectorを作る -> 設定方法

  • 自分の環境にCollectorを作る事も可能(Installed Collector)

LibraryからCloudTrailのappを入れる -> 設定方法

感想

  • 有料だったので結局試せなかったのでなし
  • 設定は簡単
  • Sumologic自体は操作が簡単に出来るのでCloudTrailもいい感じのはず。。。

-----------------------------

[Alert Logic]

使える様になるまでのフロー

上記のMarketplaceからAlert Logic Managerを起動

Alert Logicにアカウントを作る(起動したインスタンスのFQDNにアクセスすればその旨表示されるのでそこからアカウント作ると良い)

CloudTrailをOnにする-> リンク

SNSでトピックを作る

SQSのキューを作り、上記のSNSのトピックをSubcribeする

IAM Roleを作る(Alert LogicのAWSアカウントがアクセスする為にcross-account accessがしたいらしい)割と設定が面倒なのでこちらを参考に作る

  1. Alert LogicのAWSアカウント: 239734009475

CloudTrail Logソースを作る ->リンク ←[今ここで挫折中]

感想

TODO

  • サポートに問い合わせる....

-----------------------------

まとめ

  • CloudTrailは大体有料プラン側に入っている
  • 如何に簡単に設定出来るか、というのは大事
  • 他のインスタンスの監視やコストの監視などまとめてみれると確かに嬉しい
  • 遅延があるのは結構辛いなと思った