はじめに
今回はCloudTrailが取得できるイベントデータについてざっくりまとめてみました。
CloudTrailが取得できるイベントデータは大きく分けて2つあります。
- データイベント
- 管理イベント
です。
その2つの全体像としては下記のような図になります。
参考 : CloudTrail のデータイベントと管理イベントの違いは何ですか。
それでは早速こちらの図をもとに深掘りしていきます。
データイベント
データイベントとは、S3やLambdaなどのAWSリソース内で実行されるリソース操作イベントのことです。
例えば、
- S3のオブジェクトの追加・取得・削除
- Lambda 関数呼び出し
- Amazon DynamoDBのオブジェクト追加・削除・更新
などです。
また、データイベントはデータプレーンオペレーションとも呼称されます。
参考 : 証跡のデータイベントの記録
管理イベント
管理イベントとは、AWS アカウント内のEC2やS3などのリソースに対して実行される管理操作イベントのことです。
管理操作イベントは、読み取り専用イベントと書き込み専用イベントの2種類があります。
参考 : 証跡での管理イベントの記録
読み取り専用イベント
読み取り専用イベントとは、リソースの読み取りのみを行い、変更を行わない 管理イベントです。例えば、EC2のセキュリティグループの表示、サブネットの表示などが該当します。
参考 : 読み取りおよび書き込みイベント
書き込み専用イベント
書き込み専用イベントとは、リソースを変更する (または変更する可能性がある) 管理イベントです。例えば、EC2のインスタンス起動・削除などS3バケットの作成、IAMリソース作成などが該当します。
参考 : 読み取りおよび書き込みイベント
インサイトイベント
インサイトイベントとは、管理イベントの書き込み専用イベントで、異常なAPI アクティビティとしてCloudTrailに検出されたイベントのことです。例えば、リソースのプロビジョニングの急上昇、IAMアクションのバースト、定期的なメンテナンスアクティビティのギャップなどです。
さいごに
CloudTrailは、CloudTrail 単体ではなく、他サービスと組み合わせでこういったデータをモニタリング・保管・分析していきますので、全体像が掴みづらいのですが、一つずつ調べて理解していきたいと思います。
AWSを運用するにあたり、こういったサービスも活用していきたいですね〜。