はじめに
前回は、CloudTrailの取得可能なイベントデータについてまとめましたが、今回はイベントデータの確認・分析についてまとめてみようと思います。
CloudTrail Console
CloudTrail Consoleは、CloudTrailで取得した過去90日間のイベントデータの確認をすることができる、CloudTrailのダッシュボードのメニューです。
CloudTrail Consoleのイベントデータの確認は、過去90日間までのため、イベントデータの保管はS3や、CloudWatch Logsなどの他のAWSサービスを利用して保管→確認・分析するケースが一般的のようです。
Amazon Athena
Athenaは、S3バケットに保管されたイベントデータをSQLクエリを利用して、確認・分析できるAWSサービスです。
CloudTrailのイベントデータを分析するときは最も基本となるサービスのようです。
Amazon Open Search
Amazon OpenSearchは、S3バケット内のイベントデータをAmazon OpenSearchに取り込み、全文検索、フィルタリングなどを可能にするサービスです。Athenaよりも高度で応用的な分析が必要な場合に選択されるサービスです。
参考 : AWS CloudTrail での Amazon OpenSearch Service API 呼び出しのモニタリング
Amazon Cloudwatch Logs Insights
Amazon CloudWatch Logs内のイベントデータを独⾃のクエリ⾔語を⽤いて分析をすることができるサービスです。
Athenaと比較しても出来ることは似ていますが、手軽にデータを可視化することが可能です。しかし、大量のログをCloudWatch Logsに送信し続けるとコストがかなり高くなってしまうようなので注意が必要です。
参考 : CloudWatch Logs Insights を使用したログデータの分析
CloudTrail Lake
CloudTrail Lakeは、CloudTrailのイベントデータを最大7年間保管が可能なイベントデータストアに取り込み、SQL ベースのクエリを実行し、イベントデータよ分析を可能にするサービスです。
2022年にはじまったサービスで、Amazon Athenaで行えることを一通りカバーしているので、CloudTrailのイベントデータの確認・分析をするなら、CloudTrail Lakeが今後の基本となるサービスになりそうです。
参考 : マネージド型の監査およびセキュリティレイクである AWS CloudTrail Lake を発表
参考 : [アップデート] CloudTrailログ分析環境が超絶簡単に手に入る!「CloudTrail Lake」がリリースされました
さいごに
AWS CloudTraiは様々なサービスと連携させることで、データの確認が可能なサービスてあることがわかりました。
また、AthenaはCloudTrailのイベントデータを確認する上では基本となるサービスではあるものの、2022年に始まったCloudTrailに置き換わるのも理解できました。
なので、一旦私が利用するならCloudTrail Lakeかな。。。と思ったりしますが、これから実際に使ってみてどうなのか確認してみたいです。