CloudTrail adalah layanan yang digunakan untuk melacak aktivitas pengguna dan penggunaan API di AWS cloud. Ini memungkinkan audit dan tata kelola akun AWS. Dengannya, Anda dapat memantau apa yang terjadi di akun AWS Anda dan terus memantaunya. Ini memberikan riwayat acara yang melacak perubahan sumber daya. Anda juga dapat mengaktifkan pencatatan semua acara di S3 dan menganalisis layanan lain seperti Athena atau Cloudwatch.
Dalam tutorial ini, kita akan melihat riwayat acara akun AWS Anda. Selain itu, kita akan membuat 'jejak' dan menyimpan acara di S3 dan menganalisisnya menggunakan Cloudwatch.
Riwayat acara
Semua acara manajemen baca/tulis dicatat oleh riwayat acara. Ini memungkinkan Anda melihat, memfilter, dan mengunduh aktivitas akun AWS terbaru Anda selama 90 hari terakhir. Anda tidak perlu mengatur apa pun untuk itu.
Menggunakan konsol AWS
Buka layanan 'CloudTrail' dan klik di dasbor. Anda dapat melihat nama acara, waktu, dan sumber. Anda dapat mengklik 'Lihat riwayat Acara lengkap' untuk mendapatkan semua acara.
Pada halaman detail Riwayat acara, Anda dapat menerapkan filter sebagai pilihan Anda. Untuk melihat semua event gunakan Read-only dan false seperti di atas.
Menggunakan AWS CLI
Anda juga dapat menggunakan AWS CLI untuk melihat acara. Perintah berikut menunjukkan instance Dihentikan akun Anda.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
Jalan
Sekarang, mari buat jejak yang akan mencatat semua peristiwa di akun Anda dan menyimpannya di ember S3.
Di sisi kiri, pilih Lintasan dan klik ‘Buat jejak’
Di halaman berikutnya, beri nama jejak, pilih untuk membuat ember S3 baru, dan beri nama ember. (Jika Anda sudah memiliki ember, Anda juga dapat memilih ember s3 yang ada)
Gulir ke bawah halaman dan aktifkan CloudWatch Logs. Buat grup log dan beri nama. Juga, Tetapkan peran IAM dan beri nama. Kemudian, Klik berikutnya.
Jika Anda ingin mencatat semua jenis acara, lalu klik pilih opsi di bawah bagian Jenis acara. Kami hanya pergi dengan acara Manajemen. Jadi, klik berikutnya.
Sekarang, tinjau konfigurasi Anda dan klik 'Buat Jejak'.
Anda juga dapat melihat daftar jalur yang dibuat dengan bantuan mengikuti perintah AWS.
# aws cloudtrail list-trails
Gunakan perintah berikut untuk melihat semua event dari trail yang kita buat di atas.
# aws cloudtrail describe-trails --trail-name-list management-events
Analisis login di Cloudwatch
Selama membuat CloudTrail, kami telah menetapkan untuk mengirim log ke Cloudwatch. Jadi, buka layanan Cloudwatch dan klik ‘grup log’.
Secara default, log disimpan tanpa batas waktu dan tidak pernah kedaluwarsa. Di sini, Anda juga dapat menerapkan filter untuk mendapatkan output yang diinginkan. Misalnya, kita akan melihat semua instance yang berjalan di akun AWS. Untuk melakukan ini, gunakan filter 'RunInstances' seperti yang ditunjukkan di bawah ini. Output ditampilkan dalam format JSON.
Anda juga dapat menggunakan CLI untuk mendapatkan semua peristiwa log. Jalankan perintah berikut untuk mendapatkan semua aktivitas grup log yang Anda tentukan di atas.
# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229
Dalam artikel ini, kita melihat cara mengaudit dan menemukan aktivitas di akun AWS menggunakan CloudTrail. Terima kasih telah membaca.
Baca Juga :Cara Membuat dan Menambahkan Volume EBS di AWS Instance (EC2)