AMS Accelerate でのログ管理 - AMS Accelerate ユーザーガイド
ログ管理 — AWS CloudTrailログ管理 — Amazon EC2 ログ管理 — Amazon VPC フローログ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS Accelerate でのログ管理

AMS Accelerate は、ログを収集するためにサポートされている AWS サービスを設定します。これらのログは、アカウント内のリソースのコンプライアンスと監査を確保するために AMS Accelerate によって使用されます。

AMS Accelerate は、AWS での運用上の優秀性の実現に役立つさまざまな運用サービスを提供します。24 時間 365 日体制のヘルプデスク、プロアクティブモニタリング、セキュリティ、パッチ適用、ログ記録、バックアップなど、いくつかの主要な運用機能を使用して、AMS が AWS クラウドで全体的な運用上の優秀性を達成するのに役立つ方法をすばやく理解するには、「AMS リファレンスアーキテクチャ図」を参照してください。

ログ管理 — AWS CloudTrail

AWS CloudTrail は、コンプライアンス、運用監査、リスク監査など、アカウントガバナンスに使用されるサービスです。CloudTrail を使用すると、 AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、保持できます。

AMS Accelerate では、アカウント内のすべてのリソースの監査とコンプライアンスを管理するための AWS CloudTrail ログ記録が必要です。オンボーディング中に、次のいずれかのオプションを選択できます。

  • AMS がデプロイした証跡: このオプションを選択すると、AMS はアカウント内の既存の証跡とは無関係に、プライマリ AWS リージョンで CloudTrail マルチリージョン証跡を作成、デプロイ、管理します。

  • 独自の証跡を作成する: 独自のアカウントまたは組織の CloudTrail 証跡を提供することを選択した場合は、Cloud Architect (CA) と協力して、Accelerate に必要な設定を満たしていることを確認する必要があります。このオプションを選択しても独自の証跡を提供しない場合、 Accelerate は独自の CloudTrail 証跡を自動的にデプロイして、継続的なセキュリティと監査カバレッジを維持します。後で独自の証跡を指定すると、AMS は冗長性と追加コストを回避するためにデプロイされた証跡を削除します。このアプローチは、アカウントで 1 つのアクティブな CloudTrail 証跡を維持し、重複するログ記録コストを防ぐのに役立ちます。

注記

アカウントに既存の CloudTrail 証跡があり、オンボーディング中に AMS マネージド証跡を特別に設定またはリクエストしていない場合、AMS Accelerate はアカウントから AMS デプロイされた証跡を自動的に削除します。これにより、ログ記録の重複を防ぎ、リソースの使用量を最適化し、追加コストを節約できます。

AMS Accelerate は、イベント配信先として Accelerate がデプロイした CloudTrail 証跡用の Amazon S3 バケットを作成し、 AWS Key Management Service (AWS KMS) 暗号化を使用します。 CloudTrail 証跡イベントは、調査と診断の目的で AMS Accelerate オペレーターによってアクセスされます。アカウントに既存の CloudTrail 証跡がすでに有効になっている場合、オンボーディング中に Accelerate に Accelerate マネージド証跡をデプロイさせることを選択した場合、この証跡はそれに追加されます。

AMS Accelerate は、デプロイされた CloudTrail 証跡の高速化など、CloudTrail アカウントの証跡が正しく設定および暗号化されるように AWS Config ルールをデプロイします。詳細についてはAWS Configを参照してください。これらは使用されるルールであり、それらを説明する AWS ドキュメントへのリンクとして表示されます。

  • multi-region-cloudtrail-enabled。AMS Accelerate CloudTrail が正しく設定されていることを確認します。

  • cloud-trail-encryption-enabled。 AWS KMS カスタマーマスターキー (CMK) 暗号化でサーバー側の暗号化 (SSE) を使用するよう AWS CloudTrail に設定されている をチェックします。

  • cloud-trail-log-file-validation-enabled。有効にすると、 が AWS CloudTrail ログを含む署名付きダイジェストファイルを作成することを確認します。すべての証跡でファイル検証を有効にすることを強くお勧めします。

  • s3-bucket-default-lock-enabled。有効にすると、Amazon S3 バケットでロックが有効になっていることを確認します。

  • s3-bucket-logging-enabled。有効にすると、Amazon S3 バケットのログ記録が有効になっているかどうかを確認します。

AMS Accelerate は、 AWS KMS を使用して、アカウントにデプロイされた Accelerate の CloudTrail 証跡のログイベントを暗号化します。このキーは、アカウント管理者、AMS Accelerate オペレーター、および CloudTrail によって制御され、アクセスできます。詳細については AWS KMS、「 AWS Key Management Service の機能の製品ドキュメント」を参照してください。

CloudTrail ログへのアクセスと監査

AMS Accelerate がデプロイした CloudTrail 証跡の CloudTrail ログは、アカウント内の Amazon S3 バケットに保存されます。Amazon S3 バケットに保存されている証跡データは、CloudTrail リソースのプロビジョニング時に作成された AWS KMS キーを使用して暗号化されます。

Amazon S3 バケットは、ams-aaws アカウント id-cloudtrail-AWS リージョン (例: ams-a123456789-cloudtrail-us-east-1a) の命名パターンを活用し、すべてのイベントは AWS/CloudTrail プレフィックスとともに保存されます。プライマリバケットへのすべてのアクセスはログに記録され、ログオブジェクトは監査目的で暗号化およびバージョニングされます。

変更の追跡とログのクエリの詳細については、「」を参照してくださいAMS Accelerate アカウントの変更の追跡

CloudTrail ログの保護と保持

AMS Accelerate では、デプロイされた CloudTrail 証跡 Accelerate のガバナンスモードで Amazon S3 オブジェクトをロックできるため、ユーザーは特別なアクセス許可なしでオブジェクトバージョンを上書きまたは削除したり、ロック設定を変更したりすることはできません。詳細については、Amazon S3 オブジェクトロック」を参照してください。

デフォルトでは、このバケット内のすべてのログは無期限に保持されます。保持期間を変更する場合は、 AWS サポート センターを通じてサービスリクエストを送信して、別の保持ポリシーを設定できます。

Amazon EC2 ログへのアクセス

を使用して Amazon EC2 インスタンスログにアクセスできます AWS Management Console。インスタンスと AWS サービスによって生成されたログはCloudWatch Logs で入手できます。CloudWatch Logs は、AMS Accelerate によって管理される各アカウントで利用できます。ログへのアクセスの詳細については、CloudWatch Logs ドキュメントを参照してください。

Amazon EC2 ログの保持

Amazon EC2 インスタンスログは、デフォルトで無期限に保持されます。保持期間を変更する場合は、 AWS サポート センターを通じてサービスリクエストを送信して、別の保持ポリシーを設定できます。

ログ管理 — Amazon EC2

AMS Accelerate は、AMS Accelerate マネージドとして識別したすべての Amazon EC2 インスタンスに CloudWatch エージェントをインストールします。このエージェントは、システムレベルのログを Amazon CloudWatch Logs に送信します。詳細については、Amazon CloudWatch Logs とは」を参照してください。

次のログファイルは、ログと同じ名前のロググループに CloudWatch Logs に送信されます。各ロググループ内で、Amazon EC2 インスタンス ID に従って という名前のログストリームが各 Amazon EC2 インスタンスに作成されます。

Linux

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

  • /var/log/audit/audit.log

  • /var/log/auth.log

  • /var/log/cloud-init-output.log

  • /var/log/cron

  • /var/log/dnf.log

  • /var/log/dpkg.log

  • /var/log/maillog

  • /var/log/messages

  • /var/log/secure

  • /var/log/spooler

  • /var/log/syslog

  • /var/log/yum.log

  • /var/log/zypper.log

詳細については、CloudWatch エージェント設定ファイルを手動で作成または編集する」を参照してください。

Windows

  • AmazonSSMAgentLog

  • AmazonCloudWatchAgentLog

  • AmazonSSMErrorLog

  • AmazonCloudFormationLog

  • ApplicationEventLog

  • EC2ConfigServiceEventLog

  • MicrosoftWindowsAppLockerEXEAndDLLEventLog

  • MicrosoftWindowsAppLockerMSIAndScriptEventLog

  • MicrosoftWindowsGroupPolicyOperationalEventLog

  • SecurityEventLog

  • SystemEventLog

詳細については、「クイックスタート: Windows Server 2016 を実行している Amazon EC2 インスタンスが CloudWatch Logs エージェントを使用して CloudWatch Logs にログを送信できるようにする」を参照してください。

ログ管理 — Amazon VPC フローログ

VPC フローログは、VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャする機能です。フローログデータは、Amazon CloudWatch logsまたは Amazon S3 に発行できます。フローログデータ収集は、ネットワークのスループットやレイテンシーには影響しません。ネットワークパフォーマンスに影響を与えることなく、フローログを作成または削除できます。

フローログは、以下のような多くのタスクに役立ちます。

  • 過度に制限されたセキュリティグループルールの診断

  • インスタンスに到達するトラフィックのモニタリング

  • ネットワークインターフェイスに出入りするトラフィックの方向を決定する

Accelerate アカウントで新しく作成された VPC ごとに VPC フローログを有効にする必要はありません。AMS は、ams-nist-cis-vpc-flow-logs-enabled Config ルールを使用して、VPC にフローログがあるかどうかを自動的に検出します。VPC フローログが有効になっていない場合、AMS はカスタムフィールドで VPC フローログを作成して自動的に修正します。これらの追加フィールドを使用すると、AMS とお客様は VPC トラフィックのモニタリング、ネットワークの依存関係の把握、ネットワーク接続の問題のトラブルシューティング、ネットワークの脅威の特定を行うことができます。

フローログの表示と検索については、「フローログの操作」を参照してください。