proxmox.blog

普段と違うアクセス集中や異常な動きがあったら自動で検出し、アラートを出してくれる機能。急に大量のAPIコールが発生したりすると「普段と違うよ！」と知らせるから、セキュリティや運用の早期発見に役立つ。

ログが“書き換えられていないか”を検証できる仕組み。改ざんをされると、その証拠もわからなくなるけど、これを使えば改ざんされたかどうかを簡単にチェックできる。信頼性が高まるんだ。

ログをS3に保存する際、KMSなどで暗号化できる。万が一誰かがそのログを盗んでも、鍵がなければ読めない。操作ログには結構機密なことが書いてあるから守る必要があるんだ。

IAMやSTSなどの“グローバルサービス”の操作も記録してくれる。これを有効にしないと、認証まわりのイベントがログに残らず見落とす可能性がある。セキュリティ上、大事な設定なんだ。

複数のリージョンで行われた操作もまとめて1つのS3バケツに保存できる。いちいちリージョンごとにログを確認する手間がなく、どこで操作しても中央に集まるので監査しやすいんだ。

ログをCloudWatch Logsに送ってリアルタイムでチェックしたり、アラートを作ったりできる連携機能。たとえば“ルートアカウントが使われたら通知”といったルールを組むと、怪しい操作にすぐ気づけるんだ。

クラウドトレイルが撮った操作ログをS3に定期的に保存する。長期保管にも向いていて、いつどんな操作をしたかを後でまとめて分析できる。誤操作やセキュリティ事件の時に証拠として役立つんだ。

直近90日分の操作ログをコンソールで簡単に検索できる仕組み。すぐに「今日の午前中、EC2を削除したのは誰？」みたいなのが調べられる。90日より前のは、ちゃんとトレイルを設定していたらS3に保管されているよ。

クラウドトレイルがどのリージョンの操作をどこに保存するかなどを決める設定だよ。これを作ると、指定したAWSアカウントのイベントが自動的に記録されて、S3などに保存される。

AWSで“誰がいつ何をしたか”を記録してくれる監視カメラのようなサービス。操作の履歴がすべてログとして残るから、不正アクセスやミスの原因を後からチェックしやすい。セキュリティや監査に欠かせないんだ。