share facebook facebook2 twitter menu hatena pocket slack

2013.12.05 THU

CloudTrail x Stackdriver

吉田 真吾

WRITTEN BY吉田 真吾

cloudpackエバンジェリストの吉田真吾@yoshidashingo)です。

AWS Advent Calendar 2013 の 1日目 のエントリーです。

Stackdriver は AWS 環境のモニタリングができる SaaS です。

特にWebサーバー(ApacheやNginx)などの「パフォーマンスモニタリング」が簡単にできるので便利です。

今日はそんな Stackdriver で CloudTrail のログ監視もやろうというお話です。

■Stackdriver のサインアップ

Stackdriver は14日間無料でトライアル利用ができます。

■必要情報を入力してサインアップ

申込は http://www.stackdriver.com/ から「Start 14-day free trial」を押下して進んでいきます。

必要情報を入力すればすぐに使えるようになります。

■AWSアカウントの追加

アカウントの設定画面からアカウントの追加を選択します。

画面の説明どおりに操作します。

説明は以下のとおりです。

<ol><li> AWSのIAM画面にログインする。</li>    <li> “Create New Role” を押下する。</li>    <li> “Role Name” に "stackdriver" と入力してcontinueを押下する。</li>    <li> アカウント間の接続ができる “Role for Cross-Account Access” を選択する。</li>    <li> “Allows IAM users from a 3rd party AWS account to access this account” を選択する。</li>    <li> 画面に記載されている stackdriver 側のアカウント情報を入力する。</li>    <li> policy template list から "Read only access" を選択する。</li>    <li> 続行する。</li>    <li> "Create Role" を押下する。</li>    <li> IAM Roleのリストから、新しく作った Stackdriver のロールを選択する。</li>    <li> "Summary" を押下する。</li>    <li> "Role ARN" の値をコピーして、以下に入力する。</li>   </ol><br><p>Save したらダッシュボードで自分の環境の情報がモニタリングできるようになります。</p>   <br><p>つまりこんな仕組み↓</p>   <p><a href="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_06.png">  <img src="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_06.png" height="461" width="600"></a></p>   <br><h4> ■CloudTrail のセットアップ</h4>   <p>次に CloudTrail を有効化します。</p>   <p>2013.12.1現在、米国東海岸と西海岸しか対応してないので、今回はus-eastで有効化します。</p>   <br><p>ログ保存用のS3のバケットを新規作成、あるいは既存から選択し、SNSのトピックを作成します。</p>   <p><a href="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_07.png">  <img src="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_07.png" height="426" width="600"></a></p>   <br><h4> ■CloudTrail ログを Stackdriver に連携</h4>   <p><a href="http://feedback.stackdriver.com/knowledgebase/articles/281621-integrating-with-cloudtrail" target="_blank">Integrating with CloudTrail</a> の情報に基づき SNS の設定をします。</p>   <br><p>ログはS3に格納されているのに、なぜSNSが必要なの?と思われたかもしれません。</p>   <p>Stackdriver は CloudTrail のログを、S3のものを参照するのではなく、SNS のトピックを受信して利用します。</p>   <br><p>つまりこんな感じ↓</p>   <p><a href="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_08.png">  <img src="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_08.png" height="461" width="600"></a></p>   <br><p>Stackdriver 以外 にもいくつか CloudTrail パートナーがいます。</p>   <p>それぞれのサービスによって S3 のログを参照するものとSNSで連携する必要のあるサービスに分かれます。</p>   <p>たとえば loggly はS3を直接参照します。</p>   <br><h4> ■SNS のトピック設定</h4>   <p>SNS のマネジメントコンソールに移動すると、さきほど作成したSNSのトピックができています。</p>   <p>トピックを選択して、"Create Subscription"ボタンを押下します。</p>   <p>Protocolは「SQS」を選択し、EndpointにStackdriverのSQSのARNを入力します。</p>   <p><a href="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_09.png">  <img src="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_09.png" height="461" width="600"></a></p>   <br><h4> ■さいごに確認</h4>   <p>Stackdriver の画面に戻り、しばらくして「CloudTrail integration active」になっていればOKです。</p>   <p><a href="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_10.png">  <img src="/images/article/img_advent-calendar-2013-1st-cloudtrail-stackdriver_10.png" height="460" width="600"></a></p>   <p>上記画面を見ると、us-eastでインスタンスを停止、開始したときのログ&Source IP が表示されていることが分かります。</p>   <br><h4> ■リソース監視だけじゃなく</h4>   <p>いかがでしたか? CloudTrail は今後「使うのが当たり前」になるサービスだと思います。</p>   <p>リソース監視だけでなく、改ざん検知やヒューマンエラー対策等の観点から、CloudTrail を活用して高度な監視の仕組みを回しましょう。</p> <br><br> こちらの記事はなかの人(<a href="http://d.hatena.ne.jp/yoshidashingo/" target="_blank" title="yoshidashingo">yoshidashingo</a>)監修のもと掲載しています。<br>元記事は、<a href="http://d.hatena.ne.jp/yoshidashingo/20131201/1385884568" target="_blank" title="こちら">こちら</a>

吉田 真吾

吉田 真吾