Danke AWS … CloudTrail Analyse stark vereinfacht

CloudTrail sollte in jedem Account in jeder Region aktiviert sein. Nur dann loggt AWS automatisch alle Aktionen, die von Admins interaktiv in der AWS Console, über die AWS Command Line oder über AWS API-Aufrufe durchgeführt wurden.

Das Logging selbst findet statt in Form von Json-Dateien, die im Gzip-Format in Intervallen von ca. 5 Minuten auf S3 abgelegt werden. Wollte man nun auswerten, wer in einer Security-Gruppe was gemacht hat, kam man eigentlich nur mit Tools weiter, die in der Lage sind, diese grosse Anzahl von Dateien sinnvoll zu importieren und entsprechend auszuwerten (z.B. Splunk oder Loggly).

Seit kurzem hat aber nun AWS uns das Leben wieder ein Stückchen einfacher gemacht. Die letzten 7 Tage sind nun stets über eine Suchmaske sehr einfach auswertbar.

2015-03-25 18_02_48-CloudTrail Management Console

Damit lassen sich spontane Fragen (AWS spricht hier von Troubleshooting Operational Issues) wer hat wann was gemacht lösen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.