このトピックでは、AWS(Amazon Web Services)CloudTrailからイベントを収集する、AWS収集プロトコルを構成する方法について説明します。
注:AWSプラグインは、AWS CloudTrailログからの収集だけを指し、S3バケット(任意のディレクトリ下)にある任意のログからの収集のことは指しません。AWS CloudTrailログはJSON形式で送信されます。この形式については、AWSのドキュメント(http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html)で詳しく説明されています。
AWS収集の仕組み
Log Collectorサービスは、AWS(Amazon Web Services)CloudTrailからイベントを収集します。CloudTrailは、アカウントのAWS API呼び出しを記録します。イベントには、API呼び出し元のID、APIコールの時刻、API呼び出し元のソースIPアドレス、リクエスト パラメータ、AWSサービスによって返されるレスポンス構成要素が含まれます。CloudTrailイベントによって提供されるAWS API呼び出し履歴により、セキュリティ分析、リソース変更トラッキング、コンプライアンス監査を実行できます。CloudTrailでは、ログ ファイルの保存と配布にAmazon S3を使用します。NetWitness Suiteは、クラウド(S3バケット)からログ ファイルをコピーし、ファイルに含まれているイベントをLog Collectorに送信します。
導入のシナリオ
次の図に、NetWitness SuiteにAWS収集プロトコルを導入する方法を示します。
構成
AWS(CloudTrail)イベント ソースを構成するには、次の手順を実行します。
- NetWitness Suiteメニューから[管理]>[サービス]に移動します。
- [Log Collector]サービスを選択します。
- [アクション]で、
>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
-
[イベント ソース]タブをクリックします。
- [イベント ソース]タブで、ドロップダウン メニューから[プラグイン]と[構成]を選択します。
-
[イベント カテゴリ]パネル ツールバーで、
をクリックします。
[使用可能なイベント ソース タイプ]ダイアログが表示されます。
-
cloudtrailを選択し、[OK]をクリックします。
新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。
-
[イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーで
をクリックします。
[ソースの追加]ダイアログが表示されます。
- パラメータ値を定義します。詳細については、以下の「NetWitness SuiteでのAWS(CloudTrail)イベント ソースの構成」を参照してください。
-
[接続のテスト]をクリックします。
テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。
Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、NetWitness Suiteはエラー メッセージを表示します。
-
テストが正常に実行された場合は、[OK]をクリックします。
新しいイベント ソースが[ソース]パネルに表示されます。
AWSパラメータ
次の表に、AWSコレクションで使用できる構成パラメータについて説明します。