Como enviar logs do CloudTrail para CloudWatch e Elasticsearch

CloudTrail é um serviço fornecido pela AWS que monitora todas as atividades em sua conta, incluindo ações de API feitas por usuários IAM. É útil para realizar auditorias de segurança, mas o console de pesquisa padrão para ele não é o melhor.

Vinculando CloudTrail e CloudWatch

Por padrão, o CloudTrail registra todos os eventos dos últimos 90 dias em sua conta. No entanto, para vinculá-lo ao CloudWatch, você precisará criar uma trilha, que mantém registros de eventos por mais tempo, e também tem a opção de manter registros estendidos em gravações S3 individuais e invocações Lambda.

Para criar um, vá até o Console de gerenciamento do CloudTrail e na seção “ Trilhas ” guia, crie um novo. Você pode escolher quais regiões e quais tipos de eventos ele monitora.

Em “ Eventos de dados, ” você também pode ativar o monitoramento estendido para depósitos S3 ou funções Lambda. Eles são opcionais e incorrerão em alguns custos adicionais, além de ocupar muito mais espaço de armazenamento no CloudWatch Logs.

Depois que a trilha é criada, você pode ativar a integração CloudWatch Logs clicando no nome da trilha em “ Trilhas, ” rolando para baixo até “ Logs do CloudWatch, ” e pressionando “ Configurar. ”

A única opção aqui é o nome do grupo de log, cujo padrão é CloudTrail / DefaultLogGroup. O grupo será criado se ainda não existir.

Devido ao funcionamento do sistema de permissões da AWS, você precisa conceder ao CloudTrail privilégios suficientes para acessar os grupos de log do CloudWatch e criar fluxos para começar a enviar eventos de log. Esta função já está configurada e tudo o que você precisa fazer é pressionar “ Permitir ” na próxima tela para vincular os dois serviços.

Agora você deve ver o grupo de registro e a função IAM nas configurações da trilha:

E, no CloudWatch, você verá um novo grupo de log e fluxo de log criado, que começará a transmitir todos os eventos automaticamente.

O CloudWatch receberá todas as atualizações daqui para frente, mas atualmente não existe uma forma integrada para importar eventos anteriores.

Vinculando CloudWatch e Elasticsearch

Elasticsearch é um mecanismo de pesquisa comumente usado para analisar arquivos de log do Linux e geralmente é combinado com o Kibana, um mecanismo de visualização que é capaz de desenhar gráficos e plotagens usando os dados fornecidos pelo Elasticsearch. Com a enorme quantidade de dados que uma conta AWS ativa pode cuspir do CloudTrail, o Elasticsearch faz sentido para muitas pessoas. Felizmente, é bastante fácil de configurar.

Você pode ler nosso guia completo para configurar um servidor Elasticsearch na AWS aqui. No entanto, se você já o configurou, vincular o CloudWatch a ele é muito simples. No Console do CloudWatch, selecione o grupo de log que deseja vincular e selecione “ Stream To Amazon Elasticsearch Service ”:

Isso abrirá uma caixa de diálogo onde você pode selecionar seu cluster ES. Depois disso, você deve ver todos os eventos do Elasticsearch.