構成概要
EC2インスタンスのセキュリティログをCloudWatch Logsに転送し、不正ログインを見つけ出してメッセージ通知サービスSNSを利用してアラートメールを管理者へ送ります。EC2の設定変更やプログラミングなしに不正ログインの監視仕組みを簡単に構築できます。
構成イメージ
設定例
IAMロール設定
CloudWatch Logsを実行する権限を持ったIAMロールを作成します。
“Statement”:{
“Effect”:”Allow”, “Action”:{ “logs:CreateLogsGroup”, “logs:CreateLogStream”, “logs:PutLogEvents”, “logs:DescribeLogStreams” } “Resource”:{ “arn:aws:logs:*:*” } } |
awslogs.confの設定(Linuxの場合)
エージェント側の/etc/awslogs/awslogs.confファイルを編集し、CloudWatch Logsへ転送するログ情報を設定します。ログフォーマットや対象ファイル、転送間隔などを設定します。
[/var/log/secure]
datetime_format= %b %d %H:%M:%S file=/var/log/secure buffer_duration=5000 log_stream_name=ec2securelogtest1 initial_position=start_of_file log_group_name=/var/log/secure |