Zenn
💨

【AWS】CloudTrailのログの整合性を検証するには?

2024/03/26に公開
AWS
cloudtrail
AWS CLI
tech

はじめに

CloudTrailのログの整合性を検証できるように業務で設定や手順書作成をしたので、記事としてアウトプットしたいと思います。

CloudTrailログの整合性の検証とは?

CloudTrailが配信した後でログファイルが改ざん(変更/削除)されたかどうかを検証することができる

ログの整合性を有効化する

※CloudTrailの証跡は、既に作成済みであることを前提に書いています。

  • AWSコンソールよりCloudTrailダッシュボードを開き、証跡の設定画面を開く。
CloudTrail > 証跡 > <対象の証跡>
  • 証跡の「全般的な詳細」の編集画面でログファイルの検証を有効化する。

ログの整合性を確認する

AWSCLIより以下コマンドを実行する。

コマンド
aws cloudtrail validate-logs --trail-arn <CloudTrail の ARN> --start-time <開始時間> --end-time <終了時間>

開始時間と終了時間は、UTC形式で記載する。

  • 時間の記載例
時刻 確認したい時間 UTCに変換した時間 コマンドに記載する時間
開始時刻 2024/03/25 11:00:00 2024/03/25 2:00:00 20240325T02:00:00Z
終了時刻 2024/03/25 18:00:00 2024/03/25 11:00:00 20240325T11:00:00Z
  • コマンド実行例

通常時)
digest files validlog files validが一致していれば改ざんはされていない。

実行例
$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-northeast-1:012345678910:trail/ssm_test --start-time 20240325T02:00:00Z --end-time 20240325T11:00:00Z
Validating log files for trail arn:aws:cloudtrail:ap-northeast-1:012345678910:trail/ssm_test between 2024-03-25T02:00:00Z and 2024-03-25T11:00:00Z

Results requested for 2024-03-25T02:00:00Z to 2024-03-25T11:00:00Z
Results found for 2024-03-25T02:08:15Z to 2024-03-25T11:00:00Z:

10/10 digest files valid
106/106 log files valid

異常時)
digest files validlog files validが一致していなければ改ざんされている。
(以下の場合は、ログファイルを1つ削除した後に実行している)

実行例
$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-northeast-1:012345678910:trail/ssm_test --start-time 20240325T02:00:00Z --end-time 20240325T11:00:00Z
Validating log files for trail arn:aws:cloudtrail:ap-northeast-1:555246305565:trail/ssm_test between 2024-03-25T02:00:00Z and 2024-03-25T11:00:00Z

Log file	s3://aws-cloudtrail-logs-012345678910-941342e9/AWSLogs/012345678910/CloudTrail/ap-northeast-1/2024/03/25/012345678910_CloudTrail_ap-northeast-1_20240325T0450Z_VdcJXLq3gEM9N36K.json.gz	INVALID: not found

Results requested for 2024-03-25T02:00:00Z to 2024-03-25T11:00:00Z
Results found for 2024-03-25T02:08:15Z to 2024-03-25T11:00:00Z:

10/10 digest files valid
105/106 log files valid, 1/106 log files INVALID
$

参考

https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html

https://dev.classmethod.jp/articles/validating-cloudtrail-log-file-integrity/

Discussion