Aqua EnterpriseからCloudWatch Logsにログ出力してみた

こんにちは。コンサルティング部の枡川です。
Aqua EnterpriseをCloudWatch Logsに連携してログ出力させてみました。
Aquaはpostgresqlにログを溜めることもできるのですが、簡単にAWSと連携できるのでやってみました。
外部にログをアーカイブできますし、他のログもCloudWatch Logsに集めているなら同じ操作感でクエリできるので便利だと思います。

前提・注意点について

本記事における検証においては、Aqua社から提供いただいたトライアルアカウントを利用しています。
コンテナイメージや、セットアップ用のドキュメントなどは、公式ドキュメントアクセス用のアカウントが必要となりますのでご留意ください。

セットアップについて

今回はDockerを利用してセットアップします。
弊社Todaが記載した下記ブログと同様にセットアップしております。
今回は下記インスタンスでセットアップしました。

• AMI：AmazonLinux2 x86 (ami-0701e21c502689c31)
• インスタンスタイプ：t3.small

CloudWatch Logと連携してみた

Aquaのコンソール画面からログを見る際はSecurity Reports>Auditから確認することができます。
CloudWatchと連携したい場合は、Integrationsをクリックします。

連携するサービスを選択します。
今回はAmazon CloudWatchを選択しますが、ElastisearchやSyslogなど他にも複数のツールと連携することができます。

連携するCloudWatch Logsの設定を行います。
Access KeyとSecret Keyは設定していませんが、IAMロールをAquaインストール先のEC2インスタンスにアタッチして連携させます。
また、Log Groupは任意のロググループ名を指定します。
事前にロググループを作成する必要はありません。

今回設定したポリシーは下記です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:CreateLogStream"
            ],
            "Resource": "*"
        }
    ]
}

ログを確認してみた

CloudWatch Logでログを確認してみます。

CloudWatch Logs Insightを使って、CVE情報のみを確認したりできます。