[小さなアプデ]CloudTrailイベント履歴でイベントの比較ができるようになってました

CloudTrailがイベントの比較ができるようになっていました。どんな感じで見れるのか紹介します。
2020.11.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、証跡たどってますか?(挨拶

今回はCloudTrailの小さなアップデートを紹介します。

イベント比較

CloudTrailはAWSの各種APIの実行履歴を保存するサービスです。有効化しておくと、S3に保存されるログとは別にコンソール上でもイベントを確認することができます。

ふとTrailのコンソールにアクセスしたところ、以下のような表示を目にしました。

イベント履歴で最大5つのイベントを選択して比較できるということです。

あれ?そんなアップデート来てたかなーとRSSを眺めてみたのですが、どうやらそちらには流れていないようでした。

しかしながらドキュメントは用意されていて(英語のみ)、更新はAugust 13, 2020にされていたようです。へー。

イベント比較やってみた

というわけでやってみましょう。

Security Groupを3つ作って、それぞれ別のルールを追加してみました。まずCreateSecurityGroupのイベントを3つ並べてみます。イベント履歴画面でチェックを入れると下の方にイベントが並べて表示されました!よさげ!イベント時間とかユーザーとか比較できます。

もう少し下の方にエラーコードや発信元IPアドレスなどがあります。エラーの違いとか眺めたりするのはいいかもですね。しかしもう少し下は「イベントレコード」と省略されており詳細は比較できませんでした。どうやらAPIで共通する値はある程度ここで比較できますが、各API固有の値は見れないようです、残念。

下の方には参照されるリソースとして、APIと関連するリソースの情報が並んでいますが、リソース名(今回はtest-1,2,3と作成したのでその名前)が並んでいますがきれいな順番になっていません。複数の参照リソースがある場合には順序は固定ではないようです。ずれて表示される場合があるので注意ですね。

続いてAuthorizeSecurityGroupIngressを見てみます。それぞれ設定したルールは異なるのですが、前述したものと同じで、Secuirty Group個別の設定になるのでルールの中身の比較は残念ながら見れませんでした。時間・リージョン・操作者などを見ていくのには使えそうです。

まとめ

CloudTrailのイベント比較ができるようになりました。嬉しい反面、見れない項目も多いので使い所はちょっと限られるとは思います。

同じAPIだけじゃなくて違うAPIも同時に選択できるのでもう少し活用方法はあるかもしれません。