วิธีใช้ CloudTrail: ข้อมูลใน AWS หายไปต้องทำอย่างไร?
ปัญหาที่เกิดขึ้น
บริษัทมีการรันแอพพลิเคชั่นผ่าน ECS ไว้อยู่แต่วันก่อนมีการติดต่อว่าใช้งานแอพลิเคชั่นไม่ได้ หลังจากตรวจสอบดูปรากฎว่า ECS clusterได้หายไปแล้ว ลองตรวจสอบประวัติผ่าน aws config ก็เป็นข้อมูลที่ไม่รองรับอีก
แล้วต้องทำอย่างไร
ใช้ cloud trailในการตรวจสอบ event history
Viewing events with CloudTrail Event history
บนหน้า console cloudtrail จะแสดงข้อมูลการดำเนินการต่างๆ และ เหตุการณ์ด้านความปลอดภัย เรียกว่า "Event history" ซึ่งสามารถใช้อ้างอิงในการตรวจสอบเกี่ยวกับ การสร้าง,เปลี่ยน หรือ แม้กระทั่งการลบข้อมูลในแต่ละ Regionของ AWS accountนั้นๆได้ (ตัวอย่างเช่น IAM User หรือ EC2 เป็นต้น)
cloudtrail เป็นบริการที่รวบรวมข้อมูล event ที่มีการเก็บประวัติจาก aws cli หรือ aws management console และอีกหลายๆบริการ โดยหลังจากสร้าง AWS account แล้วจะมีผลโดยอัตโนมัติ และไม่ใช่เพียงการดำเนินการจากผู้ใช้งานเท่านั้น แต่ยังรวมไปถึงการจัดการต่างๆใน lambda เองก็มีการเก็บข้อมูลด้วยเช่นกัน ซึ่งมีประโยชน์อย่างมากสำหรับใช้ในการค้นหาที่มาที่ไปของข้อมูลต่างๆ
และด้วยเหตุนี้ เราจึงสามารถตรวจสอบจาก Event history ได้ว่า ECS cluster ที่หายไปนั้น หายไปไหน โดยใคร และ เมื่อไหร่?
ข้อควรรู้ : ในปัจจุบันไม่ใช่ข้อมูลAWSทั้งหมดที่จะบันทึกบนcloudtrail รบกวนตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับeventที่ cloudtrail รองรับได้ที่นี่ AWS service topics for CloudTrail
ก่อนเริ่มใช้งาน cloudtrail
เนื่องจากข้อมูลจะถูกจัดเก็บไว้ในแต่ละ region รบกวนตรวจสอบหน้า management console อีกครั้งว่าเลือกRegionที่จะใช้งานถูกต้องหรือไม่ อย่างเช่น เลือกใช้งานที่ virginia ก็จะไม่แสดงข้อมูลที่สร้างไว้ที่ singapore
หากไม่เห็นข้อมูลที่สร้างไว้ เป็นไปได้ว่าผู้ใช้งานอาจจะอยู่ในRegionอื่น โดยบริการบางส่วน(อย่างเช่น EC2 instance เป็นต้น) นั้นจะแสดงข้อมูลเฉพาะRegionที่สร้างเท่านั้น ซึ่งในการแสดงผลข้อมูลต้องเลือก Region ที่ผู้ใช้งานสร้างก่อนจึงจะดูข้อมูลได้
ลองใช้งาน
เปิดหน้า console ของ cloudtrail และ คลิ้กที่ event history
คลิ้กที่ Read-only แล้วเลือก Event name
พิมพ์ข้อมูล*Event nameที่เกี่ยวข้องกับการลบข้อมูลลงในช่องค้นหา *Event name ของแต่ละบริการสามารถค้นหาได้จาก api reference (ตัวอย่างของECS)
เท่านี้เราก็จะสามารถดูข้อมูลที่หายไปว่า หายไปเมื่อไหร่ และโดยใคร ในกรณีนี้ ECS cluster ได้หายไปโดย user ชื่อ Piyachart ในวันที่ 20 MAY 2022
หลังจากคลิกที่ชื่อ event name แล้ว เรายังสามารถดูรายละเอียดเพิ่มเติมได้ (อย่างเช่น ip address) หรือ ตรวจสอบข้อมูลการใช้งานต่างๆจาก aws cli หรือ management console ได้ในส่วนทางด้านล่างที่เรียกว่า "event record "
เงื่อนไขในการค้นหา event
ในกรณีที่รู้ชื่อResource สามารถค้นหาโดยระบุจาก resource name ได้เลย
หรือแม้กระทั่ง resource name , event name ก็ยังค้นหาได้จากหัวข้อ ”event source”
นอกจากนี้ ยังสามารถค้นหาโดยอ้างอิงจากช่วงเวลาได้อีกด้วย
