【Security Hub修復手順】[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[ES.4] Elasticsearch domain error logging to CloudWatch Logs should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のElasticsearchドメインにおいて、CloudWatch Logsへのエラーログの出力をを有効にしているかをチェックします。

エラーログを有効にすると、WARN、ERROR、およびFATALのログがCloudWatch Logsに出力されます。

エラーログは以下のトラブルシューティングに役立ちます（公式ドキュメントからの引用）。

Painless スクリプトのコンパイルの問題

無効なクエリ

インデックス作成の問題

スナップショットの失敗

Index State Management の移行の失敗

トラブルが起きてからエラーログ出力を有効化しては遅いです。さらに再現性がないエラーであった場合、当時のログがないので調査できません。

可観測性を考えた場合でもログ出力は必要だと思いますので、エラーログの出力の有効化を積極的に検討することを推奨します。

修復手順

ドメインの詳細からログタブ＞CloudWatch Logs＞エラーログを確認します。

ステータスが無効になっていると思いますので、有効化をクリックします。

エラーログの設定では、CloudWatch Logsに出力する際のログストリーム名やログ出力に必要となるIAMポリシーをカスタマイズできます。特に要件がなければデフォルトのままで構いません。

有効化するとエラーログの横にロググループのURLが表示されます。

URLをクリックすると、ロググループ内にログストリームが作成されていることが確認できます。

テストログイベントが出力されていれば設定完了です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。