【Security Hub修復手順】[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[Opensearch.4] OpenSearch domain error logging to CloudWatch Logs should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のOpenSearchドメインにおいて、CloudWatch Logsへのエラーログの出力をを有効にしているかをチェックします。

エラーログを有効にすると、WARN、ERROR、およびFATALのログがCloudWatch Logsに出力されます。

エラーログは以下のトラブルシューティングに役立ちます（公式ドキュメントからの引用）。

Painless スクリプトのコンパイルの問題

無効なクエリ

インデックス作成の問題

スナップショットの失敗

Index State Management の移行の失敗

トラブルが起きてからエラーログ出力を有効化しては遅いです。さらに再現性がないエラーであった場合、当時のログがないので調査できません。

可観測性を考えた場合でもログ出力は必要だと思いますので、エラーログの出力の有効化を積極的に検討することを推奨します。

修復手順

以下エントリは、Elasticsearchドメイン版の同様のコントロールについての対応内容を示したものです。OpenSearchであっても修復手順は同じですので、詳しくは以下エントリを確認してください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。