arukas

Visualize CloudTrail with Traildash and Arukas

Lorentzca

May 18, 2017 • 3 min read

このブログが動いているサーバはDigitalOceanですが、terraformのbackendにS3やDynamoDBを使うなど、AWSのサービスも使っています。

必然的にIAMユーザを作成しアクセスキーを発行することになるので、CloudTrailでユーザの活動やAPIの使用状況を保存しています。

AWS CloudTrail (AWS API の呼び出し記録とログファイル送信） | AWS

しかし、正直活用できていないです…。というのも、CloudTrailで保存されるログはjsonで、CloudTrail自身に特に可視化機能も同梱されていないのです。なのでログを取ってはみているものの見ることがないという…(良くない)。

そこで、何かいい感じの可視化ツールが無いか探してみたところ、Traildashというツールがありました。

GitHub - AppliedTrust/traildash: AWS CloudTrail Dashboard

今回はこのTraildashを使ってCloudTrailの可視化をしてみます。

Traildash has been retired

いきなりえーって感じですが、TraildashのREADMEにあるように、AWSがAmazon Elasticsearch Serviceを開始したのでElasticSearchとKibanaベースで作られているTraildashはもう開発は続けないよ！とのことです。

ただ、TraildashによってDockerイメージが用意されているので、開始するのが楽ちん！というわけであえてTraildashを使ってみます。

あとAmazon Elasticsearch Serviceを使うとEC2インスタンス費用がかかりますし。

料金 - Amazon Elasticsearch Service | AWS

Traildashのしくみ

CloudTrailはログを置くストレージとして、S3とは別にSNSへの発行ができます。

その仕組みを使って、SQSでそのSNSトピックをサブスクライブし、SQSにキューイングされたメッセージをTraildashがポーリングし、ElasticSearchに保存・Kibanaで可視化するというのがTraildashの主な仕組みなようです。

TraildashはDockerを使うことが推奨されており、コンテナを立ち上げればすぐ使うことができます。

Dockerが動いている環境ならどこでも動かすことができます。

まずはローカルで動かしてみる

まずはローカルのDockerでTraildashコンテナを立ち上げ利用してみます。

AWS側の準備

最初にSNS連携やSQSの設定をしていきます。

CloudTrailでSNS連携を有効にします。

SQSの作成、設定をします。

名前以外はデフォルトでOK

IAMでTraildash用のユーザとアクセスキーを作成します。

TraildashからAWSのリソース(SQSとS3)にアクセスするため
ポリシーはSQSとS3のフルアクセス権を選択している
- さらに最小限のポリシーにもできる。TraildashのREADMEのSetup Traildash in AWSの6.を参照

Traildashの準備

イメージを取得します。

docker pull appliedtrust/traildash

Data volumesのためのpathを作成します。

ElasticSearchのデータを永続化するための場所

mkdir ~/Desktop/traildash-test

Traildashを動かす

docker runします。AWSのアクセスキーなどの環境変数を渡します。

docker run -i -d -p 7000:7000 \
	-e "AWS_ACCESS_KEY_ID=XXX" \
	-e "AWS_SECRET_ACCESS_KEY=XXX" \
	-e "AWS_SQS_URL=https://XXX" \
	-e "AWS_REGION=XXX" \
	-e "DEBUG=1" \
	-v ~/Desktop/traildash-test:/var/lib/elasticsearch/ \
	appliedtrust/traildash

http://localhost:7000/にアクセス。

見れた！すげー！

うまく表示されないときは…

グラフが描画されずずっと読み込み中…

docker attach <traildashのコンテナID>すると、エラーなどが吐かれているのを見れます。

例えば以下のようなエラーなど。

Error dequeing from SQS: SQS ReceiveMessage error: The specified queue does not exist for this wsdl version.

私の場合、よく見たらAWS_SQS_URLに設定したURLをtypoしていた…。ほかにはアクセスキーが間違ってたとかリージョンが間違ってるとかがありそう。

各設定はあっているのにグラフがずっと読み込み中…

SQSにメッセージが無いとデータをS3から取ってこれないので、AWSコンソールにアクセスして適当な操作をすればメッセージがキューイングされ、Traildashにデータが入ると思います。

Arukasで動かす

Arukasで動かすぞ！！

前提として、ArukasではそもそもData volumesに対応していないのでので、**データの永続化はできません。**ので注意。

以下のようにArukasの設定をしていきます。

これだけ！！！

注意点

思った注意点。

ArukasはData volumesに対応していないので、ElasticSearchに貯めたデータを永続化できない
アクセス制限は無いので、URLを知っている人ならだれでもAWSのAPI使用履歴を見れてしまうので注意

感想

CloudTrailの可視化、面白い。監査が捗りそう。

業務で使う場合はAmazon Elasticsearch Serviceなどを使って安定した基盤で行う必要があるが、ちょっと遊んで見るくらいならTraildash + Arukasを使うと楽だし無料だし楽しい！