イベントログの取得
イベント取得の有効化
イベントログを有効化することで、EventBridge 経由で収集したイベントログを srest 上で可視化できます。
インテグレーションページから [Amazon Web Services (v2)] の [設定] を開きます。
[イベントの取得] タブをクリックします。
INFO
イベントの取得を有効化するには、事前に AWS との連携 を完了させておく必要があります。
EventBridge から収集するサービスを選択し、[CloudFormation StackSets テンプレートの取得] ボタンをクリックします。
テンプレートの URL が表示されるのでコピーします。
[CloudFormation StackSets ページに移動] ボタンをクリックします。
CloudFormation のコンソールが開くので、[IAM role name] に [srest-integration-CloudFormationAdministration...] から始まる IAM ロールを指定します。
[Amazon S3 URL] フィールドに、先ほどコピーした URL をペーストします。
[IAM execution role name] に IAM 実行ロールを指定します。
INFO
IAM 実行ロールは、
srest-integrationスタックをデプロイした際に作成される IAM ロールを指定します。 IAM ロール名は次の手順で確認してください。- AWS コンソールから IAM のページを開きます。
- サイドバーから [Roles] をクリックします。
- 検索フィールドに
srest-integrationと入力し、srest-integration-CloudFormationExecutionから始まる IAM ロール名をコピーします。
[Next] ボタンをクリックします。
[Specify StackSet details] ページが開くので、[StackSet name] に
srest-aws-event-forwarderと入力し、[Next] ボタンをクリックします。[Configure StackSet options] ページでは何も変更せずに [Next] ボタンをクリックします。
[Set deployment options] ページでは、[Account numbers] に AWS アカウント ID (12 桁)、[Specify regions] でイベントログを収集するリージョンを指定。最後に [Next] ボタンをクリックします。
INFO
Health イベントはリージョン固有ではないグローバルイベントを発生することがあります。 グローバルイベントを srest で取得するには、サービスを提供するリージョンのほか、
us-east-1(バージニア北部) を選択する必要があります。[Review] ページでセットアップ内容を確認したうえで [Submit] ボタンをクリックします。
StackSets のデプロイが始まるので、ステータスが [SUCCEEDED] になるまで数分待ちます。
TIP
EventBridge で指定可能なイベントパターンの詳細は、Amazon EventBridge event patterns を参照してください。
通知テスト
ダッシュボード上でイベントログを表示するには、実際に AWS の各種サービスからイベントを発生させる必要があります。 例えば、GuardDuty でテストアラートを発生させることで、srest にイベントログが表示されることを確認できます。
TIP
イベント通知テストは GuardDuty 以外でも確認できます。 例えば CloudWatch を利用している場合、アラームの状態を変更することでイベントログを確認できます。 同様に ECS を利用している場合、タスクステータスの変更をトリガーにイベントログを確認できます。
以下は GuardDuty でテストイベントを発生させる手順です。
DANGER
- 対象アカウントで GuardDuty が有効化されている必要があります。
- GuardDuty は従量課金サービスです。テストで利用する際は 料金 に注意してください。
- GuardDuty が検知したイベントを Chatbot などに通知する設定がある場合、サンプルイベントが大量に配信される可能性があるので注意してください。
- GuardDuty のコンソールを開き、サイドバーから [設定] をクリックします。
- [検出結果のサンプル] から [検索結果サンプルの作成] ボタンをクリックします。
- srest のダッシュボードを開き、[GuardDuty] を開きます。
- 数分後にページをリロードすると、[アラート一覧] に GuardDuty から送信したイベントログが表示されます。
ログの配送を一時的に停止する
イベントログの配送に使用する EventBridge ルールを無効化することで、一時的に srest へのログの配送を停止できます。
- AWS コンソールから EventBridge のページを開きます。
- サイドバーから [Rules] をクリックします。
- [Rules] の一覧から
srest-integrationにチェックを付け、[Disable] ボタンをクリックします。 - 確認モーダルが開いたら、srest-integration が無効化されることを確認したうえで [Disable] ボタンをクリックします。
取得イベントを変更する
取得するイベントを変更する場合は、インテグレーションの再実行が必要となります。
インテグレーションページから [Amazon Web Services (v2)] の [設定] を開きます。
[イベントの取得] タブをクリックします。
取得するサービスを選択し、[CloudFormation StackSets テンプレートの取得] ボタンをクリックします。
表示されている URL をコピーします。
AWS コンソールから CloudFormation のページを開きます。
リージョンを [us-east-1] に変更します。
サイドバーから [StackSets] をクリックします。
StackSets から [srest-aws-event-forwarder] を選択し、[Actions] から [Edit StackSets details] をクリックします。
[Prerequisite] の項目で、[Replace current template] をクリックします。
[Specify template] の項目で、[Amazon S3 URL] に先ほどコピーした URL をペーストします。
[Next] ボタンをクリックして、レビューページまで進みます。
レビューページで内容を確認したうえで、[Submit] ボタンをクリックします。
しばらく待つとスタックの更新が完了します。
ログの配送を停止する
- AWS コンソールから CloudFormation のページを開きます。
- リージョンを [us-east-1] に変更します。
- サイドバーから [StackSets] をクリックします。
- StackSets の一覧から [srest-aws-event-forwarder] をクリックします。
- [Stack Instances] タブを開き、[Actions] メニューから [Delete stacks from StackSet] を選択します。
- [Set deployment options] ページが開くので、[Account numbers] に AWS アカウント ID、[Specify regions] で [Add all regions] ボタンをクリックし、[Next] ボタンをクリックします。
- [Review] ページが開くので、内容を確認したうえで [Submit] ボタンをクリックします。
- スタックの削除が始まるので、ステータスが [SUCCEEDED] になるまで数分待ちます。
- [Actions] メニューから [Delete StackSet] をクリックします。
- srest-aws-event-forwarder が削除されることを確認したうえで、[Delete] ボタンをクリックします。
- StackSets から srest-aws-event-forwarder が削除されたことを確認します。