Рейтинг:0

Проблема с журналом событий S3

флаг th

Есть ли способ увидеть, какие действия пользователь IAM «g2» выполняет в S3 и с каких IP-адресов он работает? Я уже включил регистрацию действий S3.

Один момент, который я до сих пор не могу понять, заключается в том, что когда я пытаюсь найти журналы в облачном следе, используя ключ доступа AWS или имя пользователя, в обоих случаях я получаю результаты как Нет совпадений. Но в течение дня этот пользователь (g2) взаимодействует с S3, исходя из времени, когда кажется, что это CRON, работающий на каком-то сервере. Как это определить?

Я проанализировал историю событий CloudTrail и использовал CloudWatch Logs Insights, чтобы узнать IP-адрес регистрации доступа за 90 дней, используя как «имя пользователя», так и «ключ доступа AWS», но кажется, что это не так уж много. помощь в поиске пользовательских данных «g2». «g2» Пользователь IAM имеет доступ администратора. У пользователя нет доступа к управлению консолью. Я подозреваю, что он просто выполняет «ls» для проверки существования некоторых файлов. Я думаю, что одни и те же действия будут происходить каждый день для него

Я знаю дату/время, которое пользователь выполняет, и ресурс (S3), но это все (без ведра, без IP и т. д.). Можем ли мы что-нибудь сделать с этой информацией?

Я уже тестировал эти запросы, но не смог получить результат 

    поля @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resources.0.ARN
    | filter sourceIPAddress == "xx.xx.xx.xx" и userIdentity.sessionContext.sessionIssuer.userName == "g2" и eventSource == "s3.amazonaws.com"
    | сортировать @timestamp desc
    | лимит 100

    поля @timestamp, @message
    | фильтр userIdentity.userName == "g2"
    | сортировать @timestamp desc
    | ограничение 20

    поля @timestamp, @message
    | фильтровать sourceIPAddress == "192.168.1.1"
    | сортировать @timestamp desc
    | ограничение 20
    ✓

Может ли запрос Athena к журналам CloudTrail быть полезным? Будет ли журнал CLI CloudTrail полезен для моего сценария? Кто-нибудь может мне с этим помочь?

Tim avatar
флаг gp
Tim
Один из способов, который может помочь, — отправить журналы CloudTrail в журналы Cloudwatch и использовать Cloudwatch Log Insights для их поиска. Поиск отдельных записей журнала в журналах CloudTrail может оказаться сложной задачей.
samtech 2021 avatar
флаг th
Здравствуйте, Тим! Я проанализировал историю событий CloudTrail и использовал CloudWatch Logs Insights, чтобы узнать IP-адрес ведения журнала доступа за 90 дней, используя как «имя пользователя», так и «ключ доступа AWS», но, похоже, это не так». t большую помощь в поиске пользовательских данных «g2». «g2» Пользователь IAM имеет доступ администратора. У пользователя нет доступа к управлению консолью. Я подозреваю, что он просто выполняет «ls» для проверки существования некоторых файлов. Я думаю, что одни и те же действия будут происходить каждый день для него
Рейтинг:0
флаг cn

Я создал новый трейл, чтобы проверить это. Процесс был такой:

  1. Создайте новый CloudTrail, включив доставку в CloudWatch, как предложил @Tim, а также активируйте Data Events на S3. Вы можете просто включить Data Events на S3 и отфильтровать для рассматриваемого сегмента, иначе вы можете создать много журналов!
  2. Скопировал некоторые файлы в тестовую корзину (foo.txt)
  3. CloudWatch -> Группы журналов -> Моя группа -> «Просмотр в Log Insights»

Как только журналы начинают поступать, я могу легко сделать следующее:

Найти использование с моего IP-адреса (если вы знаете IP-адрес, замените 192.168.1.1):

поля @timestamp, @message
| фильтровать sourceIPAddress == "192.168.1.1"
| сортировать @timestamp desc
| ограничение 20

Найдите активность в роли, которую я беру на себя:

поля @timestamp, @message
| filter userIdentity.sessionContext.sessionIssuer.userName == "Администратор"
| сортировать @timestamp desc
| ограничение 20

Затем я могу развернуть любую из строк с помощью стрелки слева, чтобы найти более полезные поля. Любое поле может быть добавлено в поля список, чтобы он отображался красиво, например. используйте IP, роль и сервис, чтобы сузить поиск и показать полезную информацию:

поля @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resources.0.ARN
| filter sourceIPAddress == "xx.xx.xx.xx" и userIdentity.sessionContext.sessionIssuer.userName == "Admin" и eventSource == "s3.amazonaws.com"
| сортировать @timestamp desc
| лимит 100

Быстрое обновление: я вошел в свою учетную запись хранилища резервных копий, чтобы найти фактического пользователя IAM, ключ:

filter userIdentity.userName == "iam-user-name"
samtech 2021 avatar
флаг th
Здравствуйте, shearn89, я пробовал это, но в итоге получил результат «Нет результатов». https://ibb.co/2yhXyrJ
флаг cn
См. мое обновление — возможно, вам потребуется выполнить поиск по `userIdentity.userName`.
samtech 2021 avatar
флаг th
по-прежнему нет результата с этим кодом: | фильтр userIdentity.userName == "g2" | сортировать @timestamp desc | ограничение 20
флаг cn
Что ж, вам придется попытаться сузить поиск, чтобы определить поля для поиска. Если вы примерно знаете, когда произошло действие, вы можете начать с него. Или протестируйте его с другим пользователем IAM, чтобы убедиться, что он работает. Также проверьте, что имя пользователя такое же, как в IAM — это просто «g2»?
samtech 2021 avatar
флаг th
Спасибо шерн89 , я знаю дату/время, которое пользователь выполняет, и ресурс (S3), но это все (без корзины, без IP и т. д.). Можем ли мы что-нибудь сделать с этой информацией?
флаг cn
Вам придется начать с поиска за это время (например, 5 минут за этот период). Затем отфильтруйте по службам и покопайтесь в журналах. Я не могу дать вам пошаговые инструкции по изучению ваших собственных данных, вам придется просмотреть события и начать их фильтровать.
samtech 2021 avatar
флаг th
Хело Шерн89, Я сделал это, и я могу найти желаемый результат с другими пользователями IAM, но не с этим конкретным пользователем «g2», до сих пор не могу понять, почему?
флаг cn
Действительно ли G2 является пользователем IAM, получающим доступ через ключи доступа? Или он работает на экземпляре EC2 с использованием роли экземпляра? Или взять на себя роль в командной строке?
samtech 2021 avatar
флаг th
привет ширн89 , Да, верно, "g2 — пользователь IAM с доступом администратора. У пользователя нет доступа к управлению консолью.
флаг cn
Поиск чувствителен к регистру. Вы искали `G2`, когда пользователь `g2`? Иначе у меня нет идей. Если вы можете найти действия других пользователей, CloudTrail работает должным образом.
samtech 2021 avatar
флаг th
shearn89, я ищу с точно таким же именем пользователя IAM, но безрезультатно. Да, запрос работает нормально для других пользователей. Есть ли вероятность, что это cron?
флаг cn
Неважно, если это связано с cron, то он все равно должен быть зарегистрирован в CloudTrail, если только это не происходит на самом деле как пользователь G2, а какой-то другой пользователь.
флаг cn
Давайте [продолжим это обсуждение в чате](https://chat.stackexchange.com/rooms/134016/discussion-between-shearn89-and-samtech-2021).
samtech 2021 avatar
флаг th
Здравствуйте, shearn89! На основе запросов Athena я могу найти действия пользователей IAM «g2», включая IP-адреса. но судя по результатам, последний раз он использовался в октябре 2021 года, но сегодня IAM регистрирует его как доступ, можете ли вы сообщить, почему это так или как это диагностировать?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.