あるチームがCloudTrailとCloudWatchを両方使って監視しているが、どちらを使うべきか判断に迷っている。EC2インスタンスへのSSH不正ログイン試行が行われたかどうかを事後に調査したい場合、最も適切なサービスはどれか。
- A. AWS Configのコンプライアンス評価結果でSSHポートの開放状態を確認する
- B. CloudWatchのカスタムメトリクスでSSHログイン失敗数を監視してアラームを設定する
- C. EC2インスタンスのOS上の認証ログ(/var/log/auth.log)をCloudWatch Logsエージェントで収集して調査する
- D. CloudTrailのイベント履歴でEC2インスタンスのSSH接続記録を検索する
解答と解説を見る
正解: C
CloudTrailはAWS APIコール(コントロールプレーン)の監査ログであり、EC2インスタンス内のOSレベルのSSHログイン試行は記録しない(選択肢Dは誤り)。SSH不正ログイン試行はOS上の認証ログ(Linuxなら/var/log/auth.log、/var/log/secure)に記録されるため、CloudWatch Logsエージェントでこれらのログを収集して調査する(選択肢C)のが正しい。選択肢Bはリアルタイム監視には有効だが、事後調査のためにはログが必要。選択肢DのCloudTrailはSecurityGroup変更やEC2インスタンス起動などのAWS API操作は記録するが、OSレベルのSSHセッションは範囲外。選択肢AのAWS ConfigはSSHポート(22番)が意図せず開放されているかのコンプライアンスチェックには使えるが、実際のログイン試行の有無は確認できない。CloudTrail(APIコール)とCloudWatch Logs(OSログ)の使い分けは重要な概念。
📚 関連サービスの解説: Amazon EC2 ・ Amazon CloudWatch