RDSのデータベースが消えている。だれが消したか分かる方法はあるか

RDSインスタンスのデータベースが削除された場合、誰がそれを行ったかを調べるには、AWSの監査およびロギングサービスを使用する必要があります。具体的には、AWS CloudTrailを使用することで、AWSアカウント内でのすべてのAPIコールを追跡できます。以下に、誰がデータベースを削除したかを調査する手順を説明します。

AWS CloudTrailを使用して操作履歴を確認する手順

1. CloudTrailの設定確認

まず、AWSアカウントでCloudTrailが有効になっていることを確認します。CloudTrailは通常デフォルトで有効になっているはずですが、確認しておくと安心です。

  1. AWS Management Consoleにログイン

    • AWSアカウントにログインします。

  2. CloudTrailサービスに移動

    • AWS Management Consoleの上部にある検索バーに「CloudTrail」と入力し、「CloudTrail」をクリックします。

  3. トレイルの確認

    • CloudTrailダッシュボードで、トレイルが設定されているか確認します。通常、デフォルトのトレイルが表示されているはずです。
    • トレイルが設定されていない場合は、新しいトレイルを作成します。

2. イベント履歴の検索

次に、CloudTrailのイベント履歴を使用して、誰がデータベースを削除したかを確認します。

  1. CloudTrailダッシュボードで「イベント履歴」に移動

    • 左側のナビゲーションペインで「イベント履歴」をクリックします。

  2. イベント履歴をフィルタリング

    • イベント履歴ページで、フィルタリングオプションを使用して関連するイベントを絞り込みます。
    • 特定のアクションを探すには、イベント名でフィルタリングします。データベース削除に関連するイベント名は「DeleteDBInstance」や「DropDatabase」です。

  3. イベントの詳細を確認

    • 該当するイベントを見つけたら、イベントの詳細をクリックします。
    • イベントの詳細には、アクションを実行したユーザー、アクションが実行された時間、IPアドレスなどの情報が含まれています。

3. ログのダウンロードと詳細な解析

必要に応じて、CloudTrailログをダウンロードして詳細な解析を行うこともできます。

  1. イベント履歴ページで「検索結果のエクスポート」をクリック

    • フィルタリングした検索結果をCSVファイルとしてエクスポートできます。

  2. ローカル環境での解析

    • エクスポートしたCSVファイルをローカル環境で開き、詳細に解析します。例えば、特定のユーザーやIPアドレスからの不審な操作がないか確認します。

まとめ

AWS CloudTrailを使用することで、誰がRDSのデータベースを削除したかを確認することができます。CloudTrailのイベント履歴を調査することで、データベース削除に関連するアクションを実行したユーザーやその詳細を追跡することができます。この方法を使用して、削除されたデータベースの責任者を特定し、今後の不正操作を防止するための適切な対策を講じることができます。

未分類

Posted by ぼっち