【Security Hub修復手順】[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

【Security Hub修復手順】[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

Clock Icon2023.03.13

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[ES.4] Elasticsearch domain error logging to CloudWatch Logs should be enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

起動中のElasticsearchドメインにおいて、CloudWatch Logsへのエラーログの出力をを有効にしているかをチェックします。

エラーログを有効にすると、WARN、ERROR、およびFATALのログがCloudWatch Logsに出力されます。

エラーログは以下のトラブルシューティングに役立ちます(公式ドキュメントからの引用)。

  • Painless スクリプトのコンパイルの問題
  • 無効なクエリ
  • インデックス作成の問題
  • スナップショットの失敗
  • Index State Management の移行の失敗
  • トラブルが起きてからエラーログ出力を有効化しては遅いです。さらに再現性がないエラーであった場合、当時のログがないので調査できません。

    可観測性を考えた場合でもログ出力は必要だと思いますので、エラーログの出力の有効化を積極的に検討することを推奨します。

    修復手順

    ドメインの詳細からログタブ>CloudWatch Logs>エラーログを確認します。

    ステータスが無効になっていると思いますので、有効化をクリックします。

    エラーログの設定では、CloudWatch Logsに出力する際のログストリーム名やログ出力に必要となるIAMポリシーをカスタマイズできます。特に要件がなければデフォルトのままで構いません。

    有効化するとエラーログの横にロググループのURLが表示されます。

    URLをクリックすると、ロググループ内にログストリームが作成されていることが確認できます。

    テストログイベントが出力されていれば設定完了です。

    最後に

    今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

    コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

    最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

    Share this article

    facebook logohatena logotwitter logo

    © Classmethod, Inc. All rights reserved.