AWS CloudWatch

ダウンストリームのワークフローのログに依存しないでください。ログは事前の通知なしに変更される場合があります。代わりに、 ScanResultTopic を使用してください。ログにのみ存在する必要な情報がある場合は、機能のリクエストでサポートに連絡してください。

CloudWatchでスキャン結果を表示する

File Storage Security は、スキャン結果を AWS CloudWatch ログに記録します。これらのログには、 fss- *タグにある情報よりも少し多くの情報が含まれています。

CloudWatch ログでスキャン結果ログを表示するには：

1. AWSで、 CloudFormation > Scanner Stack > Resources > ScannerLogGroup リンクに移動します。 CloudWatch サービスが表示され、左側で Log groups が選択されています。
2. Log streamsで、ファイルを 検索するS3 バケット に追加した時刻以降の Last event time のログストリームを選択します。
3. scanner result: で始まるイベントメッセージを展開し、 スキャン結果フォーマットを参照します。

CloudWatchでスキャン結果を検索する

AWS CloudWatch Logs Insightsを使用してスキャン結果を検索できます。以下は、クエリを設定する方法の例です。

1. AWSで、 CloudWatch サービスにアクセスします。
2. 左側の Logsで、 Insightsを選択します。

3. メインペインで、 Select log group(s) フィールド内を選択し、検索ボックスに ScannerLambda と入力します。 File Storage Security ロググループを選択します。次のようになります。

   /aws/lambda/FileStorageSec-ScannerLambda-2R3P1J2HTVPU

4. テキストボックスの内容を次の行に置き換えます。

   fields @timestamp, @message
   | filter @message like "scanner result"
   | sort @timestamp desc
   | limit 20
   

   このクエリは、最大20までのすべてのスキャン結果を検索します。

5. 使用可能なボタンを使用して、時間または日付の範囲を設定します。

6. Run queryを選択します。スキャン結果を含むメッセージのリストが表示されます。

   結果を期待していて表示されない場合は、より広い時間または日付範囲を設定してみてください。

7. メッセージを展開して、スキャン結果を表示します。スキャン結果については、CloudWatchでスキャン結果を表示するを参照してください。

CloudWatchを使用して悪意のあるファイルを監視する

AWS CloudWatch Logs Insightsを使用して、システムの悪意のあるファイルを監視できます。

悪意のあるファイルが見つかったときに ScannerLambda 関数によって生成されたログを検索するスクリプトの例を次に示します。

fields @timestamp, @message, ispresent(scanning_result.Findings.0.malware) as infected, scanning_result.Findings.0.malware as malware, file_url
| filter @message like "scanner result"
| sort @timestamp desc
| display @timestamp, scanner_status_message, infected, malware, file_url
| limit 20

クエリを作成したら、クエリを保存して定期的に再実行し、悪意のあるファイルを監視できます。

CloudWatchでクエリを設定したくない場合は、代わりに Lambda関数を作成 して、悪意のあるファイルが見つかったときにメールを送信できます。