View a markdown version of this page

Drupal Core のソース設定 - Amazon CloudWatch
Drupal Core との統合Drupal Core での認証CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

Drupal Core のソース設定

Drupal Core との統合

Drupal Core は、PHP を基盤としたオープンソースのウェブアプリケーションフレームワークであり、ウェブサイト、アプリケーション、デジタルエクスペリエンスを構築するための基盤プラットフォームを提供します。CloudWatch Pipeline は、カスタムビューベースの REST API を使用して、Drupal Core サイトからコンテンツの変更、ユーザー認証イベント、管理アクションなどの監査ログデータを取得します。API を使用すると、REST エンドポイントを介して時間でフィルタリングされたログデータにアクセスでき、設定可能な時間範囲のアクティビティレコードを取得できます。

Drupal Core での認証

ログを読み込むには、パイプラインが Drupal Core サイトで認証される必要があります。プラグインは、基本認証 (ユーザー名とパスワードを使用した HTTP 基本認証) をサポートしています。

Drupal Core の基本認証を設定する

  • Drupal Core 管理者インターフェイスにログインし、[管理] → [拡張] (/admin/modules) に移動します。

  • RESTful Web Services、シリアル化、HTTP 基本認証、ビューのモジュールを有効にします。[インストール] を選択します。

  • Composer (composer require drupal/admin_audit_trail) 経由で Admin Audit Trail モジュールをインストールして有効にし、drush en admin_audit_trail -y && drush cr を実行してアクティブ化します。

  • [構造] → [ビュー] に移動し、Audit Logs API という名前の新しいビューを作成します。表示を Log entries に設定し、REST エクスポートの提供を有効にして、REST エクスポートパスを /api/v1/audit-logs に設定します。

  • ビューエディタで、公開ウォッチドッグ: タイムスタンプフィルターを2 つ追加します。1 つは演算子 is greater than or equal to とフィルター識別子 starttime、もう 1 つは演算子 is less than とフィルター識別子 endtime です。

  • ビューの [REST エクスポート設定] セクションで、[認証] を選択し、basic_auth を有効にします。

  • [People] → [Permissions] に移動し、API を必要とするロールに「管理者監査証跡へのアクセス」および「REST リソース設定の管理」のアクセス許可を付与します。ビューを保存します。

  • AWS Secrets Manager でシークレットを作成し、キー username に Drupal Core ユーザー名を、キー password にアカウントパスワードを保存します。

CloudWatch パイプラインの設定

ログを読み込むようにパイプラインを設定するには、データソースとして Drupal Core を選択します。以下の必要な情報を入力します。

  • ドメイン — Drupal Core サイトのベース URL (例: https://your-drupal-site.example.com)。

  • API エンドポイント — ビューの REST エクスポートエンドポイントへのパス (例: /api/v1/audit-logs)。/ で始まる必要があります。

  • 範囲 — ISO 8601 形式でルックバック期間を指定します (例: 過去 21 時間の場合は PT21H、過去 7 日間の場合は P7D)。デフォルトは 0 日で、最大値は 90 日間です。

パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合では、OCSF スキーマのバージョン v1.5.0 に対応しており、認証 (3002)、エンティティ管理 (3004)、HTTP アクティビティ (4002) およびアプリケーションライフスタイル (6002) にマッピングされるイベントを変換します。リストにないイベントは OCSF にマッピングされず、生ログとしてシンクに転送されます。

認証には次のイベントタイプが含まれます。

  • ユーザー — ログインおよび認証関連のイベント

エンティティ管理には、次のイベントタイプが含まれます。

  • user — ユーザーの作成と削除

  • content

  • コメント

HTTP アクティビティには、次のイベントタイプが含まれます。

  • アクセス拒否

  • ページが見つかりません

  • php

  • 新しいカスタムタイプ

アプリケーションライフサイクルには、次のイベントタイプが含まれます。

  • system

  • cron