We hebben gigabytes aan logs maar kunnen er niet doorheen zoeken
Athena (AWS), Log Analytics KQL (Azure) of Cloud Logging Logs Explorer (GCP) zijn de juiste tools. Sleutel is partitioning en een paar standaard-queries die je altijd weer pakt.
Probeer dit eerst zelf
- 1Voor S3-logs (CloudTrail, ALB, S3): zet Athena op, gebruik partition-projection op datum. Dat maakt queries 10x sneller en goedkoper.
- 2Voor live-stream logs in CloudWatch Logs: gebruik CloudWatch Logs Insights met fields/filter/stats. Werkt prima onder een paar GB per dag.
- 3Voor schaalbaar log-management overweeg een SIEM (Sentinel, Chronicle, of Datadog). Boven 50 GB/dag wordt Athena trager en duurder dan SIEM.
- 4Schrijf een handvol standaard-queries op een wikipagina: 'wie heeft GetSecretValue gedaan?', 'welke IP's hadden 4xx?'. Anders verzin je elke keer.
- 5Stel cost-alarms op je query-engine. Athena rekent per gescande TB, een runaway-query kan honderden euro per uur kosten.
Wanneer ons inschakelen
Bij een echte incident-response of een pen-test waar je vragen krijgt over een specifieke gebruiker over 2 jaar geleden, is een ervaren SOC-analist meestal sneller dan zelfdoen.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.