AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

为 CloudTrail 事件创建 CloudWatch 警报:其他示例

AWS Identity and Access Management (IAM) 最佳实践建议您不要使用根账户凭证访问 AWS。相反,您应该创建单个 IAM 用户,以便为每个用户提供一组独特的安全凭证。IAM 最佳实践还建议您为有权访问敏感资源或 API 的 IAM 用户启用 Multi-factor Authentication (MFA)

您可以监控 AWS 账户中的活动是否遵守这些最佳实践,方法是创建 CloudWatch 警报来通知您根账户凭证何时用于访问 AWS,或者 API 活动或控制台何时在未使用 MFA 的情况下进行了登录。本文档介绍了这些警报。

配置警报涉及两个主要步骤:

  • 创建指标筛选条件

  • 基于筛选条件创建警报

示例:监控根使用情况

此方案将演示如何使用 AWS 管理控制台创建在使用根(账户)凭证时触发的 Amazon CloudWatch 警报。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选中为 CloudTrail 日志事件创建的日志组旁边的复选框。

  4. 选择 Create Metric Filter

  5. Define Logs Metric Filter 屏幕上,选择 Filter Pattern,然后键入以下内容:

    { $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

    注意

    有关 CloudTrail 日志事件的指标筛选条件和模式语法的更多信息,请参阅《Amazon CloudWatch 用户指南》筛选条件和模式语法中与 JSON 相关的部分。

  6. 选择 Assign Metric,然后在 Create Metric Filter and Assign a Metric 屏幕上的 Filter Name 框中,输入 RootAccountUsage

  7. Metric Details 下的 Metric Namespace 框中,输入 CloudTrailMetrics

  8. Metric Name 字段中,输入 RootAccountUsageCount

  9. 选择 Metric Value,然后键入 1

    注意

    如果 Metric Value 未出现,则先选择 Show advanced metric settings

  10. 完成后,选择 Create Filter

创建警报

这些步骤是用于创建指标筛选条件的先前步骤的延续。

  1. Filters for Log_Group_Name 页面上,选择筛选条件名称旁边的 Create Alarm

  2. Create Alarm 页面上,提供以下值。

    
								CloudWatch Logs创建警报向导

    设置

    根账户使用情况

    >=1

    1

    5 分钟

    总计

    Select a notification list 框旁,选择 New list,然后键入列表的唯一主题名称。

    选择 Email list,然后键入要将通知发送到的电子邮件地址。(您将通过此地址接收一封用于确认已创建此警报的电子邮件。)

  3. 完成后,选择 Create Alarm

示例:监控未使用 Multi-factor Authentication (MFA) 时的 API 活动

此方案将演示如何使用 AWS 管理控制台来创建在不使用 Multi-Factor Authentication (MFA) 的情况下进行 API 调用时触发的 Amazon CloudWatch 警报。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选中为 CloudTrail 日志事件创建的日志组旁边的复选框。

  4. 选择 Create Metric Filter

  5. Define Logs Metric Filter 屏幕上,选择 Filter Pattern,然后键入以下内容:

    { $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true" }

    注意

    有关 CloudTrail 日志事件的指标筛选条件和模式语法的更多信息,请参阅《Amazon CloudWatch 用户指南》筛选条件和模式语法中与 JSON 相关的部分。

  6. 选择 Assign Metric,然后在 Create Metric Filter and Assign a Metric 屏幕上的 Filter Name 框中,输入 ApiActivityWithoutMFA

  7. Metric Details 下的 Metric Namespace 框中,输入 CloudTrailMetrics

  8. Metric Name 框中,输入 ApiActivityWithoutMFACount

  9. 选择 Metric Value,然后键入 1

    注意

    如果 Metric Value 未出现,则先选择 Show advanced metric settings

  10. 完成后,选择 Create Filter

创建警报

这些步骤是用于创建指标筛选条件的先前步骤的延续。

  1. Filters for Log_Group_Name 页面上,选择筛选条件名称旁边的 Create Alarm

  2. Create Alarm 页面上,提供以下值。

    
								CloudWatch Logs创建警报向导

    设置

    未使用 MFA 时的 API 活动

    >=1

    1

    5 分钟

    总计

    Select a notification list 框旁,选择 New list,然后键入列表的唯一主题名称。

    选择 Email list,然后键入要将通知发送到的电子邮件地址。(您将通过此地址接收一封用于确认已创建此警报的电子邮件。)

  3. 完成后,选择 Create Alarm

示例:监控未使用 Multi-factor Authentication (MFA) 时的控制台登录

此方案演示如何使用 AWS 管理控制台来创建在不使用多重验证的情况下进行控制台登录时触发的 Amazon CloudWatch 警报。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选中为 CloudTrail 日志事件创建的日志组旁边的复选框。

  4. 选择 Create Metric Filter

  5. Define Logs Metric Filter 屏幕上,选择 Filter Pattern,然后键入以下内容:

    { $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed = "No" }

    注意

    有关 CloudTrail 日志事件的指标筛选条件和模式语法的更多信息,请参阅《Amazon CloudWatch 用户指南》筛选条件和模式语法中与 JSON 相关的部分。

  6. 选择 Assign Metric,然后在 Create Metric Filter and Assign a Metric 屏幕上的 Filter Name 框中,输入 ConsoleSignInWithoutMfa

  7. Metric Details 下的 Metric Namespace 框中,输入 CloudTrailMetrics

  8. Metric Name 字段中,输入 ConsoleSignInWithoutMfaCount

  9. 选择 Metric Value,然后键入 1

    注意

    如果 Metric Value 未出现,则先选择 Show advanced metric settings

  10. 完成后,选择 Create Filter

示例:创建警报

这些步骤是用于创建指标筛选条件的先前步骤的延续。

  1. Filters for Log_Group_Name 页面上,选择筛选条件名称旁边的 Create Alarm

  2. Create Alarm 页面上,提供以下值。

    
					   			CloudWatch Logs创建警报向导

    设置

    未使用 MFA 时的控制台登录

    1

    1

    5 分钟

    总计

    Select a notification list 框旁,选择 New list,然后键入列表的唯一主题名称。

    选择 Email list,然后键入要将通知发送到的电子邮件地址。(您将通过此地址接收一封用于确认已创建此警报的电子邮件。)

  3. 完成后,选择 Create Alarm