为 CloudTrail 事件创建云监视警报:示例 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 CloudTrail 事件创建云监视警报:示例

本主题介绍了如何为 CloudTrail 事件配置警报,并包含示例。

注意

您可以使用 Amazon CloudFormation 模板一次性创建以下所有指标筛选条件和警报示例,而不是手动创建它们。有关更多信息,请参阅使用创建 CloudWatch 警报Amazon CloudFormation模板

Prerequisites

在使用本主题中的示例前,您必须:

  • 使用 控制台或 CLI 创建一个跟踪.

  • 创建日志组,您可以在创建跟踪时执行此操作。

  • 指定或创建一个 IAM 角色,该角色授予在您指定的日志组中创建 CloudWatch 日志日志流并将 CloudTrail 事件传送到该日志流的权限。默认的 CloudTrail_CloudWatchLogs_Role 将为您执行此操作。

有关更多信息,请参阅将事件发送到 CloudWatch Logs。本节中的示例在 Amazon CloudWatch Logs 控制台中执行。有关如何创建指标筛选条件和警报的更多信息,请参阅使用筛选器从日志事件创建指标使用 Amazon CloudWatch 警报中的Amazon CloudWatch 用户指南

创建指标筛选条件,并创建警报

要创建警报,您必须首先创建指标筛选条件,然后根据该筛选条件配置警报。会针对所有示例显示这些过程。有关 CloudTrail 日志事件的指标筛选条件和模式语法的更多信息,请参阅筛选条件和模式语法中的Amazon CloudWatch Logs 用户指南

例如:安全组配置更改

按照此步骤操作可创建 Amazon CloudWatch 警报,当安全组上发生配置更改时会触发此警报。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择操作,然后选择创建指标筛选条件

  5. 在存储库的定义模式页面, 中的创建筛选条件模式中,输入以下内容筛选条件模式

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. In测试模式,保留默认值。选择 Next

  7. 在存储库的分配指标页面筛选器名称中,输入安全性组

  8. In指标详细信息,启用创建新的,然后输入云跟踪指标对于 来说为指标命名空间

  9. 适用于指标名称,类型安全性组计数

  10. 适用于指标值,类型1

  11. 离开默认值空白。

  12. 选择 Next

  13. 在存储库的审核和创建页面上,检查您所做的选择。选择创建指标筛选条件创建过滤器,或选择编辑返回并更改值。

创建警报

创建指标筛选器后,将打开您的 CloudWatch Logs 组的 CloudTrail Watch 日志组详细信息页面。按照以下过程创建警报。

  1. 在存储库的指标筛选器选项卡上,找到您在创建指标筛选条件。填写指标筛选条件的复选框。在指标筛选器栏中,选择创建警报

  2. 在存储库的创建警报页面, 中的指定指标和条件中,输入以下信息。

    1. 适用于图表,则该行设置为1基于您在创建警报时所做的其他设置。

    2. 适用于指标名称,请保留当前量度名称SecurityGroupEventCount

    3. 适用于Statistic,保留默认值Sum

    4. 适用于Period,保留默认值5 minutes

    5. In条件, 用于阈值类型中,选择静态

    6. 适用于WHENEmetric_name中,选择大于/等于

    7. 适用于Threshold中,输入1

    8. In其他配置,保留默认值。选择 Next

  3. 在存储库的配置操作页面上,选择处于警报,这表示当超过 5 分钟内 1 个更改事件的阈值时采取操作,安全性组计数处于警报状态。

    1. 适用于选择 SNS 主题中,选择创建新的

    2. Enter安全组更改 _ 云观察 _ 警报 _ 主题作为 Amazon SNS 新主题的名称。

    3. In将接收通知的电子邮件终端节点中,输入您希望在触发此警报时接收通知的用户的电子邮件地址。用逗号分隔电子邮件地址。

      此处指定的电子邮件收件人会收到电子邮件,要求他们确认他们想要订阅 Amazon SNS 主题。

    4. 选择 Create topic

  4. 对于此示例,跳过其他操作类型。选择 Next

  5. 在存储库的添加名称和描述页面上,输入警报的易识别名称和描述。在此示例中,请输入Security group configuration changes作为名称,Raises alarms if security group configuration changes occur了解描述。选择 Next

  6. 在存储库的预览和创建页面上,检查您所做的选择。选择编辑以进行更改,或者选择创建警报以创建警报。

    创建警报后,CloudWatch 会打开Alarms页. 警报操作列显示等待确认直到有关 SNS 主题的所有电子邮件收件人都确认他们想要订阅 SNS 通知。

例如:控制台登录失败

按照此步骤操作可创建 Amazon CloudWatch 警报,当存在三个或更多时会触发此警报。Amazon Web Services Management Console在五分钟时间段内登录失败。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择操作,然后选择创建指标筛选条件

  5. 在存储库的定义模式页面, 中的创建筛选条件模式中,输入以下内容筛选条件模式

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. In测试模式,保留默认值。选择 Next

  7. 在存储库的分配指标页面筛选器名称中,输入控制台登录失败

  8. In指标详细信息,启用创建新的,然后输入云跟踪指标对于 来说为指标命名空间

  9. 适用于指标名称,类型控制台签名失败计数

  10. 适用于指标值,类型1

  11. 离开默认值空白。

  12. 选择 Next

  13. 在存储库的审核和创建页面上,检查您所做的选择。选择创建指标筛选条件创建过滤器,或选择编辑返回并更改值。

创建警报

创建指标筛选器后,将打开您的 CloudWatch Logs 组的 CloudTrail Watch 日志组详细信息页面。按照以下过程创建警报。

  1. 在存储库的指标筛选器选项卡上,找到您在创建指标筛选条件。填写指标筛选条件的复选框。在指标筛选器栏中,选择创建警报

  2. 在存储库的创建警报页面, 中的指定指标和条件中,输入以下信息。

    1. 适用于图表,则该行设置为3基于您在创建警报时所做的其他设置。

    2. 适用于指标名称,请保留当前量度名称ConsoleSigninFailureCount

    3. 适用于Statistic,保留默认值Sum

    4. 适用于Period,保留默认值5 minutes

    5. In条件, 用于阈值类型中,选择静态

    6. 适用于WHENEmetric_name中,选择大于/等于

    7. 适用于Threshold中,输入3

    8. In其他配置,保留默认值。选择 Next

  3. 在存储库的配置操作页面上,选择处于警报,这表示当超过 5 分钟内 3 个更改事件的阈值时采取操作,控制台签名失败计数处于警报状态。

    1. 适用于选择 SNS 主题中,选择创建新的

    2. Enter控制台登录故障 _ 云观察 _ 报警 _ 主题作为 Amazon SNS 新主题的名称。

    3. In将接收通知的电子邮件终端节点中,输入您希望在触发此警报时接收通知的用户的电子邮件地址。用逗号分隔电子邮件地址。

      此处指定的电子邮件收件人会收到电子邮件,要求他们确认他们想要订阅 Amazon SNS 主题。

    4. 选择 Create topic

  4. 对于此示例,跳过其他操作类型。选择 Next

  5. 在存储库的添加名称和描述页面上,输入警报的易识别名称和描述。在此示例中,请输入Console sign-in failures作为名称,Raises alarms if more than 3 console sign-in failures occur in 5 minutes了解描述。选择 Next

  6. 在存储库的预览和创建页面上,检查您所做的选择。选择编辑以进行更改,或者选择创建警报以创建警报。

    创建警报后,CloudWatch 会打开Alarms页. 警报操作列显示等待确认直到有关 SNS 主题的所有电子邮件收件人都确认他们想要订阅 SNS 通知。

例如:IAM 策略更改

按照此步骤操作可创建 Amazon CloudWatch 报警,当执行 API 调用以更改 IAM 策略时会触发此警报。

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择操作,然后选择创建指标筛选条件

  5. 在存储库的定义模式页面, 中的创建筛选条件模式中,输入以下内容筛选条件模式

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. In测试模式,保留默认值。选择 Next

  7. 在存储库的分配指标页面筛选器名称中,输入iAMS 策略更改

  8. In指标详细信息,启用创建新的,然后输入云跟踪指标对于 来说为指标命名空间

  9. 适用于指标名称,类型IAMS 策略计数

  10. 适用于指标值,类型1

  11. 离开默认值空白。

  12. 选择 Next

  13. 在存储库的审核和创建页面上,检查您所做的选择。选择创建指标筛选条件创建过滤器,或选择编辑返回并更改值。

创建警报

创建指标筛选器后,将打开您的 CloudWatch Logs 组的 CloudTrail Watch 日志组详细信息页面。按照以下过程创建警报。

  1. 在存储库的指标筛选器选项卡上,找到您在创建指标筛选条件。填写指标筛选条件的复选框。在指标筛选器栏中,选择创建警报

  2. 在存储库的创建警报页面, 中的指定指标和条件中,输入以下信息。

    1. 适用于图表,则该行设置为1基于您在创建警报时所做的其他设置。

    2. 适用于指标名称,请保留当前量度名称IAMPolicyEventCount

    3. 适用于Statistic,保留默认值Sum

    4. 适用于Period,保留默认值5 minutes

    5. In条件, 用于阈值类型中,选择静态

    6. 适用于WHENEmetric_name中,选择大于/等于

    7. 适用于Threshold中,输入1

    8. In其他配置,保留默认值。选择 Next

  3. 在存储库的配置操作页面上,选择处于警报,这表示当超过 5 分钟内 1 个更改事件的阈值时采取操作,IAMS 策略计数处于警报状态。

    1. 适用于选择 SNS 主题中,选择创建新的

    2. EnteriAM_ 策略 _ 更改 _ 云观察 _ 报警 _ 主题作为 Amazon SNS 新主题的名称。

    3. In将接收通知的电子邮件终端节点中,输入您希望在触发此警报时接收通知的用户的电子邮件地址。用逗号分隔电子邮件地址。

      此处指定的电子邮件收件人会收到电子邮件,要求他们确认他们想要订阅 Amazon SNS 主题。

    4. 选择 Create topic

  4. 对于此示例,跳过其他操作类型。选择 Next

  5. 在存储库的添加名称和描述页面上,输入警报的易识别名称和描述。在此示例中,请输入IAM Policy Changes作为名称,Raises alarms if IAM policy changes occur了解描述。选择 Next

  6. 在存储库的预览和创建页面上,检查您所做的选择。选择编辑以进行更改,或选择创建警报以创建警报。

    创建警报后,CloudWatch 会打开Alarms页. 警报操作列显示等待确认直到有关 SNS 主题的所有电子邮件收件人都确认他们想要订阅 SNS 通知。