Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele
Dieses Thema beschreibt, wie Alarme für CloudTrail Ereignisse konfiguriert werden, und enthält Beispiele.
Themen
Voraussetzungen
Bevor Sie die Beispiele in diesem Thema verwenden können, müssen Sie:
-
Erstellen Sie einen Trail mit der Konsole oderCLI.
-
Erstellen Sie eine Protokollgruppe, die Sie beim Erstellen eines Trails durchführen können. Weitere Informationen zum Erstellen eines Trails finden Sie unter Einen Trail mit der CloudTrail Konsole erstellen.
-
Geben Sie eine IAM Rolle an, oder erstellen Sie eine Rolle, CloudTrail die die Berechtigungen zum Erstellen eines CloudWatch Log-Log-Streams in der von Ihnen angegebenen Protokollgruppe und zum Übermitteln von CloudTrail Ereignissen an diesen Log-Stream gewährt. Die standardmäßige
CloudTrail_CloudWatchLogs_Role
führt dies für Sie aus.
Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden. Die Beispiele in diesem Abschnitt werden in der Amazon CloudWatch Logs-Konsole ausgeführt. Weitere Informationen zum Erstellen von Metrikfiltern und Alarmen finden Sie unter Metriken aus Protokollereignissen mithilfe von Filtern erstellen und CloudWatch Amazon-Alarme verwenden im CloudWatch Amazon-Benutzerhandbuch.
Einen Metrikfilter und einen Alarm erstellen
Um einen Alarm zu erstellen, müssen Sie zuerst einen Metrikfilter erstellen und dann basierend auf diesem Filter einen Alarm konfigurieren. Die Verfahren werden für alle Beispiele gezeigt. Weitere Informationen zur Syntax für Metrikfilter und Muster für CloudTrail Protokollereignisse finden Sie JSON in den entsprechenden Abschnitten unter Filter- und Mustersyntax im Amazon CloudWatch Logs-Benutzerhandbuch.
Beispiel: Änderungen an der Sicherheitsgruppenkonfiguration
Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn Konfigurationsänderungen an Sicherheitsgruppen vorgenommen werden.
Einen Metrikfilter erstellen
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. -
Wählen Sie im Navigationsbereich unter Protokolle die Option Protokollgruppen aus.
-
Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.
-
Wählen Sie im Menü Metrikfilter oder Aktionen die Option Metrikfilter erstellen aus.
-
Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
-
Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.
-
Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert
SecurityGroupEvents
ein. -
Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert
CloudTrailMetrics
ein. -
Geben Sie für Metrikname den Wert
SecurityGroupEventCount
ein. -
Geben Sie für Metrikwert den Wert
1
ein. -
Lassen Sie den Standardwert leer.
-
Wählen Sie Weiter aus.
-
Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.
Alarm erstellen
Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.
-
Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.
-
Geben Sie unter Metrik und Bedingungen festlegen Folgendes ein:
-
Bei Diagramm wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf
1
gesetzt. -
Behalten Sie für Metrikname den aktuellen Metriknamen
SecurityGroupEventCount
bei. -
Behalten Sie für Statistik den Standardwert
Sum
bei. -
Behalten Sie für Zeitraum den Standardwert
5 minutes
bei. -
Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.
-
Für wann auch immer
metric_name
ist, wählen Sie Größer/Gleich. -
Geben Sie als Schwellenwert
1
ein. -
Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.
-
-
Wählen Sie auf der Seite Aktionen konfigurieren die Option Benachrichtigung und dann Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im SecurityGroupEventCountAlarmzustand befindet.
-
Wählen Sie unter Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.
-
Geben Sie
SecurityGroupChanges_CloudWatch_Alarms_Topic
den Namen für das neue SNS Amazon-Thema ein. -
Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.
Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.
-
Wählen Sie Thema erstellen aus.
-
-
Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.
-
Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel
Security group configuration changes
für den Namen undRaises alarms if security group configuration changes occur
für die Beschreibung ein. Wählen Sie Weiter aus. -
Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.
Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.
Beispiele für AWS Management Console Fehler bei der Anmeldung
Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn innerhalb von fünf Minuten drei oder mehr AWS Management Console Anmeldefehler auftreten.
Einen Metrikfilter erstellen
Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/
-
Wählen Sie im Navigationsbereich unter Protokolle die Option Protokollgruppen aus.
-
Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.
-
Wählen Sie im Menü Metrikfilter oder Aktionen die Option Metrikfilter erstellen aus.
-
Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
-
Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.
-
Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert
ConsoleSignInFailures
ein. -
Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert
CloudTrailMetrics
ein. -
Geben Sie für Metrikname den Wert
ConsoleSigninFailureCount
ein. -
Geben Sie für Metrikwert den Wert
1
ein. -
Lassen Sie den Standardwert leer.
-
Wählen Sie Weiter aus.
-
Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.
Alarm erstellen
Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.
-
Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.
-
Geben Sie auf der Seite Alarm erstellen unter Metrik und Bedingungen angeben Folgendes ein.
-
Bei Diagramm, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf
3
gesetzt. -
Behalten Sie für Metrikname den aktuellen Metriknamen
ConsoleSigninFailureCount
bei. -
Behalten Sie für Statistik den Standardwert
Sum
bei. -
Behalten Sie für Zeitraum den Standardwert
5 minutes
bei. -
Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.
-
Für wann auch immer
metric_name
ist, wählen Sie Größer/Gleich. -
Geben Sie als Schwellenwert
3
ein. -
Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.
-
-
Wählen Sie auf der Seite Aktionen konfigurieren für Benachrichtigung die Option Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 3 Änderungsereignissen innerhalb von 5 Minuten überschritten wird und sich im ConsoleSigninFailureCountAlarmzustand befindet.
-
Wählen Sie für Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.
-
Geben Sie
ConsoleSignInFailures_CloudWatch_Alarms_Topic
den Namen für das neue SNS Amazon-Thema ein. -
Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.
Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.
-
Wählen Sie Thema erstellen aus.
-
-
Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.
-
Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel
Console sign-in failures
für den Namen undRaises alarms if more than 3 console sign-in failures occur in 5 minutes
für die Beschreibung ein. Wählen Sie Weiter aus. -
Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.
Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.
Beispiel: IAM Richtlinienänderungen
Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn ein API Anruf zur Änderung einer IAM Richtlinie getätigt wird.
Einen Metrikfilter erstellen
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. -
Wählen Sie im Navigationsbereich Protokolle aus.
-
Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.
-
Wählen Sie Aktionen und dann Metrikfilter erstellen.
-
Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
-
Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.
-
Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert
IAMPolicyChanges
ein. -
Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert
CloudTrailMetrics
ein. -
Geben Sie für Metrikname den Wert
IAMPolicyEventCount
ein. -
Geben Sie für Metrikwert den Wert
1
ein. -
Lassen Sie den Standardwert leer.
-
Wählen Sie Weiter aus.
-
Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.
Alarm erstellen
Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.
-
Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.
-
Geben Sie auf der Seite Alarm erstellen unter Metrik und Bedingungen angeben Folgendes ein.
-
Bei Diagramm, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf
1
gesetzt. -
Behalten Sie für Metrikname den aktuellen Metriknamen
IAMPolicyEventCount
bei. -
Behalten Sie für Statistik den Standardwert
Sum
bei. -
Behalten Sie für Zeitraum den Standardwert
5 minutes
bei. -
Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.
-
Für wann auch immer
metric_name
ist, wählen Sie Größer/Gleich. -
Geben Sie als Schwellenwert
1
ein. -
Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.
-
-
Wählen Sie auf der Seite Aktionen konfigurieren für Benachrichtigung die Option Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im IAMPolicyEventCountAlarmzustand befindet.
-
Wählen Sie für Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.
-
Geben Sie
IAM_Policy_Changes_CloudWatch_Alarms_Topic
den Namen für das neue SNS Amazon-Thema ein. -
Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.
Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.
-
Wählen Sie Thema erstellen aus.
-
-
Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.
-
Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel
IAM Policy Changes
für den Namen undRaises alarms if IAM policy changes occur
für die Beschreibung ein. Wählen Sie Weiter aus. -
Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.
Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.
Benachrichtigungen für CloudWatch Logs-Alarme konfigurieren
Sie können CloudWatch Logs so konfigurieren, dass eine Benachrichtigung gesendet wird, wenn ein Alarm ausgelöst wird CloudTrail. Auf diese Weise können Sie schnell auf kritische Betriebsereignisse reagieren, die in CloudTrail Ereignissen erfasst und in CloudWatch Protokollen erkannt werden. CloudWatch verwendet Amazon Simple Notification Service (SNS) zum Senden von E-Mails. Weitere Informationen finden Sie im CloudWatch Benutzerhandbuch unter SNSAmazon-Benachrichtigungen einrichten.