CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele - AWS CloudTrail
VoraussetzungenEinen Metrikfilter und einen Alarm erstellenBeispiel: Änderungen an der SicherheitsgruppenkonfigurationBeispiele für AWS Management Console Fehler bei der AnmeldungBeispiel: IAM RichtlinienänderungenBenachrichtigungen für CloudWatch Logs-Alarme konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele

Dieses Thema beschreibt, wie Alarme für CloudTrail Ereignisse konfiguriert werden, und enthält Beispiele.

Voraussetzungen

Bevor Sie die Beispiele in diesem Thema verwenden können, müssen Sie:

  • Erstellen Sie einen Trail mit der Konsole oderCLI.

  • Erstellen Sie eine Protokollgruppe, die Sie beim Erstellen eines Trails durchführen können. Weitere Informationen zum Erstellen eines Trails finden Sie unter Einen Trail mit der CloudTrail Konsole erstellen.

  • Geben Sie eine IAM Rolle an, oder erstellen Sie eine Rolle, CloudTrail die die Berechtigungen zum Erstellen eines CloudWatch Log-Log-Streams in der von Ihnen angegebenen Protokollgruppe und zum Übermitteln von CloudTrail Ereignissen an diesen Log-Stream gewährt. Die standardmäßige CloudTrail_CloudWatchLogs_Role führt dies für Sie aus.

Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden. Die Beispiele in diesem Abschnitt werden in der Amazon CloudWatch Logs-Konsole ausgeführt. Weitere Informationen zum Erstellen von Metrikfiltern und Alarmen finden Sie unter Metriken aus Protokollereignissen mithilfe von Filtern erstellen und CloudWatch Amazon-Alarme verwenden im CloudWatch Amazon-Benutzerhandbuch.

Einen Metrikfilter und einen Alarm erstellen

Um einen Alarm zu erstellen, müssen Sie zuerst einen Metrikfilter erstellen und dann basierend auf diesem Filter einen Alarm konfigurieren. Die Verfahren werden für alle Beispiele gezeigt. Weitere Informationen zur Syntax für Metrikfilter und Muster für CloudTrail Protokollereignisse finden Sie JSON in den entsprechenden Abschnitten unter Filter- und Mustersyntax im Amazon CloudWatch Logs-Benutzerhandbuch.

Beispiel: Änderungen an der Sicherheitsgruppenkonfiguration

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn Konfigurationsänderungen an Sicherheitsgruppen vorgenommen werden.

Einen Metrikfilter erstellen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich unter Protokolle die Option Protokollgruppen aus.

  3. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

  4. Wählen Sie im Menü Metrikfilter oder Aktionen die Option Metrikfilter erstellen aus.

  5. Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert SecurityGroupEvents ein.

  8. Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert CloudTrailMetrics ein.

  9. Geben Sie für Metrikname den Wert SecurityGroupEventCount ein.

  10. Geben Sie für Metrikwert den Wert 1 ein.

  11. Lassen Sie den Standardwert leer.

  12. Wählen Sie Weiter aus.

  13. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.

Alarm erstellen

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

  1. Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.

  2. Geben Sie unter Metrik und Bedingungen festlegen Folgendes ein:

    1. Bei Diagramm wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf 1 gesetzt.

    2. Behalten Sie für Metrikname den aktuellen Metriknamen SecurityGroupEventCount bei.

    3. Behalten Sie für Statistik den Standardwert Sum bei.

    4. Behalten Sie für Zeitraum den Standardwert 5 minutes bei.

    5. Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.

    6. Für wann auch immer metric_name ist, wählen Sie Größer/Gleich.

    7. Geben Sie als Schwellenwert 1 ein.

    8. Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.

  3. Wählen Sie auf der Seite Aktionen konfigurieren die Option Benachrichtigung und dann Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im SecurityGroupEventCountAlarmzustand befindet.

    1. Wählen Sie unter Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.

    2. Geben Sie SecurityGroupChanges_CloudWatch_Alarms_Topic den Namen für das neue SNS Amazon-Thema ein.

    3. Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.

    4. Wählen Sie Thema erstellen aus.

  4. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.

  5. Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel Security group configuration changes für den Namen und Raises alarms if security group configuration changes occur für die Beschreibung ein. Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.

    Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.

Beispiele für AWS Management Console Fehler bei der Anmeldung

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn innerhalb von fünf Minuten drei oder mehr AWS Management Console Anmeldefehler auftreten.

Einen Metrikfilter erstellen

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im Navigationsbereich unter Protokolle die Option Protokollgruppen aus.

  3. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

  4. Wählen Sie im Menü Metrikfilter oder Aktionen die Option Metrikfilter erstellen aus.

  5. Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert ConsoleSignInFailures ein.

  8. Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert CloudTrailMetrics ein.

  9. Geben Sie für Metrikname den Wert ConsoleSigninFailureCount ein.

  10. Geben Sie für Metrikwert den Wert 1 ein.

  11. Lassen Sie den Standardwert leer.

  12. Wählen Sie Weiter aus.

  13. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.

Alarm erstellen

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

  1. Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.

  2. Geben Sie auf der Seite Alarm erstellen unter Metrik und Bedingungen angeben Folgendes ein.

    1. Bei Diagramm, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf 3 gesetzt.

    2. Behalten Sie für Metrikname den aktuellen Metriknamen ConsoleSigninFailureCount bei.

    3. Behalten Sie für Statistik den Standardwert Sum bei.

    4. Behalten Sie für Zeitraum den Standardwert 5 minutes bei.

    5. Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.

    6. Für wann auch immer metric_name ist, wählen Sie Größer/Gleich.

    7. Geben Sie als Schwellenwert 3 ein.

    8. Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.

  3. Wählen Sie auf der Seite Aktionen konfigurieren für Benachrichtigung die Option Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 3 Änderungsereignissen innerhalb von 5 Minuten überschritten wird und sich im ConsoleSigninFailureCountAlarmzustand befindet.

    1. Wählen Sie für Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.

    2. Geben Sie ConsoleSignInFailures_CloudWatch_Alarms_Topic den Namen für das neue SNS Amazon-Thema ein.

    3. Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.

    4. Wählen Sie Thema erstellen aus.

  4. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.

  5. Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel Console sign-in failures für den Namen und Raises alarms if more than 3 console sign-in failures occur in 5 minutes für die Beschreibung ein. Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.

    Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.

Beispiel: IAM Richtlinienänderungen

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn ein API Anruf zur Änderung einer IAM Richtlinie getätigt wird.

Einen Metrikfilter erstellen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Protokolle aus.

  3. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

  4. Wählen Sie Aktionen und dann Metrikfilter erstellen.

  5. Geben Sie auf der Seite Muster definieren unter Filtermuster erstellen Folgendes für Filtermuster ein.

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. Behalten Sie in Testmuster die Standardeinstellungen bei. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Metrik zuweisen für Filtername den Wert IAMPolicyChanges ein.

  8. Aktivieren Sie unter Metrikdetails die Option Neu erstellen und geben Sie dann für Namespace der Metrik den Wert CloudTrailMetrics ein.

  9. Geben Sie für Metrikname den Wert IAMPolicyEventCount ein.

  10. Geben Sie für Metrikwert den Wert 1 ein.

  11. Lassen Sie den Standardwert leer.

  12. Wählen Sie Weiter aus.

  13. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Metrikfilter erstellen, um den Filter zu erstellen, oder wählen Sie Bearbeiten, um zurückzugehen und Werte zu ändern.

Alarm erstellen

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

  1. Suchen Sie auf der Registerkarte Metrikfilter den in Einen Metrikfilter erstellen erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste Metrikfilter die Option Alarm erstellen aus.

  2. Geben Sie auf der Seite Alarm erstellen unter Metrik und Bedingungen angeben Folgendes ein.

    1. Bei Diagramm, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf 1 gesetzt.

    2. Behalten Sie für Metrikname den aktuellen Metriknamen IAMPolicyEventCount bei.

    3. Behalten Sie für Statistik den Standardwert Sum bei.

    4. Behalten Sie für Zeitraum den Standardwert 5 minutes bei.

    5. Wählen Sie unter Bedingungen unter Schwellenwerttyp die Option Statisch aus.

    6. Für wann auch immer metric_name ist, wählen Sie Größer/Gleich.

    7. Geben Sie als Schwellenwert 1 ein.

    8. Übernehmen Sie unter Zusätzliche Konfiguration die Standardeinstellungen. Wählen Sie Weiter aus.

  3. Wählen Sie auf der Seite Aktionen konfigurieren für Benachrichtigung die Option Bei Alarm aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im IAMPolicyEventCountAlarmzustand befindet.

    1. Wählen Sie für Eine Benachrichtigung zum folgenden SNS Thema senden die Option Neues Thema erstellen aus.

    2. Geben Sie IAM_Policy_Changes_CloudWatch_Alarms_Topic den Namen für das neue SNS Amazon-Thema ein.

    3. Geben Sie unter E-Mail-Endpunkte, die die Benachrichtigung erhalten, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er aufgefordert wird, zu bestätigen, dass er das SNS Amazon-Thema abonnieren möchte.

    4. Wählen Sie Thema erstellen aus.

  4. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie Weiter.

  5. Geben Sie auf der Seite Name und Beschreibung hinzufügen einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel IAM Policy Changes für den Namen und Raises alarms if IAM policy changes occur für die Beschreibung ein. Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Vorschau anzeigen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten, um Änderungen vorzunehmen, oder wählen Sie Alarm erstellen, um den Alarm zu erstellen.

    Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite Alarme geöffnet. In der Spalte Aktionen des Alarms wird die Meldung Ausstehende Bestätigung angezeigt, bis alle E-Mail-Empfänger SNS zum Thema bestätigt haben, dass sie SNS Benachrichtigungen abonnieren möchten.

Benachrichtigungen für CloudWatch Logs-Alarme konfigurieren

Sie können CloudWatch Logs so konfigurieren, dass eine Benachrichtigung gesendet wird, wenn ein Alarm ausgelöst wird CloudTrail. Auf diese Weise können Sie schnell auf kritische Betriebsereignisse reagieren, die in CloudTrail Ereignissen erfasst und in CloudWatch Protokollen erkannt werden. CloudWatch verwendet Amazon Simple Notification Service (SNS) zum Senden von E-Mails. Weitere Informationen finden Sie im CloudWatch Benutzerhandbuch unter SNSAmazon-Benachrichtigungen einrichten.