Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos
En este tema se describe cómo configurar las alarmas de CloudTrail los eventos e incluye ejemplos.
Temas
Requisitos previos
Para poder utilizar los ejemplos en este tema, debe:
-
Cree una ruta con la consola oCLI.
-
Creación de un grupo de registros como parte de la creación de un registro de seguimiento. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Crear un sendero con la CloudTrail consola.
-
Especifique o cree un IAM rol que conceda CloudTrail los permisos para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail eventos a ese flujo de registro. El valor predeterminado
CloudTrail_CloudWatchLogs_Role
se encarga de ello por usted.
Para obtener más información, consulte Envío de eventos a CloudWatch registros. Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear filtros y alarmas de métricas, consulte Creación de métricas a partir de eventos de registro mediante filtros y Uso de CloudWatch alarmas de Amazon en la Guía del CloudWatch usuario de Amazon.
Creación de un filtro de métricas y de una alarma
Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de CloudTrail registro, consulte las secciones JSON relacionadas de la sintaxis de filtros y patrones en la Guía del usuario de Amazon CloudWatch Logs.
Ejemplo de cambios de configuración del grupo de seguridad
Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan cambios de configuración en los grupos de seguridad.
Creación del filtro de métricas
Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. -
En el panel de navegación, en Registros, seleccione Grupos de registros.
-
En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.
-
En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.
-
En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
-
En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.
-
En la página Asignar métrica, vaya a Nombre de filtro e introduzca
SecurityGroupEvents
. -
En Detalles de métrica, active Crear nueva y, a continuación, introduzca
CloudTrailMetrics
en Espacio de nombres de métrica. -
En Nombre de métrica, escriba
SecurityGroupEventCount
. -
En Valor de la métrica, escriba
1
. -
Deje Default value (Valor predeterminado) en blanco.
-
Elija Siguiente.
-
En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.
Crear una alarma
Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.
-
En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).
-
En Especificar métrica y condiciones, introduzca lo siguiente.
-
Para Graph (Gráfico), la línea se establece en
1
en función de otras configuraciones que realice al crear la alarma. -
Para Metric name (Nombre de métrica), conserve el nombre de métrica actual,
SecurityGroupEventCount
. -
Para Statistic (Estadística), conserve el valor predeterminado,
Sum
. -
Para Period (Periodo), conserve el valor predeterminado,
5 minutes
. -
En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).
-
Para cuando quieras
metric_name
es decir, elija Greater/Equal. -
Para el valor de umbral, introduzca
1
. -
En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.
-
-
En la página Configurar acciones, elija Notificación y, a continuación, en alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se SecurityGroupEventCountencuentra en estado de alarma.
-
En Enviar una notificación al SNS tema siguiente, selecciona Crear tema nuevo.
-
Introduce
SecurityGroupChanges_CloudWatch_Alarms_Topic
el nombre del nuevo SNS tema de Amazon. -
En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.
Cada destinatario del correo electrónico recibirá un correo electrónico pidiéndole que confirme que quiere suscribirse al SNS tema de Amazon.
-
Elija Create new topic.
-
-
En este ejemplo, omita los otros tipos de acción. Elija Siguiente.
-
En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese
Security group configuration changes
para el nombre yRaises alarms if security group configuration changes occur
para la descripción. Elija Siguiente. -
En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.
Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Acciones de la alarma muestra la confirmación pendiente hasta que todos los destinatarios del correo electrónico sobre el SNS tema hayan confirmado que desean suscribirse a SNS las notificaciones.
Ejemplo de errores AWS Management Console de inicio de sesión
Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan tres o más errores de AWS Management Console inicio de sesión durante un período de cinco minutos.
Creación del filtro de métricas
Abre la CloudWatch consola en. https://console.aws.amazon.com/cloudwatch/
-
En el panel de navegación, en Registros, seleccione Grupos de registros.
-
En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.
-
En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.
-
En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
-
En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.
-
En la página Asignar métrica, vaya a Nombre de filtro e introduzca
ConsoleSignInFailures
. -
En Detalles de métrica, active Crear nueva y, a continuación, introduzca
CloudTrailMetrics
en Espacio de nombres de métrica. -
En Nombre de métrica, escriba
ConsoleSigninFailureCount
. -
En Valor de la métrica, escriba
1
. -
Deje Default value (Valor predeterminado) en blanco.
-
Elija Siguiente.
-
En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.
Crear una alarma
Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.
-
En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).
-
En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.
-
Para Graph (Gráfico), la línea se establece en
3
en función de otras configuraciones que realice al crear la alarma. -
Para Metric name (Nombre de métrica), conserve el nombre de métrica actual,
ConsoleSigninFailureCount
. -
Para Statistic (Estadística), conserve el valor predeterminado,
Sum
. -
Para Period (Periodo), conserve el valor predeterminado,
5 minutes
. -
En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).
-
Para cuando quieras
metric_name
es decir, elija Greater/Equal. -
Para el valor de umbral, introduzca
3
. -
En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.
-
-
En la página Configurar acciones, en Notificación, seleccione En alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 3 cambios en 5 minutos y se ConsoleSigninFailureCountencuentra en estado de alarma.
-
En Enviar una notificación al SNS tema siguiente, selecciona Crear tema nuevo.
-
Introduce
ConsoleSignInFailures_CloudWatch_Alarms_Topic
el nombre del nuevo SNS tema de Amazon. -
En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.
Cada destinatario del correo electrónico recibirá un correo electrónico pidiéndole que confirme que quiere suscribirse al SNS tema de Amazon.
-
Elija Create new topic.
-
-
En este ejemplo, omita los otros tipos de acción. Elija Siguiente.
-
En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese
Console sign-in failures
para el nombre yRaises alarms if more than 3 console sign-in failures occur in 5 minutes
para la descripción. Elija Siguiente. -
En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.
Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Acciones de la alarma muestra la confirmación pendiente hasta que todos los destinatarios del correo electrónico sobre el SNS tema hayan confirmado que desean suscribirse a SNS las notificaciones.
Ejemplo: cambios IAM de política
Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se haga una API llamada para cambiar una IAM política.
Creación del filtro de métricas
Abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. -
En el panel de navegación, elija Logs (Registros).
-
En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.
-
Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).
-
En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
-
En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.
-
En la página Asignar métrica, vaya a Nombre de filtro e introduzca
IAMPolicyChanges
. -
En Detalles de métrica, active Crear nueva y, a continuación, introduzca
CloudTrailMetrics
en Espacio de nombres de métrica. -
En Nombre de métrica, escriba
IAMPolicyEventCount
. -
En Valor de la métrica, escriba
1
. -
Deje Default value (Valor predeterminado) en blanco.
-
Elija Siguiente.
-
En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.
Crear una alarma
Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.
-
En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).
-
En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.
-
Para Graph (Gráfico), la línea se establece en
1
en función de otras configuraciones que realice al crear la alarma. -
Para Metric name (Nombre de métrica), conserve el nombre de métrica actual,
IAMPolicyEventCount
. -
Para Statistic (Estadística), conserve el valor predeterminado,
Sum
. -
Para Period (Periodo), conserve el valor predeterminado,
5 minutes
. -
En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).
-
Para cuando quieras
metric_name
es decir, elija Greater/Equal. -
Para el valor de umbral, introduzca
1
. -
En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.
-
-
En la página Configurar acciones, en Notificación, selecciona En alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se IAMPolicyEventCountencuentra en estado de alarma.
-
En Enviar una notificación al SNS tema siguiente, selecciona Crear tema nuevo.
-
Introduce
IAM_Policy_Changes_CloudWatch_Alarms_Topic
el nombre del nuevo SNS tema de Amazon. -
En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.
Cada destinatario del correo electrónico recibirá un correo electrónico pidiéndole que confirme que quiere suscribirse al SNS tema de Amazon.
-
Elija Create new topic.
-
-
En este ejemplo, omita los otros tipos de acción. Elija Siguiente.
-
En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese
IAM Policy Changes
para el nombre yRaises alarms if IAM policy changes occur
para la descripción. Elija Siguiente. -
En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.
Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Acciones de la alarma muestra la confirmación pendiente hasta que todos los destinatarios del correo electrónico sobre el SNS tema hayan confirmado que desean suscribirse a SNS las notificaciones.
Configurar las notificaciones para las alarmas CloudWatch de Logs
Puede configurar CloudWatch los registros para que envíen una notificación cada vez que se active una alarma CloudTrail. Esto le permite responder rápidamente a los eventos operativos críticos capturados en los CloudTrail eventos y detectados por CloudWatch los registros. CloudWatch utiliza Amazon Simple Notification Service (SNS) para enviar correos electrónicos. Para obtener más información, consulta Cómo configurar SNS las notificaciones de Amazon en la Guía del CloudWatch usuario.