Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d' CloudWatch alarmes pour CloudTrail des événements : exemples
Cette rubrique décrit comment configurer les alarmes pour les CloudTrail événements et inclut des exemples.
Rubriques
Prérequis
Pour pouvoir utiliser les exemples dans cette rubrique, vous devez :
-
Créez un parcours à l'aide de la console ouCLI.
-
Créez un groupe de journaux, ce que vous pouvez faire dans le cadre de la création d'un journal de suivi. Pour plus d'informations sur la création d'un journal de suivi, consultez Création d'un parcours avec la CloudTrail console.
-
Spécifiez ou créez un IAM rôle qui accorde CloudTrail les autorisations nécessaires pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Le
CloudTrail_CloudWatchLogs_Role
par défaut s'en charge pour vous.
Pour plus d’informations, consultez Envoi d'événements à CloudWatch Logs. Les exemples présentés dans cette section sont exécutés dans la console Amazon CloudWatch Logs. Pour plus d'informations sur la création de filtres métriques et d'alarmes, consultez les sections Création de métriques à partir des événements du journal à l'aide de filtres et Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.
Créer un filtre de métrique et une alarme
Pour créer une alarme, vous devez d'abord créer un filtre de métrique, puis configurer une alarme basée sur le filtre. Les procédures sont affichées pour tous les exemples. Pour plus d'informations sur la syntaxe des filtres métriques et des modèles pour les événements de CloudTrail journalisation, consultez les sections JSON correspondantes relatives à la syntaxe des filtres et des modèles dans le guide de l'utilisateur Amazon CloudWatch Logs.
Exemple : modifications apportées à la configuration du groupe de sécurité
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche lorsque des modifications de configuration sont apportées aux groupes de sécurité.
Créer un filtre de métrique
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation de gauche, choisissez Journaux, Groupes de journaux.
-
Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
-
Dans le menu Filtres métriques ou Actions, sélectionnez Créer un filtre de métrique.
-
Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
-
Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
Dans la page Attribuer une métrique, sous Nom de filtre, saisissez
SecurityGroupEvents
. -
Dans Détails de la métrique, activez Créer un nouveau, puis saisissez
CloudTrailMetrics
pour Espace de noms de métrique. -
Dans Nom de la métrique, saisissez
SecurityGroupEventCount
. -
Dans Valeur de métriques, saisissez
1
. -
Laissez la Valeur par défaut vide.
-
Choisissez Next Suivant.
-
Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.
Créer une alarme
Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
-
Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).
-
Pour Spécifier la métrique et les conditions, saisissez ce qui suit.
-
Pour Graph (Graphe), la ligne est définie sur
1
en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme. -
Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle,
SecurityGroupEventCount
. -
Pour Statistic (Statistique), conservez la valeur par défaut,
Sum
. -
Pour Period (Période), conservez la valeur par défaut,
5 minutes
. -
Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).
-
Pour n'importe quel moment
metric_name
c'est à dire, choisissez Greater/Equal. -
Pour la valeur du seuil, saisissez
1
. -
Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
-
Sur la page Configurer les actions, choisissez Notification, puis sélectionnez En alarme, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle SecurityGroupEventCountest en état d'alarme.
-
Pour Envoyer une notification à la SNS rubrique suivante, choisissez Créer une nouvelle rubrique.
-
Entrez
SecurityGroupChanges_CloudWatch_Alarms_Topic
le nom du nouveau SNS sujet Amazon. -
Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire de l'e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite s'abonner au SNS sujet Amazon.
-
Choisissez Create topic (Créer une rubrique).
-
-
Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).
-
Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez
Security group configuration changes
pour le nom, puisRaises alarms if security group configuration changes occur
pour la description. Choisissez Next (Suivant). -
Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique En attente de confirmation jusqu'à ce que tous les destinataires du message électronique sur le SNS sujet aient confirmé qu'ils souhaitent s'abonner aux SNS notifications.
Exemples d' AWS Management Console échecs de connexion
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche en cas d'échec de AWS Management Console connexion au moins trois fois sur une période de cinq minutes.
Créer un filtre de métrique
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation de gauche, choisissez Journaux, Groupes de journaux.
-
Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
-
Dans le menu Filtres métriques ou Actions, sélectionnez Créer un filtre de métrique.
-
Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
-
Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
Dans la page Attribuer une métrique, sous Nom de filtre, saisissez
ConsoleSignInFailures
. -
Dans Détails de la métrique, activez Créer un nouveau, puis saisissez
CloudTrailMetrics
pour Espace de noms de métrique. -
Dans Nom de la métrique, saisissez
ConsoleSigninFailureCount
. -
Dans Valeur de métriques, saisissez
1
. -
Laissez la Valeur par défaut vide.
-
Choisissez Next Suivant.
-
Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.
Créer une alarme
Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
-
Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).
-
Dans la page Create alarm (Créer une alarme), dans Specify metric and conditions (Spécifier la métrique et les conditions), saisissez ce qui suit.
-
Pour Graph (Graphe), la ligne est définie sur
3
en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme. -
Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle,
ConsoleSigninFailureCount
. -
Pour Statistic (Statistique), conservez la valeur par défaut,
Sum
. -
Pour Period (Période), conservez la valeur par défaut,
5 minutes
. -
Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).
-
Pour n'importe quel moment
metric_name
c'est à dire, choisissez Greater/Equal. -
Pour la valeur du seuil, saisissez
3
. -
Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
-
Sur la page Configurer les actions, pour Notification, choisissez En alarme, ce qui indique que l'action est entreprise lorsque le seuil de 3 événements de changement en 5 minutes est dépassé et qu'elle ConsoleSigninFailureCountest en état d'alarme.
-
Pour Envoyer une notification à la SNS rubrique suivante, choisissez Créer une nouvelle rubrique.
-
Entrez
ConsoleSignInFailures_CloudWatch_Alarms_Topic
le nom du nouveau SNS sujet Amazon. -
Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire de l'e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite s'abonner au SNS sujet Amazon.
-
Choisissez Create topic (Créer une rubrique).
-
-
Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).
-
Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez
Console sign-in failures
pour le nom, puisRaises alarms if more than 3 console sign-in failures occur in 5 minutes
pour la description. Choisissez Next (Suivant). -
Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique En attente de confirmation jusqu'à ce que tous les destinataires du message électronique sur le SNS sujet aient confirmé qu'ils souhaitent s'abonner aux SNS notifications.
Exemple : modifications IAM de politique
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche lorsqu'un API appel est passé pour modifier une IAM politique.
Créer un filtre de métrique
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation, sélectionnez Logs (Journaux).
-
Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
-
Choisissez Actions, puis Create metric filter (Créer un filtre de métrique).
-
Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
-
Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
Dans la page Attribuer une métrique, sous Nom de filtre, saisissez
IAMPolicyChanges
. -
Dans Détails de la métrique, activez Créer un nouveau, puis saisissez
CloudTrailMetrics
pour Espace de noms de métrique. -
Dans Nom de la métrique, saisissez
IAMPolicyEventCount
. -
Dans Valeur de métriques, saisissez
1
. -
Laissez la Valeur par défaut vide.
-
Choisissez Next Suivant.
-
Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.
Créer une alarme
Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
-
Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).
-
Dans la page Create alarm (Créer une alarme), dans Specify metric and conditions (Spécifier la métrique et les conditions), saisissez ce qui suit.
-
Pour Graph (Graphe), la ligne est définie sur
1
en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme. -
Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle,
IAMPolicyEventCount
. -
Pour Statistic (Statistique), conservez la valeur par défaut,
Sum
. -
Pour Period (Période), conservez la valeur par défaut,
5 minutes
. -
Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).
-
Pour n'importe quel moment
metric_name
c'est à dire, choisissez Greater/Equal. -
Pour la valeur du seuil, saisissez
1
. -
Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).
-
-
Sur la page Configurer les actions, pour Notification, choisissez En alarme, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle IAMPolicyEventCountest en état d'alarme.
-
Pour Envoyer une notification à la SNS rubrique suivante, choisissez Créer une nouvelle rubrique.
-
Entrez
IAM_Policy_Changes_CloudWatch_Alarms_Topic
le nom du nouveau SNS sujet Amazon. -
Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire de l'e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite s'abonner au SNS sujet Amazon.
-
Choisissez Create topic (Créer une rubrique).
-
-
Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).
-
Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez
IAM Policy Changes
pour le nom, puisRaises alarms if IAM policy changes occur
pour la description. Choisissez Next (Suivant). -
Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique En attente de confirmation jusqu'à ce que tous les destinataires du message électronique sur le SNS sujet aient confirmé qu'ils souhaitent s'abonner aux SNS notifications.
Configuration des notifications pour les alarmes CloudWatch Logs
Vous pouvez configurer CloudWatch Logs pour envoyer une notification chaque fois qu'une alarme est déclenchée CloudTrail. Cela vous permet de réagir rapidement aux événements opérationnels critiques enregistrés dans les CloudTrail événements et détectés par CloudWatch les journaux. CloudWatch utilise Amazon Simple Notification Service (SNS) pour envoyer des e-mails. Pour plus d'informations, consultez la section Configuration SNS des notifications Amazon dans le guide de CloudWatch l'utilisateur.