Membuat CloudWatch alarm untuk CloudTrail acara: contoh - AWS CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat CloudWatch alarm untuk CloudTrail acara: contoh

Topik ini menjelaskan cara mengonfigurasi alarm untuk CloudTrail acara, dan menyertakan contoh.

Prasyarat

Sebelum Anda dapat menggunakan contoh dalam topik ini, Anda harus:

  • Buat jejak dengan konsol atauCLI.

  • Buat grup log, yang dapat Anda lakukan sebagai bagian dari membuat jejak. Untuk informasi selengkapnya tentang membuat jejak, lihatMembuat jejak dengan CloudTrail konsol.

  • Tentukan atau buat IAM peran yang memberikan CloudTrail izin untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Default CloudTrail_CloudWatchLogs_Role melakukan ini untuk Anda.

Untuk informasi selengkapnya, lihat Mengirim acara ke CloudWatch Log. Contoh di bagian ini dilakukan di konsol Amazon CloudWatch Logs. Untuk informasi selengkapnya tentang cara membuat filter metrik dan alarm, lihat Membuat metrik dari peristiwa log menggunakan filter dan Menggunakan CloudWatch alarm Amazon di Panduan Pengguna Amazon CloudWatch .

Buat filter metrik dan buat alarm

Untuk membuat alarm, Anda harus terlebih dahulu membuat filter metrik, dan kemudian mengkonfigurasi alarm berdasarkan filter. Prosedur ditampilkan untuk semua contoh. Untuk informasi selengkapnya tentang sintaks untuk filter metrik dan pola untuk peristiwa CloudTrail log, lihat bagian JSON terkait Filter dan sintaks pola di Panduan Pengguna Amazon CloudWatch Logs.

Contoh perubahan konfigurasi grup keamanan

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat perubahan konfigurasi terjadi pada grup keamanan.

Buat filter metrik

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Log, pilih Grup log.

  3. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

  4. Dari menu Filter metrik atau Tindakan, pilih Buat filter metrik.

  5. Pada halaman Tentukan pola, di Buat pola filter, masukkan yang berikut untuk pola Filter.

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. Dalam pola Uji, biarkan default. Pilih Selanjutnya.

  7. Pada halaman Tetapkan metrik, untuk nama Filter, masukkanSecurityGroupEvents.

  8. Di Detail metrik, aktifkan Buat baru, lalu masukkan CloudTrailMetrics untuk namespace Metrik.

  9. Untuk nama Metrik, ketikSecurityGroupEventCount.

  10. Untuk nilai Metrik, ketik1.

  11. Biarkan nilai Default kosong.

  12. Pilih Selanjutnya.

  13. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Buat filter metrik untuk membuat filter, atau pilih Edit untuk kembali dan mengubah nilai.

Membuat alarm

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

  1. Pada tab Filter metrik, temukan filter metrik yang Anda buatBuat filter metrik. Isi kotak centang untuk filter metrik. Di bilah Filter metrik, pilih Buat alarm.

  2. Untuk Tentukan metrik dan kondisi, masukkan yang berikut ini.

    1. Untuk Grafik, garis diatur 1 berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

    2. Untuk nama Metrik, pertahankan nama metrik saat ini,SecurityGroupEventCount.

    3. Untuk Statistik, pertahankan defaultnya,Sum.

    4. Untuk Periode, pertahankan default,5 minutes.

    5. Dalam Kondisi, untuk tipe Threshold, pilih Static.

    6. Untuk Sewaktu-waktu metric_name adalah, pilih Greater/Equal.

    7. Untuk nilai ambang batas, masukkan1.

    8. Dalam konfigurasi tambahan, biarkan default. Pilih Selanjutnya.

  3. Pada halaman Konfigurasi tindakan, pilih Pemberitahuan, lalu pilih Dalam alarm, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan SecurityGroupEventCountdalam keadaan alarm.

    1. Untuk Mengirim pemberitahuan ke SNS topik berikut, pilih Buat topik baru.

    2. Masukkan SecurityGroupChanges_CloudWatch_Alarms_Topic sebagai nama untuk SNS topik Amazon baru.

    3. Di titik akhir Email yang akan menerima notifikasi, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan SNS topik Amazon.

    4. Pilih Buat topik.

  4. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih Selanjutnya.

  5. Pada halaman Tambahkan nama dan deskripsi, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan Security group configuration changes nama, dan Raises alarms if security group configuration changes occur untuk deskripsi. Pilih Selanjutnya.

  6. Pada halaman Pratinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan, atau pilih Buat alarm untuk membuat alarm.

    Setelah Anda membuat alarm, CloudWatch buka halaman Alarm. Kolom Tindakan alarm menunjukkan Konfirmasi tertunda hingga semua penerima email pada SNS topik tersebut mengonfirmasi bahwa mereka ingin berlangganan SNS notifikasi.

Contoh AWS Management Console kegagalan masuk

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu ketika ada tiga atau lebih kegagalan AWS Management Console masuk selama periode lima menit.

Buat filter metrik

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Log, pilih Grup log.

  3. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

  4. Dari menu Filter metrik atau Tindakan, pilih Buat filter metrik.

  5. Pada halaman Tentukan pola, di Buat pola filter, masukkan yang berikut untuk pola Filter.

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. Dalam pola Uji, biarkan default. Pilih Selanjutnya.

  7. Pada halaman Tetapkan metrik, untuk nama Filter, masukkanConsoleSignInFailures.

  8. Di Detail metrik, aktifkan Buat baru, lalu masukkan CloudTrailMetrics untuk namespace Metrik.

  9. Untuk nama Metrik, ketikConsoleSigninFailureCount.

  10. Untuk nilai Metrik, ketik1.

  11. Biarkan nilai Default kosong.

  12. Pilih Selanjutnya.

  13. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Buat filter metrik untuk membuat filter, atau pilih Edit untuk kembali dan mengubah nilai.

Membuat alarm

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

  1. Pada tab Filter metrik, temukan filter metrik yang Anda buatBuat filter metrik. Isi kotak centang untuk filter metrik. Di bilah Filter metrik, pilih Buat alarm.

  2. Pada halaman Buat Alarm, di Tentukan metrik dan kondisi, masukkan yang berikut ini.

    1. Untuk Grafik, garis diatur 3 berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

    2. Untuk nama Metrik, pertahankan nama metrik saat ini,ConsoleSigninFailureCount.

    3. Untuk Statistik, pertahankan defaultnya,Sum.

    4. Untuk Periode, pertahankan default,5 minutes.

    5. Dalam Kondisi, untuk tipe Threshold, pilih Static.

    6. Untuk Sewaktu-waktu metric_name adalah, pilih Greater/Equal.

    7. Untuk nilai ambang batas, masukkan3.

    8. Dalam konfigurasi tambahan, biarkan default. Pilih Selanjutnya.

  3. Pada halaman Konfigurasi tindakan, untuk Pemberitahuan, pilih Dalam alarm, yang menunjukkan bahwa tindakan diambil ketika ambang batas 3 peristiwa perubahan dalam 5 menit dilintasi, dan ConsoleSigninFailureCountdalam keadaan alarm.

    1. Untuk Mengirim pemberitahuan ke SNS topik berikut, pilih Buat topik baru.

    2. Masukkan ConsoleSignInFailures_CloudWatch_Alarms_Topic sebagai nama untuk SNS topik Amazon baru.

    3. Di titik akhir Email yang akan menerima notifikasi, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan SNS topik Amazon.

    4. Pilih Buat topik.

  4. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih Selanjutnya.

  5. Pada halaman Tambahkan nama dan deskripsi, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan Console sign-in failures nama, dan Raises alarms if more than 3 console sign-in failures occur in 5 minutes untuk deskripsi. Pilih Selanjutnya.

  6. Pada halaman Pratinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan, atau pilih Buat alarm untuk membuat alarm.

    Setelah Anda membuat alarm, CloudWatch buka halaman Alarm. Kolom Tindakan alarm menunjukkan Konfirmasi tertunda hingga semua penerima email pada SNS topik tersebut mengonfirmasi bahwa mereka ingin berlangganan SNS notifikasi.

Contoh: perubahan IAM kebijakan

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat API panggilan dilakukan untuk mengubah IAM kebijakan.

Buat filter metrik

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pilih Log di panel navigasi.

  3. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

  4. Pilih Tindakan, lalu pilih Buat filter metrik.

  5. Pada halaman Tentukan pola, di Buat pola filter, masukkan yang berikut untuk pola Filter.

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. Dalam pola Uji, biarkan default. Pilih Selanjutnya.

  7. Pada halaman Tetapkan metrik, untuk nama Filter, masukkanIAMPolicyChanges.

  8. Di Detail metrik, aktifkan Buat baru, lalu masukkan CloudTrailMetrics untuk namespace Metrik.

  9. Untuk nama Metrik, ketikIAMPolicyEventCount.

  10. Untuk nilai Metrik, ketik1.

  11. Biarkan nilai Default kosong.

  12. Pilih Selanjutnya.

  13. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Buat filter metrik untuk membuat filter, atau pilih Edit untuk kembali dan mengubah nilai.

Membuat alarm

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

  1. Pada tab Filter metrik, temukan filter metrik yang Anda buatBuat filter metrik. Isi kotak centang untuk filter metrik. Di bilah Filter metrik, pilih Buat alarm.

  2. Pada halaman Buat Alarm, di Tentukan metrik dan kondisi, masukkan yang berikut ini.

    1. Untuk Grafik, garis diatur 1 berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

    2. Untuk nama Metrik, pertahankan nama metrik saat ini,IAMPolicyEventCount.

    3. Untuk Statistik, pertahankan defaultnya,Sum.

    4. Untuk Periode, pertahankan default,5 minutes.

    5. Dalam Kondisi, untuk tipe Threshold, pilih Static.

    6. Untuk Sewaktu-waktu metric_name adalah, pilih Greater/Equal.

    7. Untuk nilai ambang batas, masukkan1.

    8. Dalam konfigurasi tambahan, biarkan default. Pilih Selanjutnya.

  3. Pada halaman Konfigurasi tindakan, untuk Pemberitahuan, pilih Dalam alarm, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan IAMPolicyEventCountdalam keadaan alarm.

    1. Untuk Mengirim pemberitahuan ke SNS topik berikut, pilih Buat topik baru.

    2. Masukkan IAM_Policy_Changes_CloudWatch_Alarms_Topic sebagai nama untuk SNS topik Amazon baru.

    3. Di titik akhir Email yang akan menerima notifikasi, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan SNS topik Amazon.

    4. Pilih Buat topik.

  4. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih Selanjutnya.

  5. Pada halaman Tambahkan nama dan deskripsi, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan IAM Policy Changes nama, dan Raises alarms if IAM policy changes occur untuk deskripsi. Pilih Selanjutnya.

  6. Pada halaman Pratinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan, atau pilih Buat alarm untuk membuat alarm.

    Setelah Anda membuat alarm, CloudWatch buka halaman Alarm. Kolom Tindakan alarm menunjukkan Konfirmasi tertunda hingga semua penerima email pada SNS topik tersebut mengonfirmasi bahwa mereka ingin berlangganan SNS notifikasi.

Mengkonfigurasi notifikasi untuk alarm CloudWatch Log

Anda dapat mengonfigurasi CloudWatch Log untuk mengirim pemberitahuan setiap kali alarm dipicu CloudTrail. Melakukannya memungkinkan Anda merespons dengan cepat peristiwa operasional penting yang ditangkap dalam CloudTrail peristiwa dan terdeteksi oleh CloudWatch Log. CloudWatch menggunakan Amazon Simple Notification Service (SNS) untuk mengirim email. Untuk informasi selengkapnya, lihat Menyiapkan SNS notifikasi Amazon di Panduan CloudWatch Pengguna.