기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CloudTrail 이벤트 CloudWatch 알람 생성: 예제
이 항목에서는 CloudTrail 이벤트에 대한 경보를 구성하는 방법을 설명하고 예제를 포함합니다.
주제
사전 조건
이 항목에 나오는 예를 사용하기 전에 다음을 수행해야 합니다.
-
콘솔 또는 CLI 을 사용하여 트레일을 생성하십시오.
-
로그 그룹을 생성합니다. 이 작업은 추적 생성의 일부로 수행할 수 있습니다. 추적 생성에 대한 자세한 내용은 CloudTrail 콘솔을 사용하여 추적 생성을 참조하세요.
-
지정한 로그 그룹에 로그 로그 스트림을 생성하고 해당 CloudWatch 로그 스트림에 CloudTrail 이벤트를 전달할 수 있는 권한을 부여하는 IAM CloudTrail 역할을 지정하거나 생성하십시오. 기본
CloudTrail_CloudWatchLogs_Role
은 이 작업을 자동으로 수행합니다.
자세한 내용은 CloudWatch 로그로 이벤트 전송 단원을 참조하십시오. 이 섹션의 예는 Amazon CloudWatch Logs 콘솔에서 수행됩니다. 지표 필터 및 경보를 생성하는 방법에 대한 자세한 내용은 Amazon CloudWatch User Guide의 필터를 사용하여 로그 이벤트에서 지표 생성 및 Amazon CloudWatch 경보 사용을 참조하십시오.
지표 필터 및 경보 생성
경보를 생성하려면 먼저, 지표 필터를 생성한 후 필터에 따라 경보를 구성해야 합니다. 절차에는 모든 예가 표시됩니다. 메트릭 필터의 구문 및 CloudTrail 로그 이벤트 패턴에 대한 자세한 내용은 Amazon CloudWatch Logs User Guide의 필터 및 패턴 구문의 JSON 관련 섹션을 참조하십시오.
보안 그룹 구성 변경 예
이 절차에 따라 보안 그룹에서 구성이 변경될 때 트리거되는 Amazon CloudWatch 경보를 생성합니다.
지표 필터 생성
에서 CloudWatch 콘솔을 엽니다 https://console.aws.amazon.com/cloudwatch/
. -
왼쪽 탐색 창의 [로그(Logs)]에서 [로그 그룹(Log groups)]을 선택합니다.
-
로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.
-
지표 필터(Metric filters) 또는 작업(Actions) 메뉴에서 지표 필터 생성(Create metric filter)을 선택합니다.
-
[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
-
[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에
SecurityGroupEvents
를 입력합니다. -
[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에
CloudTrailMetrics
를 입력합니다. -
[Metric name(지표 이름)]에
SecurityGroupEventCount
를 입력합니다. -
[Metric Value(지표 값)]에
1
을 입력합니다. -
[기본값(Default value)]을 비워 둡니다.
-
Next(다음)를 선택합니다.
-
[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.
경보 만들기
지표 필터를 만들고 나면 CloudTrail 트레일 CloudWatch 로그 그룹의 로그 로그 그룹 세부 정보 페이지가 열립니다. 다음 절차를 따라 경보를 생성할 수 있습니다.
-
[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.
-
[지표 및 조건 지정(Specify metric and conditions)]에 다음을 입력합니다.
-
[그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이
1
로 설정됩니다. -
[지표 이름(Metric name)]의 경우 현재 지표 이름인
SecurityGroupEventCount
를 유지합니다. -
[통계(Statistic)]의 경우 기본값인
Sum
을 유지합니다. -
[기간(Period)]의 경우 기본값인
5 minutes
를 유지합니다. -
[조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.
-
For Whenever
metric_name
즉, 크게/같음을 선택합니다. -
임계값에는
1
을 입력합니다. -
[추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
-
작업 구성 페이지에서 알림을 선택한 다음 알람 시작을 선택합니다. 이는 5분 동안 1개의 변경 이벤트의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해짐을 나타냅니다. SecurityGroupEventCount
-
다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.
-
새 Amazon SNS 주제
SecurityGroupChanges_CloudWatch_Alarms_Topic
이름으로 입력합니다. -
[알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.
각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.
-
주제 생성을 선택합니다.
-
-
이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.
-
[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에
Security group configuration changes
를 입력하고 설명에Raises alarms if security group configuration changes occur
를 입력합니다. Next(다음)를 선택합니다. -
[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.
경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS
AWS Management Console 로그인 실패 예시
이 절차에 따라 5분 동안 AWS Management Console 로그인 실패가 세 번 이상 발생할 경우 트리거되는 Amazon CloudWatch 경보를 생성합니다.
지표 필터 생성
에서 CloudWatch https://console.aws.amazon.com/cloudwatch/
콘솔을 엽니다. -
왼쪽 탐색 창의 [로그(Logs)]에서 [로그 그룹(Log groups)]을 선택합니다.
-
로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.
-
지표 필터(Metric filters) 또는 작업(Actions) 메뉴에서 지표 필터 생성(Create metric filter)을 선택합니다.
-
[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
-
[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에
ConsoleSignInFailures
를 입력합니다. -
[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에
CloudTrailMetrics
를 입력합니다. -
[Metric name(지표 이름)]에
ConsoleSigninFailureCount
를 입력합니다. -
[Metric Value(지표 값)]에
1
을 입력합니다. -
[기본값(Default value)]을 비워 둡니다.
-
Next(다음)를 선택합니다.
-
[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.
경보 만들기
지표 필터를 만들고 나면 CloudTrail 트레일 CloudWatch 로그 그룹의 로그 로그 그룹 세부 정보 페이지가 열립니다. 다음 절차를 따라 경보를 생성할 수 있습니다.
-
[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.
-
[경보 생성(Create Alarm)] 페이지의 [지표 및 조건 지정(Specify metric and conditions)]에서 다음을 입력합니다.
-
[그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이
3
로 설정됩니다. -
[지표 이름(Metric name)]의 경우 현재 지표 이름인
ConsoleSigninFailureCount
를 유지합니다. -
[통계(Statistic)]의 경우 기본값인
Sum
을 유지합니다. -
[기간(Period)]의 경우 기본값인
5 minutes
를 유지합니다. -
[조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.
-
For Whenever
metric_name
즉, 크게/같음을 선택합니다. -
임계값에는
3
을 입력합니다. -
[추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
-
작업 구성 페이지에서 알림으로 In allarm을 선택합니다. 그러면 5분 동안 3개의 변경 이벤트의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해집니다. ConsoleSigninFailureCount
-
다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.
-
새 Amazon SNS 주제
ConsoleSignInFailures_CloudWatch_Alarms_Topic
이름으로 입력합니다. -
[알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.
각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.
-
주제 생성을 선택합니다.
-
-
이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.
-
[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에
Console sign-in failures
를 입력하고 설명에Raises alarms if more than 3 console sign-in failures occur in 5 minutes
를 입력합니다. Next(다음)를 선택합니다. -
[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.
경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS
예: IAM 정책 변경
다음 절차에 따라 IAM 정책 변경 API 요청이 들어올 때 트리거되는 Amazon CloudWatch 경보를 생성합니다.
지표 필터 생성
에서 CloudWatch 콘솔을 엽니다 https://console.aws.amazon.com/cloudwatch/
. -
탐색 창에서 로그를 선택합니다.
-
로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.
-
[작업(Actions)]을 선택한 후 [지표 필터 생성(Create metric filter)]을 선택합니다.
-
[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
-
[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에
IAMPolicyChanges
를 입력합니다. -
[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에
CloudTrailMetrics
를 입력합니다. -
[Metric name(지표 이름)]에
IAMPolicyEventCount
를 입력합니다. -
[Metric Value(지표 값)]에
1
을 입력합니다. -
[기본값(Default value)]을 비워 둡니다.
-
Next(다음)를 선택합니다.
-
[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.
경보 만들기
지표 필터를 만들고 나면 CloudTrail 트레일 CloudWatch 로그 그룹의 로그 로그 그룹 세부 정보 페이지가 열립니다. 다음 절차를 따라 경보를 생성할 수 있습니다.
-
[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.
-
[경보 생성(Create Alarm)] 페이지의 [지표 및 조건 지정(Specify metric and conditions)]에서 다음을 입력합니다.
-
[그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이
1
로 설정됩니다. -
[지표 이름(Metric name)]의 경우 현재 지표 이름인
IAMPolicyEventCount
를 유지합니다. -
[통계(Statistic)]의 경우 기본값인
Sum
을 유지합니다. -
[기간(Period)]의 경우 기본값인
5 minutes
를 유지합니다. -
[조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.
-
For Whenever
metric_name
즉, 크게/같음을 선택합니다. -
임계값에는
1
을 입력합니다. -
[추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.
-
-
작업 구성 페이지에서 알림으로 In allarm을 선택합니다. 이 경보는 5분 동안 변경 이벤트 1건의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해짐을 나타냅니다. IAMPolicyEventCount
-
다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.
-
새 Amazon SNS 주제
IAM_Policy_Changes_CloudWatch_Alarms_Topic
이름으로 입력합니다. -
[알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.
각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.
-
주제 생성을 선택합니다.
-
-
이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.
-
[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에
IAM Policy Changes
를 입력하고 설명에Raises alarms if IAM policy changes occur
를 입력합니다. Next(다음)를 선택합니다. -
[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.
경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS
CloudWatch 로그 경보에 대한 알림 구성
알람이 트리거될 때마다 알림을 보내도록 CloudWatch 로그를 구성할 수 있습니다. CloudTrail 이렇게 하면 이벤트에서 캡처되고 CloudWatch 로그로 감지된 중요한 운영 CloudTrail 이벤트에 신속하게 대응할 수 있습니다. CloudWatch Amazon 단순 알림 서비스 (SNS) 를 사용하여 이메일을 보냅니다. 자세한 내용은 CloudWatch 사용 설명서의 Amazon SNS 알림 설정을 참조하십시오.