CloudTrail 이벤트 CloudWatch 알람 생성: 예제

에서 CloudWatch 콘솔을 엽니다 https://console.aws.amazon.com/cloudwatch/.

왼쪽 탐색 창의 [로그(Logs)]에서 [로그 그룹(Log groups)]을 선택합니다.

로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.

지표 필터(Metric filters) 또는 작업(Actions) 메뉴에서 지표 필터 생성(Create metric filter)을 선택합니다.

[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.

{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에 SecurityGroupEvents를 입력합니다.

[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에 CloudTrailMetrics를 입력합니다.

[Metric name(지표 이름)]에 SecurityGroupEventCount를 입력합니다.

[Metric Value(지표 값)]에 1을 입력합니다.

[기본값(Default value)]을 비워 둡니다.

Next(다음)를 선택합니다.

[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.

[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.

[지표 및 조건 지정(Specify metric and conditions)]에 다음을 입력합니다.

1. [그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이 1로 설정됩니다.

2. [지표 이름(Metric name)]의 경우 현재 지표 이름인 SecurityGroupEventCount를 유지합니다.

3. [통계(Statistic)]의 경우 기본값인 Sum을 유지합니다.

4. [기간(Period)]의 경우 기본값인 5 minutes를 유지합니다.

5. [조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.

6. For Whenever metric_name 즉, 크게/같음을 선택합니다.

7. 임계값에는 1을 입력합니다.

8. [추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

작업 구성 페이지에서 알림을 선택한 다음 알람 시작을 선택합니다. 이는 5분 동안 1개의 변경 이벤트의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해짐을 나타냅니다. SecurityGroupEventCount

1. 다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.

2. 새 Amazon SNS 주제 SecurityGroupChanges_CloudWatch_Alarms_Topic 이름으로 입력합니다.

3. [알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.

   각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.

4. 주제 생성을 선택합니다.

이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.

[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에 Security group configuration changes를 입력하고 설명에 Raises alarms if security group configuration changes occur를 입력합니다. Next(다음)를 선택합니다.

[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.

경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS

에서 CloudWatch https://console.aws.amazon.com/cloudwatch/콘솔을 엽니다.

왼쪽 탐색 창의 [로그(Logs)]에서 [로그 그룹(Log groups)]을 선택합니다.

로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.

지표 필터(Metric filters) 또는 작업(Actions) 메뉴에서 지표 필터 생성(Create metric filter)을 선택합니다.

[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.

{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에 ConsoleSignInFailures를 입력합니다.

[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에 CloudTrailMetrics를 입력합니다.

[Metric name(지표 이름)]에 ConsoleSigninFailureCount를 입력합니다.

[Metric Value(지표 값)]에 1을 입력합니다.

[기본값(Default value)]을 비워 둡니다.

Next(다음)를 선택합니다.

[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.

[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.

[경보 생성(Create Alarm)] 페이지의 [지표 및 조건 지정(Specify metric and conditions)]에서 다음을 입력합니다.

1. [그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이 3로 설정됩니다.

2. [지표 이름(Metric name)]의 경우 현재 지표 이름인 ConsoleSigninFailureCount를 유지합니다.

3. [통계(Statistic)]의 경우 기본값인 Sum을 유지합니다.

4. [기간(Period)]의 경우 기본값인 5 minutes를 유지합니다.

5. [조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.

6. For Whenever metric_name 즉, 크게/같음을 선택합니다.

7. 임계값에는 3을 입력합니다.

8. [추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

작업 구성 페이지에서 알림으로 In allarm을 선택합니다. 그러면 5분 동안 3개의 변경 이벤트의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해집니다. ConsoleSigninFailureCount

1. 다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.

2. 새 Amazon SNS 주제 ConsoleSignInFailures_CloudWatch_Alarms_Topic 이름으로 입력합니다.

3. [알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.

   각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.

4. 주제 생성을 선택합니다.

이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.

[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에 Console sign-in failures를 입력하고 설명에 Raises alarms if more than 3 console sign-in failures occur in 5 minutes를 입력합니다. Next(다음)를 선택합니다.

[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.

경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS

에서 CloudWatch 콘솔을 엽니다 https://console.aws.amazon.com/cloudwatch/.

탐색 창에서 로그를 선택합니다.

로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.

[작업(Actions)]을 선택한 후 [지표 필터 생성(Create metric filter)]을 선택합니다.

[패턴 정의(Define pattern)] 페이지의 [필터 패턴 생성(Create filter pattern)]에서 [필터 패턴(Filter pattern)]에 대해 다음을 입력합니다.

{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

[패턴 테스트(Test pattern)]에서 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

[지표 할당(Assign metric)] 페이지에서 [필터 이름(Filter name)]에 IAMPolicyChanges를 입력합니다.

[지표 세부 정보(Metric details)]에서 [새로 생성(Create new)]을 활성화한 후 [지표 네임스페이스(Metric namespace)]에 CloudTrailMetrics를 입력합니다.

[Metric name(지표 이름)]에 IAMPolicyEventCount를 입력합니다.

[Metric Value(지표 값)]에 1을 입력합니다.

[기본값(Default value)]을 비워 둡니다.

Next(다음)를 선택합니다.

[검토 및 생성(Review and create)] 페이지에서 선택 사항을 검토합니다. 필터를 생성하려면 [지표 필터 생성(Create metric filter)]을 선택합니다. 또는 뒤로 돌아가서 값을 변경하려면 [편집(Edit)]을 선택합니다.

[지표 필터(Metric filters)] 탭에서, 지표 필터 생성에서 생성한 지표 필터를 찾습니다. 지표 필터 확인란을 선택합니다. [지표 필터(Metric filters)] 표시줄에서 [경보 생성(Create alarm)]을 선택합니다.

[경보 생성(Create Alarm)] 페이지의 [지표 및 조건 지정(Specify metric and conditions)]에서 다음을 입력합니다.

1. [그래프(Graph)]의 경우 경보를 생성할 때 지정한 다른 설정을 기반으로 선이 1로 설정됩니다.

2. [지표 이름(Metric name)]의 경우 현재 지표 이름인 IAMPolicyEventCount를 유지합니다.

3. [통계(Statistic)]의 경우 기본값인 Sum을 유지합니다.

4. [기간(Period)]의 경우 기본값인 5 minutes를 유지합니다.

5. [조건(Conditions)]의 [임계값 유형(Threshold type)]에서 [정적(Static)]을 선택합니다.

6. For Whenever metric_name 즉, 크게/같음을 선택합니다.

7. 임계값에는 1을 입력합니다.

8. [추가 구성(Additional configuration)]의 경우 기본값을 그대로 둡니다. Next(다음)를 선택합니다.

작업 구성 페이지에서 알림으로 In allarm을 선택합니다. 이 경보는 5분 동안 변경 이벤트 1건의 임계값을 초과하여 경보 상태에 있을 때 조치가 취해짐을 나타냅니다. IAMPolicyEventCount

1. 다음 SNS 주제에 알림 보내기에서 새 주제 만들기를 선택합니다.

2. 새 Amazon SNS 주제 IAM_Policy_Changes_CloudWatch_Alarms_Topic 이름으로 입력합니다.

3. [알림을 받을 이메일 엔드포인트(Email endpoints that will receive the notification)]에 이 경보가 발생할 경우 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분합니다.

   각 이메일 수신자는 Amazon SNS 주제 구독 의사를 확인하는 이메일을 받게 됩니다.

4. 주제 생성을 선택합니다.

이 예에서는 다른 작업 유형을 건너뜁니다. Next(다음)를 선택합니다.

[이름 및 설명 추가(Add name and description)] 페이지에서 경보의 표시 이름과 설명을 입력합니다. 이 예에서는 이름에 IAM Policy Changes를 입력하고 설명에 Raises alarms if IAM policy changes occur를 입력합니다. Next(다음)를 선택합니다.

[미리 보기 및 생성(Preview and create)] 페이지에서 선택 사항을 검토합니다. 변경하려면 [편집(Edit)]을 선택합니다. 또는 경보를 생성하려면 [경보 생성(Create alarm)]을 선택합니다.

경보를 생성한 후 경보 CloudWatch 페이지가 열립니다. 경보의 작업 열에는 해당 SNS 주제의 모든 이메일 수신자가 알림 구독 의사를 확인할 때까지 확인 보류 중으로 표시됩니다. SNS