Criação CloudWatch de alarmes para CloudTrail eventos: exemplos - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação CloudWatch de alarmes para CloudTrail eventos: exemplos

Este tópico descreve como configurar alarmes para CloudTrail eventos e inclui exemplos.

Pré-requisitos

Antes de usar os exemplos deste tópico, você deve:

  • Crie uma trilha com o console ouCLI.

  • Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console.

  • Especifique ou crie um IAM papel que CloudTrail conceda as permissões para criar um fluxo de CloudWatch registros de registros no grupo de registros especificado e para entregar CloudTrail eventos a esse fluxo de registros. O CloudTrail_CloudWatchLogs_Role padrão cuida disso para você.

Para ter mais informações, consulte Enviando eventos para o CloudWatch Logs. Os exemplos nesta seção são apresentados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros métricos e alarmes, consulte Criação de métricas a partir de eventos de log usando filtros e Uso de CloudWatch alarmes da Amazon no Guia CloudWatch do usuário da Amazon.

Criar um filtro de métrica e um alarme

Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe de filtros métricos e padrões para eventos de CloudTrail log, consulte as seções JSON relacionadas de Filtro e sintaxe de padrões no Guia do usuário do Amazon CloudWatch Logs.

Exemplo: alterações de configuração no grupo de segurança

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando ocorrem alterações de configuração em grupos de segurança.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Próximo.

  7. Na página Atribuir métrica, em Nome do filtro, insira SecurityGroupEvents.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite SecurityGroupEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Próximo.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Em Especificar métrica e condições, insira o seguinte.

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, SecurityGroupEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Para sempre metric_name é, escolha Maior/Igual.

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Próximo.

  3. Na página Configurar ações, escolha Notificação e, em seguida, escolha Em alarme, o que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e SecurityGroupEventCountestá em estado de alarme.

    1. Em Enviar uma notificação para o SNS tópico a seguir, escolha Criar novo tópico.

    2. Insira SecurityGroupChanges_CloudWatch_Alarms_Topic como nome para o novo SNS tópico da Amazon.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário do e-mail receberá um e-mail solicitando que confirme que deseja se inscrever no SNS tópico da Amazon.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Próximo.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Security group configuration changes para o nome e Raises alarms if security group configuration changes occur para a descrição. Escolha Próximo.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. A coluna Ações do alarme mostra a confirmação pendente até que todos os destinatários do e-mail no SNS tópico tenham confirmado que desejam se inscrever para receber SNS notificações.

Exemplo de AWS Management Console falhas de login

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando há três ou mais falhas de AWS Management Console login durante um período de cinco minutos.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Próximo.

  7. Na página Atribuir métrica, em Nome do filtro, insira ConsoleSignInFailures.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite ConsoleSigninFailureCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Próximo.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 3 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, ConsoleSigninFailureCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Para sempre metric_name é, escolha Maior/Igual.

    7. Para o valor do limite, insira 3.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Próximo.

  3. Na página Configurar ações, em Notificação, escolha Em alarme, que indica que a ação é tomada quando o limite de 3 eventos de alteração em 5 minutos é ultrapassado e ConsoleSigninFailureCountestá em estado de alarme.

    1. Em Enviar uma notificação para o SNS tópico a seguir, escolha Criar novo tópico.

    2. Insira ConsoleSignInFailures_CloudWatch_Alarms_Topic como nome para o novo SNS tópico da Amazon.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário do e-mail receberá um e-mail solicitando que confirme que deseja se inscrever no SNS tópico da Amazon.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Próximo.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Console sign-in failures para o nome e Raises alarms if more than 3 console sign-in failures occur in 5 minutes para a descrição. Escolha Próximo.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. A coluna Ações do alarme mostra a confirmação pendente até que todos os destinatários do e-mail no SNS tópico tenham confirmado que desejam se inscrever para receber SNS notificações.

Exemplo: mudanças na IAM política

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando uma API chamada é feita para alterar uma IAM política.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. Escolha Actions (Ações) e Create metric filter (Criar filtro de métrica).

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Próximo.

  7. Na página Atribuir métrica, em Nome do filtro, insira IAMPolicyChanges.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite IAMPolicyEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Próximo.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, IAMPolicyEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Para sempre metric_name é, escolha Maior/Igual.

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Próximo.

  3. Na página Configurar ações, em Notificação, escolha Em alarme, que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e IAMPolicyEventCountestá em estado de alarme.

    1. Em Enviar uma notificação para o SNS tópico a seguir, escolha Criar novo tópico.

    2. Insira IAM_Policy_Changes_CloudWatch_Alarms_Topic como nome para o novo SNS tópico da Amazon.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário do e-mail receberá um e-mail solicitando que confirme que deseja se inscrever no SNS tópico da Amazon.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Próximo.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira IAM Policy Changes para o nome e Raises alarms if IAM policy changes occur para a descrição. Escolha Próximo.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. A coluna Ações do alarme mostra a confirmação pendente até que todos os destinatários do e-mail no SNS tópico tenham confirmado que desejam se inscrever para receber SNS notificações.

Configurando notificações para alarmes de CloudWatch registros

Você pode configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos capturados em CloudTrail eventos e detectados pelo CloudWatch Logs. CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte Configurando SNS as notificações da Amazon no Guia CloudWatch do usuário.