Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos - AWS CloudTrail
Requisitos previosCreación de un filtro de métricas y de una alarmaEjemplo de cambios de configuración del grupo de seguridadEjemplo de errores AWS Management Console de inicio de sesiónEjemplo: cambios en política de IAMConfigurar las notificaciones para las alarmas CloudWatch de Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos

En este tema se describe cómo configurar las alarmas de CloudTrail los eventos e incluye ejemplos.

Requisitos previos

Para poder utilizar los ejemplos en este tema, debe:

  • Creación de un registro de seguimiento con la consola o CLI.

  • Creación de un grupo de registros como parte de la creación de un registro de seguimiento. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Crear un sendero con la CloudTrail consola.

  • Especifique o cree una función de IAM que conceda CloudTrail los permisos para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro. El valor predeterminado CloudTrail_CloudWatchLogs_Role se encarga de ello por usted.

Para obtener más información, consulte Envío de eventos a CloudWatch registros. Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear filtros y alarmas de métricas, consulte Creación de métricas a partir de eventos de registro mediante filtros y Uso de CloudWatch alarmas de Amazon en la Guía del CloudWatch usuario de Amazon.

Creación de un filtro de métricas y de una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de CloudTrail registro, consulte las secciones relacionadas con JSON de la sintaxis de filtros y patrones en la Guía del usuario de Amazon CloudWatch Logs.

Ejemplo de cambios de configuración del grupo de seguridad

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan cambios de configuración en los grupos de seguridad.

Creación del filtro de métricas

  1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, en Registros, seleccione Grupos de registros.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca SecurityGroupEvents.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba SecurityGroupEventCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En Especificar métrica y condiciones, introduzca lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, SecurityGroupEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.

  3. En la página Configurar acciones, elija Notificación y, a continuación, en alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y SecurityGroupEventCountse encuentra en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca SecurityGroupChanges_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Siguiente.

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Security group configuration changes para el nombre y Raises alarms if security group configuration changes occur para la descripción. Elija Siguiente.

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo de errores AWS Management Console de inicio de sesión

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan tres o más errores de AWS Management Console inicio de sesión durante un período de cinco minutos.

Creación del filtro de métricas

  1. Abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, en Registros, seleccione Grupos de registros.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca ConsoleSignInFailures.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba ConsoleSigninFailureCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 3 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, ConsoleSigninFailureCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 3.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.

  3. En la página Configurar acciones, en Notificación, seleccione En alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 3 eventos de cambio en 5 minutos y ConsoleSigninFailureCountse encuentra en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca ConsoleSignInFailures_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Siguiente.

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Console sign-in failures para el nombre y Raises alarms if more than 3 console sign-in failures occur in 5 minutes para la descripción. Elija Siguiente.

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: cambios en política de IAM

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se realice una llamada a la API para cambiar una política de IAM.

Creación del filtro de métricas

  1. Abre la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs (Registros).

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Siguiente.

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca IAMPolicyChanges.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba IAMPolicyEventCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, IAMPolicyEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.

  3. En la página Configurar acciones, en Notificación, seleccione En alarma, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y el IAM PolicyEventCount se encuentra en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca IAM_Policy_Changes_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Siguiente.

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese IAM Policy Changes para el nombre y Raises alarms if IAM policy changes occur para la descripción. Elija Siguiente.

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Tras crear la alarma, CloudWatch abre la página Alarmas. La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Configurar las notificaciones para las alarmas CloudWatch de Logs

Puede configurar CloudWatch los registros para que envíen una notificación cada vez que se active una alarma. CloudTrail Esto le permite responder rápidamente a los eventos operativos críticos capturados en los CloudTrail eventos y detectados por CloudWatch los registros. CloudWatch utiliza Amazon Simple Notification Service (SNS) para enviar correos electrónicos. Para obtener más información, consulte Configuración de las notificaciones de Amazon SNS en la Guía del CloudWatch usuario.