Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos

En este tema se describe cómo se configuran alarmas para eventos de CloudTrail y se incluyen ejemplos.

Requisitos previos

Para poder utilizar los ejemplos en este tema, debe:

  • Creación de un registro de seguimiento con la consola o CLI.

  • Creación de un grupo de registros como parte de la creación de un registro de seguimiento. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento.

  • Especifique o cree un rol de IAM que conceda a CloudTrail permisos para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique y para entregar eventos de CloudTrail a dicha secuencia de registros. El valor predeterminado CloudTrail_CloudWatchLogs_Role se encarga de ello por usted.

Para obtener más información, consulte Envío de eventos a Amazon CloudWatch Logs. Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear alarmas y filtros de métricas, consulte Creación de métricas a partir de eventos de registro mediante filtros y Uso de alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.

Creación de un filtro de métricas y de una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de registro de CloudTrail, consulte las secciones relacionadas con JSON de Filtros y sintaxis de patrones en la guía del usuario de Amazon CloudWatch Logs.

Ejemplo de cambios de configuración del grupo de seguridad

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzcan cambios en la configuración de grupos de seguridad.

Creación del filtro de métricas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, en Registros, seleccione Grupos de registros.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca SecurityGroupEvents.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba SecurityGroupEventCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En Especificar métrica y condiciones, introduzca lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, SecurityGroupEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Next (Siguiente).

  3. En la página Configurar acciones, seleccione Notificación y, a continuación, seleccione En alarma, que indica que la acción se lleva a cabo cuando se cruza el umbral de un evento de cambio en cinco minutos, y SecurityGroupEventCount está en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca SecurityGroupChanges_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Security group configuration changes para el nombre y Raises alarms if security group configuration changes occur para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo de errores de inicio de sesión en la AWS Management Console

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzcan tres o más errores de inicio de sesión en la AWS Management Console durante un periodo de cinco minutos.

Creación del filtro de métricas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, en Registros, seleccione Grupos de registros.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. En el menú Filtros de métrica o Acciones, seleccione Crear filtro de métrica.

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca ConsoleSignInFailures.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba ConsoleSigninFailureCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 3 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, ConsoleSigninFailureCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 3.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Next (Siguiente).

  3. En la página Configurar acciones, en Notificación, seleccione En alarma, que indica que la acción se lleva a cabo cuando se cruza el umbral de tres eventos de cambio en cinco minutos y que ConsoleSigninFailureCount está en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca ConsoleSignInFailures_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Console sign-in failures para el nombre y Raises alarms if more than 3 console sign-in failures occur in 5 minutes para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: cambios en política de IAM

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzca una llamada a la API para cambiar una política de IAM.

Creación del filtro de métricas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

  4. Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la página Asignar métrica, vaya a Nombre de filtro e introduzca IAMPolicyChanges.

  8. En Detalles de métrica, active Crear nueva y, a continuación, introduzca CloudTrailMetrics en Espacio de nombres de métrica.

  9. En Nombre de métrica, escriba IAMPolicyEventCount.

  10. En Valor de la métrica, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Creación del filtro de métricas. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, IAMPolicyEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para el valor de umbral, introduzca 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Next (Siguiente).

  3. En la página Configurar acciones, en Notificación, seleccione En alarma, que indica que la acción se lleva a cabo cuando se cruza el umbral de un evento de cambio en cinco minutos y que IAMPolicyEventCount está en estado de alarma.

    1. En Enviar una notificación al siguiente tema de SNS, seleccione Crear un tema nuevo.

    2. Introduzca IAM_Policy_Changes_CloudWatch_Alarms_Topic como el nombre del nuevo tema de Amazon SNS.

    3. En Puntos de conexión de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese IAM Policy Changes para el nombre y Raises alarms if IAM policy changes occur para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Configuración de notificaciones para alarmas de CloudWatch Logs

Puede configurar CloudWatch Logs para enviar una notificación cuando se desencadene una alarma para CloudTrail. De esta forma, podrá responder de forma rápida a eventos operativos críticos registrados en eventos de CloudTrail y detectados por CloudWatch Logs. CloudWatch utiliza Amazon Simple Notification Service (SNS) para enviar email. Para obtener más información, consulte Configuración de Amazon SNS en la Guía para desarrolladores de CloudWatch.