Creación de CloudWatch alarmas de para CloudTrail eventos de : ejemplos - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de CloudWatch alarmas de para CloudTrail eventos de : ejemplos

En este tema se describe cómo configurar alarmas de para CloudTrail eventos de e incluye ejemplos.

nota

En lugar de crear manualmente los siguientes ejemplos de filtros de métricas y alarmas, puede utilizar una plantilla de AWS CloudFormation para crearlos todos de una vez. Para obtener más información, consulte Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation..

Prerequisites

Para poder utilizar los ejemplos en este tema, debe:

  • Crear un registro de seguimiento con la consola o CLI.

  • Cree un grupo de registros de , que puede hacer como parte de la creación de un registro de seguimiento.

  • Especifique o cree un rol IAM que conceda a CloudTrail permisos para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique y para entregar eventos de CloudTrail a dicha secuencia de registros. El valor predeterminado CloudTrail_CloudWatchLogs_Role se encarga de ello por usted.

Para obtener más información, consulte Envío de eventos de a CloudWatch Logs. Los ejemplos de esta sección se realizan en la Amazon CloudWatch Logs consola de . Para obtener más información acerca de cómo crear filtros y alarmas de métricas, consulte Creación de métricas a partir de eventos de registro mediante filtros y Uso de CloudWatch alarmas de Amazon en la Amazon CloudWatch Guía del usuario de .

Crear un filtro de métricas y crear una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información acerca de la sintaxis de los filtros de métricas y los patrones de los eventos de CloudTrail registro, consulte las secciones relacionadas con JSON de Filter and pattern syntax en la Amazon CloudWatch Logs User Guide .

Ejemplo: Cambios de configuración del grupo de seguridad

Siga este procedimiento para crear una Amazon CloudWatch alarma de que se dispare cuando se produzcan cambios de configuración en los grupos de seguridad.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para los eventos de registro de CloudTrail

  4. Elija Actions (Acciones) y, a continuación, elija Create metric filter (Crear filtro de métricas).

  5. En la página Define pattern (Definir patrón), en Create filter pattern (Crear patrón de filtro), escriba lo siguiente en Filter pattern (Patrón de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. En Test pattern (Patrón de prueba), deje los valores predeterminados. Seleccione Siguiente.

  7. En la página Assign metric (Asignar métrica), en Filter name (Nombre de filtro), escriba SecurityGroupEvents .

  8. En Metric details (Detalles de la métrica), active Create new (Crear nuevo) y, a continuación, escriba CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. En Metric name (Nombre de métrica), escriba SecurityGroupEventCount .

  10. En Metric value, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Seleccione Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Create metric filter (Crear filtro de métricas) para crear el filtro o elija Edit (Editar) para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abrirá la página de detalles del grupo de CloudWatch Logs registros de CloudTrail seguimiento. Siga este procedimiento para crear una alarma.

  1. En la pestaña Metric filters (Filtros de métricas), busque el filtro de métricas que creó en Crear un filtro de métricas.. Marque la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), en Specify metric and conditions (Especificar métrica y condiciones), escriba lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en en 1 función de otros ajustes que realice al crear la alarma.

    2. En Metric name (Nombre de métrica), conserve el nombre de métrica actual, SecurityGroupEventCount.

    3. En Statistic (Estadística), mantenga el valor predeterminado, Sum.

    4. En Period (Periodo), mantenga el valor predeterminado, 5 minutes.

    5. En Conditions (Condiciones), para Threshold type (Tipo de umbral), elija Static (Estático).

    6. En Whenever (Siempre que) metric_name is, elija Greater/Equal.

    7. En Threshold (Umbral), escriba 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Seleccione Siguiente.

  3. En la página Configure actions (Configurar acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos y SecurityGroupEventCount se encuentra en un estado de alarma.

    1. En Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Escriba SecurityGroupChanges_CloudWatch como nombre del nuevo Amazon SNS tema.

    3. En Email endpoints that will receive the notification (Puntos de enlace de correo electrónico que recibirán la notificación), escriba las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se activa esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben un correo electrónico en el que se les solicita que confirmen que desean suscribirse al Amazon SNS tema.

    4. Elija Create new topic.

  4. En este ejemplo, omita los demás tipos de acción. Seleccione Siguiente.

  5. En la página Add name and description (Añadir nombre y descripción), escriba un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escriba Security group configuration changes para el nombre y Raises alarms if security group configuration changes occur para la descripción. Seleccione Siguiente.

  6. En la página Preview and create (Vista previa y creación), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de correo electrónico del tema de SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: Errores de inicio de sesión de la consola

Siga este procedimiento para crear una Amazon CloudWatch alarma de que se dispare cuando se produzcan tres o más errores de inicio de Consola de administración de AWS sesión durante un periodo de cinco minutos.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para los eventos de registro de CloudTrail

  4. Elija Actions (Acciones) y, a continuación, elija Create metric filter (Crear filtro de métricas).

  5. En la página Define pattern (Definir patrón), en Create filter pattern (Crear patrón de filtro), escriba lo siguiente en Filter pattern (Patrón de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. En Test pattern (Patrón de prueba), deje los valores predeterminados. Seleccione Siguiente.

  7. En la página Assign metric (Asignar métrica), en Filter name (Nombre de filtro), escriba ConsoleSignInFailures .

  8. En Metric details (Detalles de la métrica), active Create new (Crear nuevo) y, a continuación, escriba CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. En Metric name (Nombre de métrica), escriba ConsoleSigninFailureCount .

  10. En Metric value, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Seleccione Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Create metric filter (Crear filtro de métricas) para crear el filtro o elija Edit (Editar) para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abrirá la página de detalles del grupo de CloudWatch Logs registros de CloudTrail seguimiento. Siga este procedimiento para crear una alarma.

  1. En la pestaña Metric filters (Filtros de métricas), busque el filtro de métricas que creó en Crear un filtro de métricas.. Marque la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), en Specify metric and conditions (Especificar métrica y condiciones), escriba lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en en 3 función de otros ajustes que realice al crear la alarma.

    2. En Metric name (Nombre de métrica), mantenga el nombre de métrica actual, ConsoleSigninFailureCount.

    3. En Statistic (Estadística), mantenga el valor predeterminado, Sum.

    4. En Period (Periodo), mantenga el valor predeterminado, 5 minutes.

    5. En Conditions (Condiciones), para Threshold type (Tipo de umbral), elija Static (Estático).

    6. En Whenever (Siempre que) metric_name is, elija Greater/Equal.

    7. En Threshold (Umbral), escriba 3.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Seleccione Siguiente.

  3. En la página Configure actions (Configurar acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se supera el umbral de 3 eventos de cambio en 5 minutos y ConsoleSigninFailureCount se encuentra en un estado de alarma.

    1. En Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Escriba ConsoleSignInFailures_CloudWatch como nombre del nuevo Amazon SNS tema.

    3. En Email endpoints that will receive the notification (Puntos de enlace de correo electrónico que recibirán la notificación), escriba las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se activa esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben correo electrónico pidiéndoles que confirmen que desean suscribirse al Amazon SNS tema.

    4. Elija Create new topic.

  4. En este ejemplo, omita los demás tipos de acción. Seleccione Siguiente.

  5. En la página Add name and description (Añadir nombre y descripción), escriba un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escriba Console sign-in failures para el nombre y Raises alarms if more than 3 console sign-in failures occur in 5 minutes para la descripción. Seleccione Siguiente.

  6. En la página Preview and create (Vista previa y creación), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de correo electrónico del tema de SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: Cambios en IAM políticas de

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se produzca una llamada a la API para cambiar una política IAM

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para los eventos de registro de CloudTrail

  4. Elija Actions (Acciones) y, a continuación, elija Create metric filter (Crear filtro de métricas).

  5. En la página Define pattern (Definir patrón), en Create filter pattern (Crear patrón de filtro), escriba lo siguiente en Filter pattern (Patrón de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. En Test pattern (Patrón de prueba), deje los valores predeterminados. Seleccione Siguiente.

  7. En la página Assign metric (Asignar métrica), en Filter name (Nombre de filtro), escriba IAMPolicyChanges .

  8. En Metric details (Detalles de la métrica), active Create new (Crear nuevo) y, a continuación, escriba CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. En Metric name (Nombre de métrica), escriba IAMPolicyEventCount .

  10. En Metric value, escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Seleccione Siguiente.

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Create metric filter (Crear filtro de métricas) para crear el filtro o elija Edit (Editar) para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abrirá la página de detalles del grupo de CloudWatch Logs registros de CloudTrail seguimiento. Siga este procedimiento para crear una alarma.

  1. En la pestaña Metric filters (Filtros de métricas), busque el filtro de métricas que creó en Crear un filtro de métricas.. Marque la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), en Specify metric and conditions (Especificar métrica y condiciones), escriba lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en en 1 función de otros ajustes que realice al crear la alarma.

    2. En Metric name (Nombre de métrica), mantenga el nombre de métrica actual, IAMPolicyEventCount.

    3. En Statistic (Estadística), mantenga el valor predeterminado, Sum.

    4. En Period (Periodo), mantenga el valor predeterminado, 5 minutes.

    5. En Conditions (Condiciones), para Threshold type (Tipo de umbral), elija Static (Estático).

    6. En Whenever (Siempre que) metric_name is, elija Greater/Equal.

    7. En Threshold (Umbral), escriba 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Seleccione Siguiente.

  3. En la página Configure actions (Configurar acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos y IAMPolicyEventCount se encuentra en un estado de alarma.

    1. En Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Escriba CloudWatch como nombre del nuevo Amazon SNS tema.

    3. En Email endpoints that will receive the notification (Puntos de enlace de correo electrónico que recibirán la notificación), escriba las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se activa esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben un correo electrónico en el que se les solicita que confirmen que desean suscribirse al Amazon SNS tema.

    4. Elija Create new topic.

  4. En este ejemplo, omita los demás tipos de acción. Seleccione Siguiente.

  5. En la página Add name and description (Añadir nombre y descripción), escriba un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escriba IAM Policy Changes para el nombre y Raises alarms if IAM policy changes occur para la descripción. Seleccione Siguiente.

  6. En la página Preview and create (Vista previa y creación), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de correo electrónico del tema de SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.