Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos

En este tema, se describe cómo configurar alarmas para eventos de CloudTrail e incluye ejemplos.

nota

En lugar de crear manualmente los siguientes ejemplos de filtros de métricas y alarmas, puede utilizar una plantilla de AWS CloudFormation para crearlos todos de una vez. Para obtener más información, consulte Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation.

Prerequisites

Para poder utilizar los ejemplos en este tema, debe:

  • Crear un registro de seguimiento con la consola o CLI.

  • Cree un grupo de registros, que puede hacer como parte de la creación de una pista.

  • Especificar o crear un rol de IAM que conceda a CloudTrail permisos para crear una secuencia de registro de CloudWatch Logs (en el grupo de registros especificado) y para enviar eventos de CloudTrail a dicha secuencia de registro. El valor predeterminado CloudTrail_CloudWatchLogs_Role se encarga de ello por usted.

Para obtener más información, consulte Envío de eventos a CloudWatch Logs. Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear filtros de métricas y alarmas de, consulteCreación de métricas a partir de eventos de registro mediante filtrosyUso de alarmas de Amazon CloudWatchen laGuía del usuario de Amazon CloudWatch.

Crear un filtro de métricas y crear una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma basada en el filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información acerca de la sintaxis de los filtros de métricas y los patrones de los eventos de registro de CloudTrail, consulte las secciones relacionadas con JSON deSintaxis de patrones y filtrosen laGuía del usuario de Amazon CloudWatch Logs.

Ejemplo: Cambios en la configuración del grupo

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se produzcan cambios de configuración en grupos de seguridad.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registros, seleccione el grupo de registros que ha creado para los eventos de registro de CloudTrail.

  4. Haga clic en .ActionsY a continuación, elijaCrear filtro de métricas..

  5. En la páginaDefinir patrón, enCrear patrón de filtroEn, escriba lo siguiente.patrón de filtro.

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. EnPatrón deDeje los valores predeterminados. Seleccione Next (Siguiente).

  7. En la páginaAsignación de(Se ha creado el códigoNombre del filtro, introduzcaSecurityGroupEvents.

  8. EnDetalles de métrica, activeCrear nuevoY a continuación, introduzcaCloudTrailMetrics: paraespacio de nombres de métrica.

  9. EnNombre de métrica, escribaSecurityGroupEventCount.

  10. EnValor de la métrica, escriba1.

  11. abandonarValor predeterminadoEn blanco.

  12. Seleccione Next (Siguiente).

  13. En la páginaRevisar y crear, revise las opciones seleccionadas. Haga clic en .Crear filtro de métricas.para crear el filtro, o elijaEdit (Editar)para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métrica, se abre la página de detalles del grupo de registros de registros de CloudWatch Logs para el grupo de registros de rastreo de Clou Siga este procedimiento para crear una alarma.

  1. En la páginaFiltros de métricas, busque el filtro de métrica que creó enCrear un filtro de métricas.. Rellene la casilla de verificación del filtro de métricas. En laFiltros de métricasbar, elijaCrear alarma.

  2. En la páginaCrear alarma, enEspecificar métrica y condicionesEn, escriba lo siguiente.

    1. EnGráfico, la línea se establece en1en función de otros ajustes que realice al crear la alarma.

    2. EnNombre de métrica, mantenga el nombre de la métrica actual,SecurityGroupEventCount.

    3. EnEstadística, conserve el valor predeterminado,Sum.

    4. EnPeríodo, conserve el valor predeterminado,5 minutes.

    5. EnCondiciones, paraTipo de umbral, elijaEstático.

    6. EnWHEN metric_name es, elijaMayor/Igual.

    7. EnUmbral, introduzca1.

    8. EnConfiguración adicionalDeje los valores predeterminados. Seleccione Next (Siguiente).

  3. En la páginaConfiguración de acciones, elijaAlarma, que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos, ySecurityGroupEventCountestá en estado de alarma.

    1. EnSeleccione un tema de SNS, elijaCrear nuevo.

    2. EscribaSecurityGroupChanges_CloudWatch_Alarms_topicComo nombre del nuevo tema de Amazon SNS.

    3. EnEndpoints de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se produce esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben un correo electrónico pidiéndoles que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Seleccione Next (Siguiente).

  5. En la páginaAgregar nombre y descripciónIntroduzca un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escribaSecurity group configuration changespara el nombre, yRaises alarms if security group configuration changes occurPara obtener la descripción. Seleccione Next (Siguiente).

  6. En la páginaCreación de una vista previa, revise las opciones seleccionadas. Haga clic en .Edit (Editar)para realizar cambios o elijaCrear alarmapara crear la alarma.

    Después de crear la alarma, CloudWatch abre elAlarmas de(Se ha creado el certificado). La alarmaActionsLa columna muestraPending confirmationhasta que todos los destinatarios de correo electrónico sobre el tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: Errores de inicio de sesión

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando existan tres o más errores de inicio de sesión de AWS Management Console durante un periodo de cinco minutos.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registros, seleccione el grupo de registros que ha creado para los eventos de registro de CloudTrail.

  4. Haga clic en .ActionsY a continuación, elijaCrear filtro de métricas..

  5. En la páginaDefinir patrón, enCrear patrón de filtroEn, escriba lo siguiente.patrón de filtro.

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. Enpattern de pruebaDeje los valores predeterminados. Seleccione Next (Siguiente).

  7. En la páginaAsignación de(Se ha creado el códigoNombre del filtro, introduzcaConsoleSigninfailures.

  8. EnDetalles de métrica, activeCrear nuevoY a continuación, introduzcaCloudTrailMetrics: paraespacio de nombres de métrica.

  9. EnNombre de métrica, escribaConsoleSignInfailureCount.

  10. EnValor de la métrica, escriba1.

  11. abandonarValor predeterminadoEn blanco.

  12. Seleccione Next (Siguiente).

  13. En la páginaRevisar y crear, revise las opciones seleccionadas. Haga clic en .Crear filtro de métricas.para crear el filtro, o elijaEdit (Editar)para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métrica, se abre la página de detalles del grupo de registros de registros de CloudWatch Logs para el grupo de registros de rastreo de Clou Siga este procedimiento para crear una alarma.

  1. En la páginaFiltros de métricas, busque el filtro de métrica que creó enCrear un filtro de métricas.. Rellene la casilla de verificación del filtro de métricas. En laFiltros de métricasbar, elijaCreación de alarma.

  2. En la páginaCrear alarma, enEspecificar métrica y condicionesEn, escriba lo siguiente.

    1. EnGráfico, la línea se establece en3en función de otros ajustes que realice al crear la alarma.

    2. EnNombre de métrica, mantenga el nombre de la métrica actual,ConsoleSigninFailureCount.

    3. EnEstadística, conserve el valor predeterminado,Sum.

    4. EnPeríodo, conserve el valor predeterminado,5 minutes.

    5. EnCondiciones, paraTipo de umbral, elijaEstático.

    6. EnWHEN metric_name es, elijaMayor/Igual.

    7. EnUmbral, introduzca3.

    8. EnConfiguración adicionalDeje los valores predeterminados. Seleccione Next (Siguiente).

  3. En la páginaConfiguración de accionesHaga clic en, enAlarma, que indica que la acción se realiza cuando se cruza el umbral de 3 eventos de cambio en 5 minutos, yConsoleSignInfailureCountestá en estado de alarma.

    1. EnSeleccione un tema de SNS, elijaCrear nuevo.

    2. EscribaConsoleSigninFailures_CloudWatch_Alarms_topicComo nombre del nuevo tema de Amazon SNS.

    3. EnEndpoints de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se produce esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben un correo electrónico pidiéndoles que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Seleccione Next (Siguiente).

  5. En la páginaAgregar nombre y descripciónIntroduzca un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escribaConsole sign-in failurespara el nombre, yRaises alarms if more than 3 console sign-in failures occur in 5 minutespara obtener la descripción de. Seleccione Next (Siguiente).

  6. En la páginaCreación de una vista previa, revise las opciones seleccionadas. Haga clic en .Edit (Editar)para realizar cambios o elijaCreación de alarmapara crear la alarma.

    Después de crear la alarma, CloudWatch abre elAlarmas de(Se ha creado el certificado). La alarmaActionsLa columna muestraPending confirmationhasta que todos los destinatarios de correo electrónico sobre el tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: Cambios de política de IAM

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se produzca una llamada a la API para cambiar una política de IAM.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registros, seleccione el grupo de registros que ha creado para los eventos de registro de CloudTrail.

  4. Haga clic en .ActionsY a continuación, elijaCrear filtro de métricas..

  5. En la páginaDefinir patrón, enCrear patrón de filtroEn, escriba lo siguiente.patrón de filtro.

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. Enpattern de pruebaDeje los valores predeterminados. Seleccione Next (Siguiente).

  7. En la páginaAsignación de(Se ha creado el códigoNombre del filtro, introduzcaIAMPolicyChanges.

  8. EnDetalles de métrica, activeCrear nuevoY a continuación, introduzcaCloudTrailMetrics: paraespacio de nombres de métrica.

  9. EnNombre de métrica, escribaIAMPolicyEventCount.

  10. EnValor de la métrica, escriba1.

  11. abandonarValor predeterminadoEn blanco.

  12. Seleccione Next (Siguiente).

  13. En la páginaRevisar y crear, revise las opciones seleccionadas. Haga clic en .Crear filtro de métricas.para crear el filtro, o elijaEdit (Editar)para retroceder y cambiar los valores.

Crear una alarma

Después de crear el filtro de métrica, se abre la página de detalles del grupo de registros de registros de CloudWatch Logs para el grupo de registros de rastreo de Clou Siga este procedimiento para crear una alarma.

  1. En la páginaFiltros de métricas, busque el filtro de métrica que creó enCrear un filtro de métricas.. Rellene la casilla de verificación del filtro de métricas. En laFiltros de métricasbar, elijaCreación de alarma.

  2. En la páginaCrear alarma, enEspecificar métrica y condicionesEn, escriba lo siguiente.

    1. EnGráfico, la línea se establece en1en función de otros ajustes que realice al crear la alarma.

    2. EnNombre de métrica, mantenga el nombre de la métrica actual,IAMPolicyEventCount.

    3. EnEstadística, conserve el valor predeterminado,Sum.

    4. EnPeríodo, conserve el valor predeterminado,5 minutes.

    5. EnCondiciones, paraTipo de umbral, elijaEstático.

    6. EnWHEN metric_name es, elijaMayor/Igual.

    7. EnUmbral, introduzca1.

    8. EnConfiguración adicionalDeje los valores predeterminados. Seleccione Next (Siguiente).

  3. En la páginaConfiguración de accionesHaga clic en, enAlarma, que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos, yIAMPolicyEventCountestá en estado de alarma.

    1. EnSeleccione un tema de SNS, elijaCrear nuevo.

    2. EscribaIAM_policy_changes_cloudwatch_alarms_topicComo nombre del nuevo tema de Amazon SNS.

    3. EnEndpoints de correo electrónico que recibirán la notificación, introduzca las direcciones de correo electrónico de los usuarios a los que desea recibir notificaciones si se produce esta alarma. Separe las direcciones de correo electrónico con comas.

      Los destinatarios de correo electrónico especificados aquí reciben un correo electrónico pidiéndoles que confirmen que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Seleccione Next (Siguiente).

  5. En la páginaAgregar nombre y descripciónIntroduzca un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, escribaIAM Policy Changespara el nombre, yRaises alarms if IAM policy changes occurpara obtener la descripción de. Seleccione Next (Siguiente).

  6. En la páginaCreación de una vista previa, revise las opciones seleccionadas. Haga clic en .Edit (Editar)para realizar cambios o elijaCreación de alarmapara crear la alarma.

    Después de crear la alarma, CloudWatch abre elAlarmas de(Se ha creado el certificado). La alarmaActionsLa columna muestraPending confirmationhasta que todos los destinatarios de correo electrónico sobre el tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.