Creación de alarmas de CloudWatch con unAWS CloudFormationTemplate (Plantilla) - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de alarmas de CloudWatch con unAWS CloudFormationTemplate (Plantilla)

Después de configurar el registro de seguimiento para entregar archivos de registro a su grupo de registros de CloudWatch, puede crear filtros y alarmas de métricas de CloudWatch para monitorear los eventos de los archivos de registro de. Por ejemplo, puede especificar un evento como Amazon EC2RunInstancesDe esta forma, CloudWatch le envía notificaciones cuando ese evento se produzca en su cuenta de. Puede crear sus filtros y alarmas por separado o usar la plantilla de AWS CloudFormation para definirlos todos al mismo tiempo.

Puede utilizar la plantilla de ejemplo de CloudFormation tal y como está, o como referencia para crear su propia plantilla.

Plantilla de ejemplo de CloudFormation

La plantilla de CloudFormation tiene filtros y alarmas de métricas de CloudWatch, de modo que recibe notificaciones por correo electrónico cuando se realizan determinadas llamadas a la API relacionadas con la seguridad en suAWSaccount.

La plantilla está disponible en un archivo zip en la siguiente ubicación: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

La plantilla define los filtros de métricas que monitorean las operaciones de creación, eliminación y actualización de los siguientes tipos de recurso:

  • Instancias Amazon EC2

  • Políticas de IAM

  • Puertos de enlace a internet

  • ACL de red

  • Grupos de seguridad

Cuando se produce una llamada a la API en su cuenta, un filtro de métricas la monitorea. Si la llamada a la API supera los umbrales especificados, se activa la alarma y CloudWatch le envía una notificación por correo electrónico.

De forma predeterminada, la mayoría de los filtros de la plantilla activan una alarma cuando se produce un evento monitorizado en un período de cinco minutos. Puede modificar estos umbrales de alarma según sus requisitos. Por ejemplo, puede monitorear tres eventos en un periodo de diez minutos. Para realizar cambios, edite la plantilla o, después de cargarla, especifique los umbrales en la lista deconsola de CloudWatch.

nota

Dado que CloudTrail normalmente entrega archivos de registro cada cinco minutos, especifique los periodos de alarma de cinco minutos como mínimo.

Para ver los filtros y alarmas de métricas en la plantilla y las llamadas a la API que activan las notificaciones por correo electrónico, consulte Contenido de la plantilla de CloudFormation.

Creación un stack de CloudFormation con la plantilla

Una pila de CloudFormation es una colección de recursos relacionados que usted aprovisiona y actualiza como una única unidad. En el procedimiento siguiente se describe cómo crear el stack y validar la dirección de correo electrónico que recibe las notificaciones.

Para crear un stack de CloudFormation con la plantilla

  1. Configure su registro de seguimiento para entregar archivos de registro a su grupo de registros de CloudWatch Logs. Consulte Envío de eventos a CloudWatch Logs.

  2. Descargue la plantilla de CloudFormation: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

  3. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  4. Elija Create Stack.

    
                        Creación de unAWS CloudFormationEn la consola de.
  5. En la página Select Template, escriba el nombre del stack en Name. Por ejemplo, CloudWatchAlarmsForCloudTrail.

    
                        Elija una plantilla en la listaAWS CloudFormationconsola de .
  6. ParaFuente, elijaCargar una plantilla en Amazon S3.

    
                        Cargue una plantilla a laAWS CloudFormationconsola de .
  7. Elija Choose File y, a continuación, seleccione la plantilla de AWS CloudFormation que ha descargado.

  8. Seleccione Next (Siguiente).

  9. En la página Specify Parameters, escriba la dirección de correo electrónico para recibir notificaciones en Email.

  10. ParaLogGroupNameEscriba el nombre del grupo de registros que ha especificado al configurar el registro de seguimiento para entregar archivos de registro a CloudWatch Logs.

    
                        Especifique la dirección de correo electrónico y el nombre del grupo de registros para elAWS CloudFormationPila de.
  11. Seleccione Next (Siguiente).

  12. En Options, puede crear etiquetas o configurar otras opciones avanzadas. Estas opciones no son obligatorias.

    
                        Especifique opciones adicionales para elAWS CloudFormationPila de.
  13. Seleccione Next (Siguiente).

  14. En la página Review, compruebe que la configuración es correcta.

    
                        Consulte laAWS CloudFormationAntes de crearla.
  15. Seleccione Create. La pila se crea en unos minutos.

    
                        LaAWS CloudFormationSe crea pila de pila de.
  16. Después de que se cree el stack, recibirá un correo electrónico en la dirección que haya especificado.

  17. En el correo electrónico, elija Confirm subscription. Recibirá notificaciones por correo electrónico cuando se activen las alarmas especificadas en la plantilla.

    
                        Confirme la suscripción en el correo electrónico.
    
                        Consulte el siguiente ejemplo de notificación por correo electrónico.

Contenido de la plantilla de CloudFormation

En las siguientes tablas se muestran los filtros y alarmas de métricas de la plantilla, su finalidad y las llamadas a la API que activan las notificaciones por correo electrónico. Las notificaciones se activan cuando en su cuenta de producen una o más llamadas a la API acordes con uno de los filtros en la lista.

Puede revisar el filtro de métricas o las definiciones de alarma en laconsola de CloudWatch.

Eventos de bucket de Amazon S3
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

Llamadas a la API que cambian la política del bucket, el ciclo de vida, la replicación o las ACL.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

Eventos de red
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

Llamadas a la API que crean, actualizan y eliminan grupos de seguridad.

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

Llamadas a la API que crean, actualizan y eliminan ACL de red.

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

GatewayChangesMetricFilter

GatewayChangesAlarm

Llamadas a la API que crean, actualizan y eliminan clientes y puertos de enlace a internet.

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Llamadas a la API que crean, actualizan y eliminan nubes virtuales privadas (VPC), interconexiones de VPC y conexiones de VPC a instancias EC2 clásicas mediante ClassicLink.

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Eventos de Amazon EC2
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2 grandes de 4x y 8x.

Al menos una de las siguientes operaciones de API:

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

y al menos uno de los siguientes tipos de instancia:

instancetype=*.4xlarge

instancetype=*.8xlarge

Eventos de CloudTrail e IAM
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

Crear, eliminar y actualizar registros de seguimiento. Cuando comienza y se para el registro para un registro de seguimiento.

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

Errores de inicio de sesión de la consola

eventName es ConsoleLogin

y

errorMessage es "Failed authentication"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

Errores de autorización

Cualquier llamada a la API que genera un código de error: AccessDenied

o bien

*UnauthorizedOperation.

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

Cambios en las políticas de IAM

AttachGroupPolicy

DeleteGroupPolicy

DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy