Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation. - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation.

Después de configurar el registro de seguimiento para entregar archivos de registro a su grupo de registro de CloudWatch, puede crear filtros y alarmas de métricas de CloudWatch para monitorear los eventos de los archivos de registro. Por ejemplo, puede especificar un evento como la operación RunInstances de Amazon EC2, de forma que CloudWatch le envíe notificaciones cuando ese evento se produzca en su cuenta. Puede crear sus filtros y alarmas por separado o usar la plantilla de AWS CloudFormation para definirlos todos al mismo tiempo.

Puede utilizar la plantilla de CloudFormation de ejemplo tal cual o como referencia para crear su propia plantilla.

Plantilla de CloudFormation de ejemplo

La plantilla de CloudFormation tiene filtros y alarmas de métricas de CloudWatch predefinidos, para que reciba notificaciones por correo electrónico cuando se realicen determinadas llamadas a la API relacionadas con la seguridad en su cuenta de AWS.

La plantilla está disponible en un archivo zip en la siguiente ubicación: CloudWatch_Alarmas_para_CloudTrail_API_Activity.zip.

La plantilla define los filtros de métricas que monitorean las operaciones de creación, eliminación y actualización de los siguientes tipos de recurso:

  • Instancias Amazon EC2

  • Políticas de IAM

  • Puertos de enlace a internet

  • Red ACLs

  • Grupos de seguridad

Cuando se produce una llamada a la API en su cuenta, un filtro de métricas la monitorea. Si la llamada a la API supera los umbrales especificados, se activa la alarma y CloudWatch le envía una notificación por correo electrónico.

De forma predeterminada, la mayoría de los filtros de la plantilla activan una alarma cuando se produce un evento monitorizado en un período de cinco minutos. Puede modificar estos umbrales de alarma según sus requisitos. Por ejemplo, puede monitorear tres eventos en un periodo de diez minutos. Para realizar cambios, edite la plantilla o, después de cargarla, especifique los umbrales en la consola de CloudWatch.

nota

Dado que CloudTrail normalmente entrega archivos de registro cada cinco minutos, especifique los periodos de alarma de cinco minutos como mínimo.

Para ver los filtros y alarmas de métricas en la plantilla y las llamadas a la API que activan las notificaciones por correo electrónico, consulte El contenido de la plantilla deCloudFormation.

Creación de una pila de CloudFormation con la plantilla

Una pila de CloudFormation es una colección de recursos relacionados que usted aprovisiona y actualiza como una única unidad. En el procedimiento siguiente se describe cómo crear el stack y validar la dirección de correo electrónico que recibe las notificaciones.

Para crear una pila de CloudFormation con la plantilla

  1. Configure su el registro de seguimiento para entregar los archivos de registro a su grupo de registros de CloudWatch Logs. Consulte Envío de eventos de a CloudWatch Logs.

  2. Descargue la plantilla de CloudFormation: CloudWatch_Alarmas_para_CloudTrail_API_Activity.zip.

  3. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  4. Elija Create Stack.

    
                        Cree una pila de AWS CloudFormation en la consola.
  5. En la página Select Template, escriba el nombre del stack en Name. El siguiente ejemplo utiliza CloudWatchAlarmsForCloudTrail.

    
                        Elija una plantilla en la consola de AWS CloudFormation.
  6. En Source, elija Upload a template to Amazon S3.

    
                        Cargue una plantilla en la consola de AWS CloudFormation.
  7. Elija Choose File y, a continuación, seleccione la plantilla de AWS CloudFormation que ha descargado.

  8. Seleccione Next (Siguiente).

  9. En la página Specify Parameters, escriba la dirección de correo electrónico para recibir notificaciones en Email.

  10. En LogGroupName, escriba el nombre del grupo de registros que especificó al configurar el registro de seguimiento para enviar archivos de registro a CloudWatch Logs.

    
                        Especifique la dirección de correo electrónico y el nombre del grupo de registros para la pila de AWS CloudFormation.
  11. Seleccione Next (Siguiente).

  12. En Options, puede crear etiquetas o configurar otras opciones avanzadas. Estas opciones no son obligatorias.

    
                        Especifique opciones adicionales para la pila de AWS CloudFormation.
  13. Seleccione Next (Siguiente).

  14. En la página Review, compruebe que la configuración es correcta.

    
                        Revise la pila de AWS CloudFormation antes de crearla.
  15. Seleccione Create (Crear). La pila se crea en unos minutos.

    
                        Se crea la pila de AWS CloudFormation.
  16. Después de que se cree el stack, recibirá un correo electrónico en la dirección que haya especificado.

  17. En el correo electrónico, elija Confirm subscription. Recibirá notificaciones por correo electrónico cuando se activen las alarmas especificadas en la plantilla.

    
                        Confirme la suscripción en el correo electrónico.

    Se ha enviado la siguiente notificación de ejemplo cuando una llamada a la API ha cambiado la política de IAM que ha desencadenado la alarma de métricas.

    
                        Consulte el siguiente ejemplo de notificación por correo electrónico.

El contenido de la plantilla deCloudFormation

En las siguientes tablas se muestran los filtros y alarmas de métricas de la plantilla, su finalidad y las llamadas a la API que activan las notificaciones por correo electrónico. Las notificaciones se activan cuando en su cuenta de producen una o más llamadas a la API acordes con uno de los filtros en la lista.

Puede revisar el filtro de métricas o las definiciones de alarma en la consola de CloudWatch.

Eventos de bucket de Amazon S3
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

Llamadas a la API que cambian la política del bucket, el ciclo de vida, la replicación o ACLs.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

Eventos de red
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

Llamadas a la API que crean, actualizan y eliminan grupos de seguridad.

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

Llamadas a la API que crean, actualizan y eliminan ACLs de red.

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

GatewayChangesMetricFilter

GatewayChangesAlarm

Llamadas a la API que crean, actualizan y eliminan clientes y puertos de enlace a internet.

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Llamadas a la API que crean, actualizan y eliminan nubes virtuales privadas (VPC), interconexiones de VPC y conexiones de VPC a instancias EC2 clásicas mediante ClassicLink.

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Eventos de Amazon EC2
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2 grandes de 4x y 8x.

Al menos una de las siguientes operaciones de API:

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

y al menos uno de los siguientes tipos de instancia:

instancetype=*.4xlarge

instancetype=*.8xlarge

Eventos de CloudTrail y IAM
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

Crear, eliminar y actualizar registros de seguimiento. Cuando comienza y se para el registro para un registro de seguimiento.

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

Errores de inicio de sesión de la consola

eventNameesConsoleLogin

y

errorMessage es "Failed authentication"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

Errores de autorización

Cualquier llamada a la API que genera un código de error: AccessDenied

o bien

*UnauthorizedOperation.

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

Cambios en las políticas de IAM

AttachGroupPolicy

DeleteGroupPolicy

DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy