Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation - AWS CloudTrail

Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation

Después de configurar el registro de seguimiento para entregar archivos de registro a su grupo de registros de CloudWatch, puede crear filtros y alarmas de métricas de CloudWatch para monitorear los eventos en los archivos de registros. Por ejemplo, puede especificar un evento como la operación RunInstances de Amazon EC2, de forma que CloudWatch envíe notificaciones cuando ese evento se produzca en su cuenta. Puede crear sus filtros y alarmas por separado o usar la plantilla de AWS CloudFormation para definirlos todos al mismo tiempo.

Puede utilizar la plantilla de ejemplo de CloudFormation tal y como está, o como referencia para crear su propia plantilla.

Ejemplo de plantilla de CloudFormation

La plantilla de CloudFormation tiene filtros y alarmas de métricas de CloudWatch, de modo que usted recibe notificaciones por email cuando se realizan determinadas llamadas a la API relacionadas con la seguridad en la cuenta de AWS.

La plantilla está disponible en un archivo zip en la siguiente ubicación: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

La plantilla define los filtros de métricas que monitorean las operaciones de creación, eliminación y actualización de los siguientes tipos de recurso:

  • Instancias de Amazon EC2

  • Políticas de IAM

  • Gateways de Internet

  • ACL de red

  • Grupos de seguridad

Cuando se produce una llamada a la API en su cuenta, un filtro de métricas la monitorea. Si la llamada a la API supera los umbrales especificados, se desencadena la alarma y CloudWatch envía una notificación por email.

De forma predeterminada, la mayoría de los filtros de la plantilla activan una alarma cuando se produce un evento monitorizado en un período de cinco minutos. Puede modificar estos umbrales de alarma según sus requisitos. Por ejemplo, puede monitorear tres eventos en un periodo de diez minutos. Para realizar cambios, edite la plantilla o, después de cargarla, especifique los umbrales en la consola de CloudWatch.

nota

Dado que CloudTrail produce archivos de registro cada cinco minutos, especifique los periodos de alarma de cinco minutos o más.

Para ver los filtros y alarmas de métricas en la plantilla y las llamadas a la API que activan las notificaciones por correo electrónico, consulte Contenido de la plantilla de CloudFormation.

Creación un pila de CloudFormation con la plantilla

Una pila de CloudFormation es una colección de recursos relacionados que usted aprovisiona y actualiza como una única unidad. En el procedimiento siguiente se describe cómo crear el stack y validar la dirección de correo electrónico que recibe las notificaciones.

Para crear un stack de CloudFormation con la plantilla

  1. Configure su registro de seguimiento para entregar los archivos de registros a su grupo de registros de CloudWatch Logs. Consulte Envío de eventos a Amazon CloudWatch Logs.

  2. Descargue la plantilla de CloudFormation: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

  3. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  4. Elija Create Stack.

    
                        Cree una pila de AWS CloudFormation en la consola.
  5. En la página Select Template, escriba el nombre del stack en Name. Por ejemplo, CloudWatchAlarmsForCloudTrail.

    
                        Elija una plantilla en la consola de AWS CloudFormation.
  6. En Source (Fuente), elija Upload a template to Amazon S3 (Cargar una plantilla a Amazon S3).

    
                        Cargue una plantilla en la consola de AWS CloudFormation.
  7. Seleccione Choose file (Elegir archivo) y, a continuación, la plantilla de AWS CloudFormation que descargó.

  8. Elija Next (Siguiente).

  9. En la página Specify Parameters, escriba la dirección de correo electrónico para recibir notificaciones en Email.

  10. En LogGroupName, escriba el nombre del grupo de registros que especificó al configurar el registro de seguimiento para entregar archivos de registros a CloudWatch Logs.

    
                        Especifique la dirección de email y el nombre del grupo de registros para la pila de AWS CloudFormation.
  11. Elija Next (Siguiente).

  12. En Options, puede crear etiquetas o configurar otras opciones avanzadas. Estas opciones no son obligatorias.

    
                        Especifique opciones adicionales para la pila de AWS CloudFormation.
  13. Elija Next (Siguiente).

  14. En la página Review, compruebe que la configuración es correcta.

    
                        Revise la pila de AWS CloudFormation antes de crearla.
  15. Seleccione Create (Crear). La pila se crea en unos minutos.

    
                        Se crea la pila de AWS CloudFormation.
  16. Después de que se cree el stack, recibirá un correo electrónico en la dirección que haya especificado.

  17. En el correo electrónico, elija Confirm subscription. Recibirá notificaciones por correo electrónico cuando se activen las alarmas especificadas en la plantilla.

    
                        Confirme la suscripción en el correo electrónico.
    
                        Consulte el siguiente ejemplo de notificación por correo electrónico.

Contenido de la plantilla de CloudFormation

En las siguientes tablas se muestran los filtros y alarmas de métricas de la plantilla, su finalidad y las llamadas a la API que activan las notificaciones por correo electrónico. Las notificaciones se activan cuando en su cuenta de producen una o más llamadas a la API acordes con uno de los filtros en la lista.

Puede revisar el filtro de métricas o las definiciones de alarma en la consola de CloudWatch.

Eventos de bucket de Amazon S3
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

Llamadas a la API que cambian la política del bucket, el ciclo de vida, la replicación o las ACL.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

Eventos de redes
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

Llamadas a la API que crean, actualizan y eliminan grupos de seguridad.

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

Llamadas a la API que crean, actualizan y eliminan ACL de red.

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

GatewayChangesMetricFilter

GatewayChangesAlarm

Llamadas a la API que crean, actualizan y eliminan clientes y puertos de enlace a internet.

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Llamadas a la API que crean, actualizan y eliminan nubes virtuales privadas (VPC), interconexiones de VPC y conexiones de VPC a instancias EC2 clásicas mediante ClassicLink.

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Eventos de Amazon EC2
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

Creación, finalización, inicio, parada y reinicio de instancias EC2 grandes de 4x y 8x.

Al menos una de las siguientes operaciones de API:

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

y al menos uno de los siguientes tipos de instancia:

instancetype=*.4xlarge

instancetype=*.8xlarge

Eventos de CloudTrail e IAM
Filtro de métricas y alarma Monitorizar y enviar notificaciones para: Notificaciones activadas por una o varias de las siguientes operaciones de la API:

CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

Crear, eliminar y actualizar registros de seguimiento. Cuando comienza y se para el registro para un registro de seguimiento.

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

Errores de inicio de sesión de la consola

eventName es ConsoleLogin

Protección de los datos

errorMessage es "Failed authentication"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

Errores de autorización

Cualquier llamada a la API que genera un código de error: AccessDenied

o bien

*UnauthorizedOperation.

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

Cambios en las políticas de IAM

AttachGroupPolicy

DeleteGroupPolicy

DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy