Création d' CloudWatch alarmes pour CloudTrail des événements : exemples - AWS CloudTrail
PrérequisCréer un filtre de métrique et une alarmeExemple : modifications apportées à la configuration du groupe de sécuritéExemples d' AWS Management Console échecs de connexionExemple : modifications apportées à une stratégie &IAM;Configuration des notifications pour les alarmes CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d' CloudWatch alarmes pour CloudTrail des événements : exemples

Cette rubrique décrit comment configurer les alarmes pour les CloudTrail événements et inclut des exemples.

Prérequis

Pour pouvoir utiliser les exemples dans cette rubrique, vous devez :

  • Créer un journal de suivi avec la console ou la CLI.

  • Créez un groupe de journaux, ce que vous pouvez faire dans le cadre de la création d'un journal de suivi. Pour plus d'informations sur la création d'un journal de suivi, consultez Création d'un parcours à l'aide de la CloudTrail console.

  • Spécifiez ou créez un rôle IAM qui accorde CloudTrail les autorisations nécessaires pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Le CloudTrail_CloudWatchLogs_Role par défaut s'en charge pour vous.

Pour plus d’informations, consultez Envoyer des événements à CloudWatch Logs. Les exemples présentés dans cette section sont exécutés dans la console Amazon CloudWatch Logs. Pour plus d'informations sur la création de filtres métriques et d'alarmes, consultez les sections Création de métriques à partir des événements du journal à l'aide de filtres et Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Créer un filtre de métrique et une alarme

Pour créer une alarme, vous devez d'abord créer un filtre de métrique, puis configurer une alarme basée sur le filtre. Les procédures sont affichées pour tous les exemples. Pour plus d'informations sur la syntaxe des filtres métriques et des modèles pour les événements de CloudTrail journal, consultez les sections relatives au JSON relatives à la syntaxe des filtres et des modèles dans le guide de l'utilisateur Amazon CloudWatch Logs.

Exemple : modifications apportées à la configuration du groupe de sécurité

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche lorsque des modifications de configuration sont apportées aux groupes de sécurité.

Créer un filtre de métrique

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation de gauche, choisissez Journaux, Groupes de journaux.

  3. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

  4. Dans le menu Filtres métriques ou Actions, sélectionnez Créer un filtre de métrique.

  5. Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).

  7. Dans la page Attribuer une métrique, sous Nom de filtre, saisissez SecurityGroupEvents.

  8. Dans Détails de la métrique, activez Créer un nouveau, puis saisissez CloudTrailMetrics pour Espace de noms de métrique.

  9. Dans Nom de la métrique, saisissez SecurityGroupEventCount.

  10. Dans Valeur de métriques, saisissez 1.

  11. Laissez la Valeur par défaut vide.

  12. Choisissez Next Suivant.

  13. Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.

Créer une alarme

Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

  1. Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).

  2. Pour Spécifier la métrique et les conditions, saisissez ce qui suit.

    1. Pour Graph (Graphe), la ligne est définie sur 1 en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

    2. Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle, SecurityGroupEventCount.

    3. Pour Statistic (Statistique), conservez la valeur par défaut, Sum.

    4. Pour Period (Période), conservez la valeur par défaut, 5 minutes.

    5. Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).

    6. Pour Whenever metric_name (À chaque fois que le nom de la métrique) est, choisissez Greater/Equal (Supérieur/Égal).

    7. Pour la valeur du seuil, saisissez 1.

    8. Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).

  3. Sur la page Configurer les actions, choisissez Notification, puis sélectionnez En alarme, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle SecurityGroupEventCountest en état d'alarme.

    1. Pour Envoyer une notification à la rubrique SNS suivante, choisissez Créer une rubrique.

    2. Saisissez SecurityGroupChanges_CloudWatch_Alarms_Topic comme nom de la nouvelle rubrique Amazon SNS.

    3. Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

    4. Choisissez Create topic (Créer une rubrique).

  4. Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).

  5. Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez Security group configuration changes pour le nom, puis Raises alarms if security group configuration changes occur pour la description. Choisissez Next (Suivant).

  6. Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.

    Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique Pending confirmation (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

Exemples d' AWS Management Console échecs de connexion

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche en cas d'échec de AWS Management Console connexion au moins trois fois sur une période de cinq minutes.

Créer un filtre de métrique

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation de gauche, choisissez Journaux, Groupes de journaux.

  3. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

  4. Dans le menu Filtres métriques ou Actions, sélectionnez Créer un filtre de métrique.

  5. Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).

  7. Dans la page Attribuer une métrique, sous Nom de filtre, saisissez ConsoleSignInFailures.

  8. Dans Détails de la métrique, activez Créer un nouveau, puis saisissez CloudTrailMetrics pour Espace de noms de métrique.

  9. Dans Nom de la métrique, saisissez ConsoleSigninFailureCount.

  10. Dans Valeur de métriques, saisissez 1.

  11. Laissez la Valeur par défaut vide.

  12. Choisissez Next Suivant.

  13. Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.

Créer une alarme

Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

  1. Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).

  2. Dans la page Create alarm (Créer une alarme), dans Specify metric and conditions (Spécifier la métrique et les conditions), saisissez ce qui suit.

    1. Pour Graph (Graphe), la ligne est définie sur 3 en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

    2. Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle, ConsoleSigninFailureCount.

    3. Pour Statistic (Statistique), conservez la valeur par défaut, Sum.

    4. Pour Period (Période), conservez la valeur par défaut, 5 minutes.

    5. Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).

    6. Pour Whenever metric_name (À chaque fois que le nom de la métrique) est, choisissez Greater/Equal (Supérieur/Égal).

    7. Pour la valeur du seuil, saisissez 3.

    8. Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).

  3. Sur la page Configurer les actions, pour Notification, choisissez En alarme, ce qui indique que l'action est entreprise lorsque le seuil de 3 événements de changement en 5 minutes est dépassé et qu'elle ConsoleSigninFailureCountest en état d'alarme.

    1. Pour Envoyer une notification à la rubrique SNS suivante, choisissez Créer une rubrique.

    2. Saisissez ConsoleSignInFailures_CloudWatch_Alarms_Topic comme nom de la nouvelle rubrique Amazon SNS.

    3. Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

    4. Choisissez Create topic (Créer une rubrique).

  4. Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).

  5. Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez Console sign-in failures pour le nom, puis Raises alarms if more than 3 console sign-in failures occur in 5 minutes pour la description. Choisissez Next (Suivant).

  6. Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.

    Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique Pending confirmation (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

Exemple : modifications apportées à une stratégie &IAM;

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui est déclenchée lorsqu'un appel d'API est effectué pour modifier une politique IAM.

Créer un filtre de métrique

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Logs (Journaux).

  3. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

  4. Choisissez Actions, puis Create metric filter (Créer un filtre de métrique).

  5. Dans la page Define pattern (Définir un modèle), dans Create filter pattern (Créer un modèle de filtre), saisissez ce qui suit pour Filter pattern (Modèle de filtre).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. Dans Test pattern (Modèle de test), laissez les valeurs par défaut. Choisissez Next (Suivant).

  7. Dans la page Attribuer une métrique, sous Nom de filtre, saisissez IAMPolicyChanges.

  8. Dans Détails de la métrique, activez Créer un nouveau, puis saisissez CloudTrailMetrics pour Espace de noms de métrique.

  9. Dans Nom de la métrique, saisissez IAMPolicyEventCount.

  10. Dans Valeur de métriques, saisissez 1.

  11. Laissez la Valeur par défaut vide.

  12. Choisissez Next Suivant.

  13. Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Create metric filter (Créer un filtre de métriques) pour créer le filtre, ou choisissez Edit (Modifier) pour revenir en arrière et modifier les valeurs.

Créer une alarme

Une fois que vous avez créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe CloudTrail de journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

  1. Dans la page Metric filters (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans Créer un filtre de métrique. Remplissez la case pour le filtre de métrique. Dans Metric filters (Filtres de métriques), choisissez Create alarm (Créer une alarme).

  2. Dans la page Create alarm (Créer une alarme), dans Specify metric and conditions (Spécifier la métrique et les conditions), saisissez ce qui suit.

    1. Pour Graph (Graphe), la ligne est définie sur 1 en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

    2. Pour Metric name (Nom de la métrique), conservez le nom de la métrique actuelle, IAMPolicyEventCount.

    3. Pour Statistic (Statistique), conservez la valeur par défaut, Sum.

    4. Pour Period (Période), conservez la valeur par défaut, 5 minutes.

    5. Dans la section Conditions sous Threshold type (Type de seuil), choisissez Static (Statique).

    6. Pour Whenever metric_name (À chaque fois que le nom de la métrique) est, choisissez Greater/Equal (Supérieur/Égal).

    7. Pour la valeur du seuil, saisissez 1.

    8. Dans Additional configuration (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez Next (Suivant).

  3. Sur la page Configurer les actions, pour Notification, choisissez En alarme, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et que IAM PolicyEventCount est en état d'alarme.

    1. Pour Envoyer une notification à la rubrique SNS suivante, choisissez Créer une rubrique.

    2. Saisissez IAM_Policy_Changes_CloudWatch_Alarms_Topic comme nom de la nouvelle rubrique Amazon SNS.

    3. Dans Points de terminaison d'e-mail qui reçoivent la notification, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

    4. Choisissez Create topic (Créer une rubrique).

  4. Dans cet exemple, ignorez les autres types d'action. Choisissez Next (Suivant).

  5. Dans la page Add name and description (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez IAM Policy Changes pour le nom, puis Raises alarms if IAM policy changes occur pour la description. Choisissez Next (Suivant).

  6. Dans la page Preview and create (Prévisualiser et créer), vérifiez vos choix. Choisissez Edit (Modifier) pour effectuer des modifications, ou choisissez Create alarm (Créer une alarme) pour créer l'alarme.

    Après avoir créé l'alarme, CloudWatch ouvre la page Alarmes. La colonne Actions de l'alarme indique Pending confirmation (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

Configuration des notifications pour les alarmes CloudWatch Logs

Vous pouvez configurer CloudWatch Logs pour envoyer une notification chaque fois qu'une alarme est déclenchée CloudTrail. Cela vous permet de réagir rapidement aux événements opérationnels critiques enregistrés dans les CloudTrail événements et détectés par CloudWatch les journaux. CloudWatch utilise Amazon Simple Notification Service (SNS) pour envoyer des e-mails. Pour plus d'informations, consultez la section Configuration des notifications Amazon SNS dans le guide de l'CloudWatch utilisateur.