Creazione di allarmi CloudWatch per eventi CloudTrail: esempi - AWS CloudTrail
PrerequisitiCreazione di un filtro parametri e creazione di un allarmeEsempio di modifiche della configurazione del gruppo di sicurezzaEsempio di errori di accesso alla AWS Management ConsoleEsempio: modifiche delle policy IAM

Creazione di allarmi CloudWatch per eventi CloudTrail: esempi

In questo argomento viene descritto come configurare allarmi per gli eventi CloudTrail e sono inclusi esempi.

Nota

Invece di creare manualmente i seguenti filtri parametri e allarmi di esempio, puoi utilizzare un modello AWS CloudFormation per crearli tutti contemporaneamente. Per ulteriori informazioni, consulta Creazione di allarmi CloudWatch con un modello di AWS CloudFormation.

Prerequisiti

Prima di utilizzare gli esempi di questo argomento, è necessario:

  • Creare un trail con la console o l'interfaccia a riga di comando (CLI).

  • Crea un gruppo di log, operazione che puoi eseguire durante la creazione di un percorso. Per ulteriori informazioni sulla creazione di un trail, consulta Creazione di un percorso.

  • Specifica o crea un ruolo IAM che conceda a CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per distribuire gli eventi CloudTrail a tale flusso. L'impostazione di default CloudTrail_CloudWatchLogs_Role è valida per questo esempio.

Per ulteriori informazioni, consulta Invio di eventi a CloudWatch Logs. Gli esempi in questa sezione vengono eseguiti nella console Amazon CloudWatch Logs. Per ulteriori informazioni su come creare filtri dei parametri e allarmi, consulta Creazione di parametri dagli eventi di registro utilizzando i filtri e Utilizzo degli allarmi Amazon CloudWatch nella Guida per l'utente di Amazon CloudWatch.

Creazione di un filtro parametri e creazione di un allarme

Per creare un allarme, devi prima creare un filtro dei parametri e quindi configurare un allarme in base a tale filtro. Le procedure vengono riportate per tutti gli esempi. Per ulteriori informazioni sulla sintassi dei filtri dei parametri e dei modelli per eventi di log di CloudTrail, consulta le sezioni relative a JSON Sintassi dei filtri e dei modelli nella Guida per l'utente di Amazon CloudWatch Logs.

Esempio di modifiche della configurazione del gruppo di sicurezza

Segui questa procedura per creare un allarme Amazon CloudWatch che viene attivato quando si verificano modifiche della configurazione dei gruppi di sicurezza.

Creazione di un filtro parametri

  1. Aprire la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione scegli Logs (Log).

  3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per gli eventi di log di CloudTrail.

  4. Scegli Actions (Operazioni) e quindi Create metric filter (Crea filtro parametri).

  5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

  7. Nella pagina Assign metric (Assegna parametro), per Filter name (Nome filtro) inserisci SecurityGroupEvents.

  8. In Metric details (Dettagli parametro) attiva Create new (Crea nuovo) e quindi inserisci CloudTrailMetrics for Metric namespace (Namespace parametro).

  9. In Metric Name (Nome parametro), digita SecurityGroupEventCount.

  10. In Metric Value (Valore parametro), digita 1.

  11. Lascia vuoto il campo Default value (Valore predefinito).

  12. Seleziona Successivo.

  13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro dei parametri, viene visualizzata la pagina dei dettagli del gruppo di log di CloudWatch Logs per il gruppo di log del percorso CloudTrail. Segui questa procedura per creare un allarme.

  1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

  2. Nella pagina Create alarm (Crea allarme), in Specify metric and conditions (Specifica parametri e condizioni), inserisci i seguenti dati.

    1. Per Graph (Grafico), la riga è impostata su 1 in base alle altre impostazioni che selezioni quando crei l'allarme.

    2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, SecurityGroupEventCount.

    3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

    4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

    5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

    6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

    7. Per Threshold (Soglia) inserisci 1.

    8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

  3. Nella pagina Configure actions (Configura operazioni), scegli In alarm (In allarme), che indica che l'operazione viene eseguita quando la soglia di 1 evento di modifica in 5 minuti viene superata e SecurityGroupEventCount è in uno stato di allarme.

    1. Per Select an SNS topic (Seleziona un argomento SNS), scegli Create new (Crea nuovo).

    2. Inserisci SecurityGroupChanges_CloudWatch_Alarms_Topic come nome del nuovo argomento Amazon SNS.

    3. In Email endpoints that will receive the notification (Endpoint delle e-mail che riceveranno la notifica) inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      I destinatari e-mail specificati qui ricevono un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

    4. Scegli Create topic (Crea argomento).

  4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

  5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci Security group configuration changes per il nome e Raises alarms if security group configuration changes occur per la descrizione. Seleziona Successivo.

  6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

    Dopo aver creato l'allarme, CloudWatch apre la pagina Alarms (Allarmi). La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

Esempio di errori di accesso alla AWS Management Console

Segui questa procedura per creare un allarme Amazon CloudWatch che viene attivato quando si verificano tre o più errori di accesso alla AWS Management Console in un intervallo di cinque minuti.

Creazione di un filtro parametri

  1. Aprire la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione scegli Logs (Log).

  3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per gli eventi di log di CloudTrail.

  4. Scegli Actions (Operazioni) e quindi Create metric filter (Crea filtro parametri).

  5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

  7. Nella pagina Assign metric (Assegna parametro), per Filter name (Nome filtro) inserisci ConsoleSignInFailures.

  8. In Metric details (Dettagli parametro) attiva Create new (Crea nuovo) e quindi inserisci CloudTrailMetrics for Metric namespace (Namespace parametro).

  9. In Metric Name (Nome parametro), digita ConsoleSigninFailureCount.

  10. In Metric Value (Valore parametro), digita 1.

  11. Lascia vuoto il campo Default value (Valore predefinito).

  12. Seleziona Successivo.

  13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro dei parametri, viene visualizzata la pagina dei dettagli del gruppo di log di CloudWatch Logs per il gruppo di log del percorso CloudTrail. Segui questa procedura per creare un allarme.

  1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

  2. Nella pagina Create alarm (Crea allarme), in Specify metric and conditions (Specifica parametri e condizioni), inserisci i seguenti dati.

    1. Per Graph (Grafico), la riga è impostata su 3 in base alle altre impostazioni che selezioni quando crei l'allarme.

    2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, ConsoleSigninFailureCount.

    3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

    4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

    5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

    6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

    7. Per Threshold (Soglia) inserisci 3.

    8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

  3. Nella pagina Configure actions (Configura operazioni), scegli In alarm (In allarme), che indica che l'operazione viene eseguita quando la soglia di 3 eventi di modifica in 5 minuti viene superata e ConsoleSigninFailureCount è in uno stato di allarme.

    1. Per Select an SNS topic (Seleziona un argomento SNS), scegli Create new (Crea nuovo).

    2. Inserisci ConsoleSignInFailures_CloudWatch_Alarms_Topic come nome del nuovo argomento Amazon SNS.

    3. In Email endpoints that will receive the notification (Endpoint delle e-mail che riceveranno la notifica) inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      I destinatari e-mail specificati qui ricevono un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

    4. Scegli Create topic (Crea argomento).

  4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

  5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci Console sign-in failures per il nome e Raises alarms if more than 3 console sign-in failures occur in 5 minutes per la descrizione. Seleziona Successivo.

  6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

    Dopo aver creato l'allarme, CloudWatch apre la pagina Alarms (Allarmi). La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

Esempio: modifiche delle policy IAM

Segui questa procedura per creare un allarme Amazon CloudWatch che viene attivato quando viene eseguita una chiamata API per modificare una policy IAM.

Creazione di un filtro parametri

  1. Aprire la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione scegli Logs (Log).

  3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per gli eventi di log di CloudTrail.

  4. Scegli Actions (Operazioni) e quindi Create metric filter (Crea filtro parametri).

  5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

  7. Nella pagina Assign metric (Assegna parametro), per Filter name (Nome filtro) inserisci IAMPolicyChanges.

  8. In Metric details (Dettagli parametro) attiva Create new (Crea nuovo) e quindi inserisci CloudTrailMetrics for Metric namespace (Namespace parametro).

  9. Per Metric Name (Nome parametro), digita IAMPolicyEventCount.

  10. In Metric Value (Valore parametro), digita 1.

  11. Lascia vuoto il campo Default value (Valore predefinito).

  12. Seleziona Successivo.

  13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro dei parametri, viene visualizzata la pagina dei dettagli del gruppo di log di CloudWatch Logs per il gruppo di log del percorso CloudTrail. Segui questa procedura per creare un allarme.

  1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

  2. Nella pagina Create alarm (Crea allarme), in Specify metric and conditions (Specifica parametri e condizioni), inserisci i seguenti dati.

    1. Per Graph (Grafico), la riga è impostata su 1 in base alle altre impostazioni che selezioni quando crei l'allarme.

    2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, IAMPolicyEventCount.

    3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

    4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

    5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

    6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

    7. Per Threshold (Soglia) inserisci 1.

    8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

  3. Nella pagina Configure actions (Configura operazioni), scegli In alarm (In allarme), che indica che l'operazione viene eseguita quando la soglia di 1 evento di modifica in 5 minuti viene superata e IAMPolicyEventCount è in uno stato di allarme.

    1. Per Select an SNS topic (Seleziona un argomento SNS), scegli Create new (Crea nuovo).

    2. Inserisci IAM_Policy_Changes_CloudWatch_Alarms_Topic come nome del nuovo argomento Amazon SNS.

    3. In Email endpoints that will receive the notification (Endpoint delle e-mail che riceveranno la notifica) inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      I destinatari e-mail specificati qui ricevono un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

    4. Scegli Create topic (Crea argomento).

  4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

  5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci IAM Policy Changes per il nome e Raises alarms if IAM policy changes occur per la descrizione. Seleziona Successivo.

  6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

    Dopo aver creato l'allarme, CloudWatch apre la pagina Alarms (Allarmi). La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.