Creazione CloudWatch di allarmi per CloudTrail eventi: esempi

Questo argomento descrive come configurare gli allarmi per CloudTrail gli eventi e include esempi.

Prerequisiti

Prima di utilizzare gli esempi di questo argomento, è necessario:

• Creare un trail con la console o l'interfaccia a riga di comando (CLI).

• Crea un gruppo di log, operazione che puoi eseguire durante la creazione di un percorso. Per ulteriori informazioni sulla creazione di un trail, consulta Creazione di un percorso.

• Specificate o create un ruolo IAM che conceda CloudTrail le autorizzazioni per creare un flusso di log CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log. L'impostazione di default CloudTrail_CloudWatchLogs_Role è valida per questo esempio.

Per ulteriori informazioni, consulta Invio di eventi ai CloudWatch registri. Gli esempi in questa sezione vengono eseguiti nella console Amazon CloudWatch Logs. Per ulteriori informazioni su come creare filtri metrici e allarmi, consulta Creazione di metriche da eventi di registro utilizzando filtri e Uso degli CloudWatch allarmi Amazon nella Amazon User Guide. CloudWatch

Creazione di un filtro parametri e creazione di un allarme

Per creare un allarme, devi prima creare un filtro dei parametri e quindi configurare un allarme in base a tale filtro. Le procedure vengono riportate per tutti gli esempi. Per ulteriori informazioni sulla sintassi dei filtri metrici e dei modelli per gli eventi di CloudTrail log, consulta le sezioni relative a JSON della sintassi dei filtri e dei pattern nella Amazon Logs User Guide. CloudWatch

Esempio di modifiche della configurazione del gruppo di sicurezza

Segui questa procedura per creare un CloudWatch allarme Amazon che viene attivato quando si verificano modifiche alla configurazione nei gruppi di sicurezza.

Creazione di un filtro parametri

1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel pannello di navigazione, in Log, scegli Gruppi di log.

3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

4. Dal menu Filtri parametri o Operazioni, scegli Crea filtro parametri.

5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

7. Nella pagina Assegna parametro, per Nome filtro inserisci SecurityGroupEvents.

8. In Dettagli parametro attiva Crea nuovo e quindi inserisci CloudTrailMetrics per Spazio nomi parametro.

9. Per Nome parametro digita SecurityGroupEventCount.

10. Per Valore parametro, digita 1.

11. Lascia vuoto il campo Default value (Valore predefinito).

12. Seleziona Successivo.

13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

2. Per Specifica parametri e condizioni, inserisci quanto segue.

   1. Per Graph (Grafico), la riga è impostata su 1 in base alle altre impostazioni che selezioni quando crei l'allarme.

   2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, SecurityGroupEventCount.

   3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

   4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

   5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

   6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

   7. Per il valore di soglia, immetti 1.

   8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

3. Nella pagina Configura azioni, scegli Notifica, quindi scegli In allarme, il che indica che l'azione viene intrapresa quando viene superata la soglia di 1 evento di modifica in 5 minuti e si SecurityGroupEventCounttrova in uno stato di allarme.

   1. Nella sezione Invia una notifica al seguente argomento SNS, scegli Crea un nuovo argomento.

   2. Immetti SecurityGroupChanges_CloudWatch_Alarms_Topic come nome per il nuovo argomento Amazon SNS.

   3. In Endpoint delle e-mail che riceveranno la notifica inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   4. Scegli Create topic (Crea argomento).

4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci Security group configuration changes per il nome e Raises alarms if security group configuration changes occur per la descrizione. Seleziona Successivo.

6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina Allarmi. La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

Esempi di errori di AWS Management Console accesso

Segui questa procedura per creare un CloudWatch allarme Amazon che si attiva quando si verificano tre o più errori di AWS Management Console accesso in un periodo di cinque minuti.

Creazione di un filtro parametri

1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel pannello di navigazione, in Log, scegli Gruppi di log.

3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

4. Dal menu Filtri parametri o Operazioni, scegli Crea filtro parametri.

5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

7. Nella pagina Assegna parametro, per Nome filtro inserisci ConsoleSignInFailures.

8. In Dettagli parametro attiva Crea nuovo e quindi inserisci CloudTrailMetrics per Spazio nomi parametro.

9. Per Nome parametro digita ConsoleSigninFailureCount.

10. Per Valore parametro, digita 1.

11. Lascia vuoto il campo Default value (Valore predefinito).

12. Seleziona Successivo.

13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

2. Nella pagina Create alarm (Crea allarme), in Specify metric and conditions (Specifica parametri e condizioni), inserisci i seguenti dati.

   1. Per Graph (Grafico), la riga è impostata su 3 in base alle altre impostazioni che selezioni quando crei l'allarme.

   2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, ConsoleSigninFailureCount.

   3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

   4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

   5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

   6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

   7. Per il valore di soglia, immetti 3.

   8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

3. Nella pagina Configura azioni, per Notifica, scegli In allarme, che indica che l'azione viene intrapresa quando viene superata la soglia di 3 eventi di modifica in 5 minuti e si ConsoleSigninFailureCounttrova in uno stato di allarme.

   1. Nella sezione Invia una notifica al seguente argomento SNS, scegli Crea un nuovo argomento.

   2. Immetti ConsoleSignInFailures_CloudWatch_Alarms_Topic come nome per il nuovo argomento Amazon SNS.

   3. In Endpoint delle e-mail che riceveranno la notifica inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   4. Scegli Create topic (Crea argomento).

4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci Console sign-in failures per il nome e Raises alarms if more than 3 console sign-in failures occur in 5 minutes per la descrizione. Seleziona Successivo.

6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina Allarmi. La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

Esempio: modifiche delle policy IAM

Segui questa procedura per creare un CloudWatch allarme Amazon che viene attivato quando viene effettuata una chiamata API per modificare una policy IAM.

Creazione di un filtro parametri

1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel riquadro di navigazione scegli Logs (Log).

3. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

4. Scegli Actions (Operazioni) e quindi Create metric filter (Crea filtro parametri).

5. Nella pagina Define pattern (Definisci il modello), in Create filter pattern (Crea un modello di filtro), inserisci i seguenti dati per Filter pattern (Modello di filtro).

   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

6. In Test pattern (Modello di test), lascia le impostazioni predefinite. Seleziona Successivo.

7. Nella pagina Assegna parametro, per Nome filtro inserisci IAMPolicyChanges.

8. In Dettagli parametro attiva Crea nuovo e quindi inserisci CloudTrailMetrics per Spazio nomi parametro.

9. Per Nome parametro digita IAMPolicyEventCount.

10. Per Valore parametro, digita 1.

11. Lascia vuoto il campo Default value (Valore predefinito).

12. Seleziona Successivo.

13. Nella pagina Review and create (Rivedi e crea), esamina le opzioni selezionate. Scegli Create metric filter (Crea filtro parametri) per creare il filtro, oppure scegli Edit (Modifica) per tornare indietro e modificare i valori.

Creazione di un allarme

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda Metric filters (Filtri parametri), trovare il filtro del parametro creato in Creazione di un filtro parametri. Compila la casella di controllo del filtro del parametro. Nella barra Metric filters (Filtri parametri), scegli Create alarm (Crea allarme).

2. Nella pagina Create alarm (Crea allarme), in Specify metric and conditions (Specifica parametri e condizioni), inserisci i seguenti dati.

   1. Per Graph (Grafico), la riga è impostata su 1 in base alle altre impostazioni che selezioni quando crei l'allarme.

   2. PerMetric name (Nome parametro), mantieni il nome del parametro corrente, IAMPolicyEventCount.

   3. Per Statistic (Statistica), mantieni l'impostazione predefinita, Sum.

   4. Per Period (Periodo), mantieni l'impostazione predefinita, 5 minutes.

   5. In Conditions (Condizioni), per Threshold type (Tipo di soglia) scegli Static (Statica).

   6. Per Whenever metric_name is (Quando il nome del parametro è), scegli Greater/Equal (Maggiore/Uguale).

   7. Per il valore di soglia, immetti 1.

   8. In Additional configuration (Configurazione aggiuntiva), lascia le impostazioni predefinite. Seleziona Successivo.

3. Nella pagina Configura azioni, per Notifica, scegli In allarme, che indica che l'azione viene intrapresa quando viene superata la soglia di 1 evento di modifica in 5 minuti e IAM PolicyEventCount è in uno stato di allarme.

   1. Nella sezione Invia una notifica al seguente argomento SNS, scegli Crea un nuovo argomento.

   2. Immetti IAM_Policy_Changes_CloudWatch_Alarms_Topic come nome per il nuovo argomento Amazon SNS.

   3. In Endpoint delle e-mail che riceveranno la notifica inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   4. Scegli Create topic (Crea argomento).

4. Per questo esempio, ignora gli altri tipi di azione. Seleziona Successivo.

5. Nella pagina Add name and description (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci IAM Policy Changes per il nome e Raises alarms if IAM policy changes occur per la descrizione. Seleziona Successivo.

6. Nella pagina Review and create (Anteprima e creazione), esamina le opzioni selezionate. Scegli Edit (Modifica) per apportare modifiche o scegli Create alarm (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina Allarmi. La colonna Actions (Operazioni) dell'allarme mostra Pending confirmation (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

Configurazione delle notifiche per CloudWatch Logs (allarmi)

È possibile configurare CloudWatch i registri per inviare una notifica ogni volta che viene attivato un allarme. CloudTrail In questo modo è possibile rispondere rapidamente agli eventi operativi critici acquisiti negli CloudTrail eventi e rilevati da CloudWatch Logs. CloudWatch utilizza Amazon Simple Notification Service (SNS) per inviare e-mail. Per ulteriori informazioni, consulta Configurazione delle notifiche di Amazon SNS nella Guida per l'CloudWatch utente.