CloudTrail イベントの CloudWatch アラームの作成:例 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail イベントの CloudWatch アラームの作成:例

このトピックでは、CloudTrail イベントのアラームを設定する方法について説明します。また、例が含まれます。

注記

次のメトリックスフィルタとアラームの例を手動で作成する代わりに、AWS CloudFormation テンプレートを使用して、一度にすべて作成することができます。詳細については、「を使用した CloudWatch アラームの作成AWS CloudFormationテンプレート」を参照してください。

Prerequisites

このトピックの例を使用する前に、次のことを行う必要があります。

  • コンソールまたは CLI を使用して証跡を作成します。

  • ロググループを作成します。ロググループは、トレイルの作成の一部として実行できます。

  • IAM ロールを指定または作成して、CloudTrail が指定したロググループに CloudWatch Logs ストリームを作成し、CloudTrail イベントをそのログストリームに配信する権限を与えます。これは、デフォルト CloudTrail_CloudWatchLogs_Role によって行われます。

詳細については、「CloudWatch Logs へのイベントの送信」を参照してください。このセクションの例は、Amazon CloudWatch Logs コンソールで実行されます。メトリクスフィルタとアラームの作成方法については、」フィルタを使用したログイベントからのメトリックスの作成およびAmazon CloudWatch アラームの使用()Amazon CloudWatch ユーザーガイド

メトリックスフィルタを作成し、アラームを作成する

アラームを作成するには、まずメトリックスフィルタを作成してから、そのフィルタに基づいてアラームを設定する必要があります。すべての例の手順が示されます。CloudTrail ログイベントのメトリクスフィルタとパターンの構文の詳細については、『フィルタとパターンの構文()Amazon CloudWatch Logs ユーザーガイド

例: セキュリティグループ設定の変更

セキュリティグループで設定変更が発生した場合にトリガーされる Amazon CloudWatch アラームを作成するには、この手順を実行します。

メトリックフィルタを作成する

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [ログ] を選択します。

  3. ロググループのリストで、CloudTrail ログイベントのために作成したロググループを選択します。

  4. 選択アクション[] を選択してから、メトリックフィルタを作成する

  5. リポジトリの []パターンの定義ページで、フィルタパターンの作成[] に、次のように入力します。フィルタパターン

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. Eclipseテストパターンデフォルト値はそのままにしておきます。[Next] を選択します。

  7. リポジトリの []メトリクス割り当てページで、フィルタ名「」と入力します。セキュリティグループイベント

  8. Eclipseメトリックの詳細を有効にし、新規作成入力内容を入力します。クラウドトレイルメトリックスforメトリクス名前空間

  9. を使用する場合メトリクス名「」と入力します。セキュリティグループイベント数

  10. を使用する場合メトリクス値「」と入力します。1

  11. 離れるデフォルト値空白のままにします。

  12. [Next] を選択します。

  13. リポジトリの []確認と作成] ページで選択内容を確認します。選択メトリックフィルタを作成するをクリックしてフィルタを作成するか、編集[] で値を変更します。

アラームの作成

メトリックスフィルターを作成すると、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。

  1. リポジトリの []メトリクスフィルタータブで、作成した指標フィルターをメトリックフィルタを作成する。メトリクスフィルタのチェックボックスをオンにします。左メトリクスフィルターバーで、[] メニューからアラームの作成

  2. リポジトリの []アラームの作成ページで、メトリックと条件の指定で次のように入力します。

    1. を使用する場合グラフに設定されている場合、行は1は、アラームの作成時に行った他の設定に基づきます。

    2. を使用する場合メトリクス名、現在のメトリックス名、SecurityGroupEventCount

    3. を使用する場合Statisticデフォルトの [] を保持します。Sum

    4. を使用する場合Periodデフォルトの [] を保持します。5 minutes

    5. Eclipse条件, 用しきい値のタイプ] で、[静的

    6. を使用する場合Wevmetric_name] で、[大きい/等しい

    7. を使用する場合Threshold「」と入力します。1

    8. Eclipse追加設定デフォルト値はそのままにしておきます。[Next] を選択します。

  3. リポジトリの []アクションを設定するページで [] を選択します。のアラーム。これは、5分間で1つの変更イベントのしきい値を超えたときにアクションが実行されることを示し、セキュリティグループイベント数がアラーム状態です。

    1. を使用する場合SNS トピックを選択する] で、[新規作成

    2. Enterセキュリティグループ変更_クラウドウォッチ_アラーム新しい Amazon SNS トピックの名前として [] を選択します。

    3. Eclipse通知を受信する電子メールエンドポイントに、このアラームが発生した場合に通知を受信するユーザーの電子メールアドレスを入力します。電子メールアドレスはカンマで区切ります。

      ここで指定した E メール受信者は、Amazon SNS トピックにサブスクライブすることを確認する E メールを受信します。

    4. [トピックの作成] を選択します。

  4. この例では、他のアクションタイプをスキップします。[Next] を選択します。

  5. リポジトリの [][Name (説明)] と[] ページで、アラームのわかりやすい名前と説明を入力します。この例では、次のように入力します。Security group configuration changes、名前にはRaises alarms if security group configuration changes occur[] で説明します。[Next] を選択します。

  6. リポジトリの []プレビューと作成] ページで選択内容を確認します。選択編集[] で変更を加えることができます。または、[アラームの作成[] でアラームを作成します。

    アラームを作成すると、CloudWatch はアラームページで. アラームアクションCOLUMNS保留中の確認を SNS トピックのすべてのメール受信者が SNS 通知の購読を希望していることを確認するまで更新します。

例: コンソールサインインの失敗

3 回以上の場合にトリガーされる Amazon CloudWatch アラームを作成するには、この手順を実行します。AWS Management Consoleサインイン失敗が 5 分間に発生します。

メトリックフィルタを作成する

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [ログ] を選択します。

  3. ロググループのリストで、CloudTrail ログイベントのために作成したロググループを選択します。

  4. 選択アクション[] を選択してから、メトリックフィルタを作成する

  5. リポジトリの []パターンの定義ページで、フィルタパターンの作成[] に、次のように入力します。フィルタパターン

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. Eclipseテストパターンデフォルト値はそのままにしておきます。[Next] を選択します。

  7. リポジトリの []メトリクス割り当てページで、フィルタ名「」と入力します。コンソール署名失敗

  8. Eclipseメトリックの詳細を有効にし、新規作成入力内容を入力します。クラウドトレイルメトリックスforメトリクス名前空間

  9. を使用する場合メトリクス名「」と入力します。コンソールサインインフェールカウント

  10. を使用する場合メトリクス値「」と入力します。1

  11. 離れるデフォルト値空白のままにします。

  12. [Next] を選択します。

  13. リポジトリの []確認と作成] ページで選択内容を確認します。選択メトリックフィルタを作成するをクリックしてフィルタを作成するか、編集戻って値を変更するには。

アラームの作成

メトリックスフィルターを作成すると、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。

  1. リポジトリの []メトリクスフィルタータブで、作成した指標フィルターをメトリックフィルタを作成する。メトリクスフィルタのチェックボックスをオンにします。左メトリクスフィルターバーで、[] メニューからアラームの作成

  2. リポジトリの []アラームの作成ページで、メトリックと条件の指定で次のように入力します。

    1. を使用する場合グラフに設定されている場合、行は3は、アラームの作成時に行った他の設定に基づきます。

    2. を使用する場合メトリクス名、現在のメトリックス名、ConsoleSigninFailureCount

    3. を使用する場合Statisticデフォルトの [] を保持します。Sum

    4. を使用する場合Periodデフォルトの [] を保持します。5 minutes

    5. Eclipse条件, 用しきい値のタイプ] で、[静的

    6. を使用する場合Wevmetric_name] で、[大きい/等しい

    7. を使用する場合Threshold「」と入力します。3

    8. Eclipse追加設定デフォルト値はそのままにしておきます。[Next] を選択します。

  3. リポジトリの []アクションを設定するページで [] を選択します。のアラーム。これは、5分間で3つの変更イベントのしきい値を超えたときにアクションが実行されることを示し、コンソールサインインフェールカウントがアラーム状態です。

    1. を使用する場合SNS トピックを選択する] で、[新規作成

    2. Enterコンソールフェイルオーバー_クラウドウォッチ_アラーム新しい Amazon SNS トピックの名前として [] を選択します。

    3. Eclipse通知を受信する電子メールエンドポイントに、このアラームが発生した場合に通知を受信するユーザーの電子メールアドレスを入力します。電子メールアドレスはカンマで区切ります。

      ここで指定した E メール受信者は、Amazon SNS トピックにサブスクライブすることを確認する E メールを受信します。

    4. [トピックの作成] を選択します。

  4. この例では、他のアクションタイプをスキップします。[Next] を選択します。

  5. リポジトリの [][Name (説明)] と[] ページで、アラームのわかりやすい名前と説明を入力します。この例では、次のように入力します。Console sign-in failures、名前にはRaises alarms if more than 3 console sign-in failures occur in 5 minutes[] で説明します。[Next] を選択します。

  6. リポジトリの []プレビューと作成] ページで選択内容を確認します。選択編集[] で変更を加えることができます。または、[アラームの作成[] でアラームを作成します。

    アラームを作成すると、CloudWatch はアラームページで. アラームアクションCOLUMNS保留中の確認を SNS トピックのすべてのメール受信者が SNS 通知の購読を希望していることを確認するまで更新します。

例: IAM ポリシーの変更

IAM ポリシーを変更するための API 呼び出しが行われたときにトリガーされる Amazon CloudWatch アラームを作成するには、この手順を実行します。

メトリックフィルタを作成する

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [ログ] を選択します。

  3. ロググループのリストで、CloudTrail ログイベントのために作成したロググループを選択します。

  4. 選択アクション[] を選択してから、メトリックフィルタを作成する

  5. リポジトリの []パターンの定義ページで、フィルタパターンの作成[] に、次のように入力します。フィルタパターン

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. Eclipseテストパターンデフォルト値はそのままにしておきます。[Next] を選択します。

  7. リポジトリの []メトリクス割り当てページで、フィルタ名「」と入力します。IAMポリシー変更

  8. Eclipseメトリックの詳細を有効にし、新規作成入力内容を入力します。クラウドトレイルメトリックスforメトリクス名前空間

  9. を使用する場合メトリクス名「」と入力します。IAMPolicyEventCount

  10. を使用する場合メトリクス値「」と入力します。1

  11. 離れるデフォルト値空白のままにします。

  12. [Next] を選択します。

  13. リポジトリの []確認と作成] ページで選択内容を確認します。選択メトリックフィルタを作成するをクリックしてフィルタを作成するか、編集戻って値を変更するには。

アラームの作成

メトリックスフィルターを作成すると、CloudTrail トレイルロググループの CloudWatch Logs グループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。

  1. リポジトリの []メトリクスフィルタータブで、作成した指標フィルターをメトリックフィルタを作成する。メトリクスフィルタのチェックボックスをオンにします。左メトリクスフィルターバーで、[] メニューからアラームの作成

  2. リポジトリの []アラームの作成ページで、メトリックと条件の指定で次のように入力します。

    1. を使用する場合グラフに設定されている場合、行は1は、アラームの作成時に行った他の設定に基づきます。

    2. を使用する場合メトリクス名、現在のメトリックス名、IAMPolicyEventCount

    3. を使用する場合Statisticデフォルトの [] を保持します。Sum

    4. を使用する場合Periodデフォルトの [] を保持します。5 minutes

    5. Eclipse条件, 用しきい値のタイプ] で、[静的

    6. を使用する場合Wevmetric_name] で、[大きい/等しい

    7. を使用する場合Threshold「」と入力します。1

    8. Eclipse追加設定デフォルト値はそのままにしておきます。[Next] を選択します。

  3. リポジトリの []アクションを設定するページで [] を選択します。のアラーム。これは、5分間で1つの変更イベントのしきい値を超えたときにアクションが実行されることを示し、IAMPolicyEventCountがアラーム状態です。

    1. を使用する場合SNS トピックを選択する] で、[新規作成

    2. EnterIAM_policy_changes_CloudWatch_alarms_topic新しい Amazon SNS トピックの名前として [] を選択します。

    3. Eclipse通知を受信する電子メールエンドポイントに、このアラームが発生した場合に通知を受信するユーザーの電子メールアドレスを入力します。電子メールアドレスはカンマで区切ります。

      ここで指定した E メール受信者は、Amazon SNS トピックにサブスクライブすることを確認する E メールを受信します。

    4. [トピックの作成] を選択します。

  4. この例では、他のアクションタイプをスキップします。[Next] を選択します。

  5. リポジトリの [][Name (説明)] と[] ページで、アラームのわかりやすい名前と説明を入力します。この例では、次のように入力します。IAM Policy Changes、名前にはRaises alarms if IAM policy changes occur[] で説明します。[Next] を選択します。

  6. リポジトリの []プレビューと作成] ページで選択内容を確認します。選択編集[] で変更を加えることができます。または、[アラームの作成[] でアラームを作成します。

    アラームを作成すると、CloudWatch はアラームページで. アラームアクションCOLUMNS保留中の確認を SNS トピックのすべてのメール受信者が SNS 通知の購読を希望していることを確認するまで更新します。