CloudTrail イベントの CloudWatch アラームの作成: 例 - AWS CloudTrail
前提条件メトリックスフィルタを作成し、アラームを作成する例 : セキュリティグループの設定の変更AWS Management Console サインイン失敗の例例: IAMポリシーの変更 CloudWatch Logs アラームの通知の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail イベントの CloudWatch アラームの作成: 例

このトピックでは、 CloudTrail イベントのアラームを設定する方法と例について説明します。

前提条件

このトピックの例を使用する前に、次のことを行う必要があります。

  • コンソールまたは を使用して証跡を作成しますCLI。

  • ロググループを作成します。ロググループは、証跡の作成の一部として実行できます。証跡の作成方法の詳細については、「 CloudTrail コンソールを使用した証跡の作成」を参照してください。

  • 指定したロググループにCloudWatch ログログストリームを作成し、そのログストリームに CloudTrail イベントを配信するアクセス許可を付与する IAMロールを指定または作成 CloudTrail します。これは、デフォルト CloudTrail_CloudWatchLogs_Role によって行われます。

詳細については、「 CloudWatch ログへのイベントの送信」を参照してください。このセクションの例は、Amazon CloudWatch Logs コンソールで実行されます。メトリクスフィルターとアラームの作成方法の詳細については、「Amazon ユーザーガイド」の「フィルターを使用したログイベントからのメトリクスの作成」および「Amazon CloudWatch アラームの使用 CloudWatch 」を参照してください。

メトリックスフィルタを作成し、アラームを作成する

アラームを作成するには、まずメトリックスフィルタを作成してから、そのフィルタに基づいてアラームを設定する必要があります。すべての例の手順が示されます。メトリクスフィルターの構文と CloudTrail ログイベントのパターンの詳細については、「Amazon Logs ユーザーガイド」の「フィルターとパターンの構文」の JSON関連セクションを参照してください。 CloudWatch

例 : セキュリティグループの設定の変更

セキュリティグループで設定変更が発生したときにトリガーされる Amazon CloudWatch アラームを作成するには、次の手順に従います。

メトリックフィルタを作成する

  1. で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/

  2. ナビゲーションペインで、[Logs] (ログ)、[Log groups] (ロググループ) の順に選択します。

  3. ロググループのリストで、 証跡のために作成したロググループを選択します。

  4. [メトリクスフィルター] または [アクション] メニューから [メトリクスフィルターの作成] を選択します。

  5. [パターンを定義] ページの [フィルターパターンの作成] で、[フィルターパターン] に以下の値を入力します。

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. [テストパターン] のデフォルト値はそのままにしておきます。[次へ] をクリックします。

  7. [メトリクスの割り当て] ページの [フィルター名]に「SecurityGroupEvents」と入力します。

  8. [メトリクスの詳細] ページで、[新しく作成する] をオンにして [メトリクス名前空間] に「CloudTrailMetrics」と入手します。

  9. [メトリクス名] に「SecurityGroupEventCount」と入力します。

  10. [メトリクス値] に「1」と入力します。

  11. [Default value] は空白のままにします。

  12. [次へ] をクリックします。

  13. [Review and create] ページで選択内容を確認します。[Create metric filter] を選択してフィルターを作成するか、[編集] を選択して戻って値を変更します。

アラームの作成

メトリクスフィルターを作成すると、 CloudTrail 証跡 CloudWatch ロググループのロググループの詳細ページが開きます。アラームを作成するには、次の手順を実行します。

  1. [メトリクスフィルター] タブで、メトリックフィルタを作成する で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[メトリクスフィルター] バーで、[アラームの作成] を選択します。

  2. [メトリクスと条件の指定] で、以下を入力します。

    1. [グラフ] には、アラームを作成したときに設定した他の設定に基づいてラインが 1 で設定されています。

    2. [メトリクス名] は、現在のメトリクス名、SecurityGroupEventCount のままにしておきます。

    3. [Statistic] は、デフォルト値、Sum のままにしておきます。

    4. [Period] は、デフォルト値、5 minutes のままにしておきます。

    5. [条件] セクションの [しきい値のタイプ] で、[静的] を選択します。

    6. いつでも metric_name は でGreater/Equal を選択します。

    7. しきい値に「1」と入力します。

    8. [Additional configuration] は、デフォルト値のままにしておきます。[次へ] をクリックします。

  3. 「アクションの設定」ページで「通知」を選択し、「アラーム」を選択します。これは、5 分間に 1 つの変更イベントのしきい値を超え、アラーム状態SecurityGroupEventCountになったときにアクションが実行されることを示します。

    1. 次のSNSトピックに通知を送信する で新しいトピックの作成 を選択します。

    2. 新しい Amazon SNSトピックの名前SecurityGroupChanges_CloudWatch_Alarms_Topicとして を入力します。

    3. [通知を受け取る E メールエンドポイント] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。

      各 E メール受信者には、Amazon SNSトピックにサブスクライブすることを確認する E メールが送信されます。

    4. [Create topic] (トピックの作成) を選択します。

  4. この例では、他のアクションタイプはスキップします。[次へ] をクリックします。

  5. [Add name and description] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「Security group configuration changes」、説明には「Raises alarms if security group configuration changes occur」を入力します。[次へ] をクリックします。

  6. [Review and create] ページで選択内容を確認します。[] で変更を加えることができます。または、[アラームの作成] を選択してアラームを作成します。

    アラームを作成すると、 はアラームページ CloudWatch を開きます。アラームの Actions 列には、SNSトピックのすべての E メール受信者がSNS通知をサブスクライブすることを確認するまで、確認保留中と表示されます。

AWS Management Console サインイン失敗の例

5 分間に 3 つ以上の AWS Management Console サインインに失敗した場合にトリガーされる Amazon CloudWatch アラームを作成するには、次の手順に従います。

メトリックフィルタを作成する

  1. で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/

  2. ナビゲーションペインで、[Logs] (ログ)、[Log groups] (ロググループ) の順に選択します。

  3. ロググループのリストで、 証跡のために作成したロググループを選択します。

  4. [メトリクスフィルター] または [アクション] メニューから [メトリクスフィルターの作成] を選択します。

  5. [パターンを定義] ページの [フィルターパターンの作成] で、[フィルターパターン] に以下の値を入力します。

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. [テストパターン] のデフォルト値はそのままにしておきます。[次へ] をクリックします。

  7. [メトリクスの割り当て] ページの [フィルター名]に「ConsoleSignInFailures」と入力します。

  8. [メトリクスの詳細] ページで、[新しく作成する] をオンにして [メトリクス名前空間] に「CloudTrailMetrics」と入手します。

  9. [メトリクス名] に「ConsoleSigninFailureCount」と入力します。

  10. [メトリクス値] に「1」と入力します。

  11. [Default value] は空白のままにします。

  12. [次へ] をクリックします。

  13. [Review and create] ページで選択内容を確認します。[Create metric filter] を選択してフィルターを作成するか、[編集] を選択して戻って値を変更します。

アラームの作成

メトリクスフィルターを作成すると、証跡ロググループの CloudWatch ロググループの詳細ページ CloudTrailが開きます。アラームを作成するには、次の手順を実行します。

  1. [メトリクスフィルター] タブで、メトリックフィルタを作成する で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[メトリクスフィルター] バーで、[アラームの作成] を選択します。

  2. [アラームの作成] ページの、[メトリクスと条件を指定] ページで、以下の値を入力します。

    1. [グラフ] には、アラームを作成したときに設定した他の設定に基づいてラインが 3 で設定されています。

    2. [メトリクス名] は、現在のメトリクス名、ConsoleSigninFailureCount のままにしておきます。

    3. [Statistic] は、デフォルト値、Sum のままにしておきます。

    4. [Period] は、デフォルト値、5 minutes のままにしておきます。

    5. [条件] セクションの [しきい値のタイプ] で、[静的] を選択します。

    6. いつでも metric_name は でGreater/Equal を選択します。

    7. しきい値に「3」と入力します。

    8. [Additional configuration] は、デフォルト値のままにしておきます。[次へ] をクリックします。

  3. 「アクションの設定」ページの「通知」で「アラーム」を選択します。これは、5 分間に 3 つの変更イベントのしきい値が超過し、アラーム状態ConsoleSigninFailureCountになったときにアクションが実行されることを示します。

    1. 次のSNSトピックに通知を送信する で新しいトピックの作成 を選択します。

    2. 新しい Amazon SNSトピックの名前ConsoleSignInFailures_CloudWatch_Alarms_Topicとして を入力します。

    3. [通知を受け取る E メールエンドポイント] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。

      各 E メール受信者には、Amazon SNSトピックにサブスクライブすることを確認する E メールが送信されます。

    4. [Create topic] (トピックの作成) を選択します。

  4. この例では、他のアクションタイプはスキップします。[次へ] をクリックします。

  5. [Add name and description] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「Console sign-in failures」、説明には「Raises alarms if more than 3 console sign-in failures occur in 5 minutes」を入力します。[次へ] をクリックします。

  6. [Review and create] ページで選択内容を確認します。[] で変更を加えることができます。または、[アラームの作成] を選択してアラームを作成します。

    アラームを作成すると、 はアラームページ CloudWatch を開きます。アラームの Actions 列には、SNSトピックのすべての E メール受信者がSNS通知をサブスクライブすることを確認するまで、確認保留中と表示されます。

例: IAMポリシーの変更

IAM ポリシーを変更するためのAPI呼び出しが行われたときにトリガーされる Amazon CloudWatch アラームを作成するには、次の手順に従います。

メトリックフィルタを作成する

  1. で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/

  2. ナビゲーションペインで [ログ] を選択します。

  3. ロググループのリストで、 証跡のために作成したロググループを選択します。

  4. [アクション]、[メトリクスフィルターの作成] の順に選択します。

  5. [パターンを定義] ページの [フィルターパターンの作成] で、[フィルターパターン] に以下の値を入力します。

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. [テストパターン] のデフォルト値はそのままにしておきます。[次へ] をクリックします。

  7. [メトリクスの割り当て] ページの [フィルター名]に「IAMPolicyChanges」と入力します。

  8. [メトリクスの詳細] ページで、[新しく作成する] をオンにして [メトリクス名前空間] に「CloudTrailMetrics」と入手します。

  9. [メトリクス名] に「IAMPolicyEventCount」と入力します。

  10. [メトリクス値] に「1」と入力します。

  11. [Default value] は空白のままにします。

  12. [次へ] をクリックします。

  13. [Review and create] ページで選択内容を確認します。[Create metric filter] を選択してフィルターを作成するか、[編集] を選択して戻って値を変更します。

アラームの作成

メトリクスフィルターを作成すると、証跡ロググループの CloudWatch ロググループの詳細ページ CloudTrailが開きます。アラームを作成するには、次の手順を実行します。

  1. [メトリクスフィルター] タブで、メトリックフィルタを作成する で作成したメトリクスフィルターを見つけます。メトリクスフィルターのチェックボックスをオンにします。[メトリクスフィルター] バーで、[アラームの作成] を選択します。

  2. [アラームの作成] ページの、[メトリクスと条件を指定] ページで、以下の値を入力します。

    1. [グラフ] には、アラームを作成したときに設定した他の設定に基づいてラインが 1 で設定されています。

    2. [メトリクス名] は、現在のメトリクス名、IAMPolicyEventCount のままにしておきます。

    3. [Statistic] は、デフォルト値、Sum のままにしておきます。

    4. [Period] は、デフォルト値、5 minutes のままにしておきます。

    5. [条件] セクションの [しきい値のタイプ] で、[静的] を選択します。

    6. いつでも metric_name は でGreater/Equal を選択します。

    7. しきい値に「1」と入力します。

    8. [Additional configuration] は、デフォルト値のままにしておきます。[次へ] をクリックします。

  3. 「アクションの設定」ページの「通知」で「アラーム」を選択します。これは、5 分間に 1 つの変更イベントのしきい値を超え、IAMPolicyEventCountアラーム状態になったときにアクションが実行されることを示します。

    1. 次のSNSトピックに通知を送信する で新しいトピックの作成 を選択します。

    2. 新しい Amazon SNSトピックの名前IAM_Policy_Changes_CloudWatch_Alarms_Topicとして を入力します。

    3. [通知を受け取る E メールエンドポイント] に、このアラームが発生した場合に通知を受信するユーザーの E メールアドレスを入力します。E メールアドレスはカンマで区切ります。

      各 E メール受信者には、Amazon SNSトピックにサブスクライブすることを確認する E メールが送信されます。

    4. [Create topic] (トピックの作成) を選択します。

  4. この例では、他のアクションタイプはスキップします。[次へ] をクリックします。

  5. [Add name and description] ページで、アラームのフレンドリ名と説明を入力します。この例では、名前には「IAM Policy Changes」、説明には「Raises alarms if IAM policy changes occur」を入力します。[次へ] をクリックします。

  6. [Review and create] ページで選択内容を確認します。[] で変更を加えることができます。または、[アラームの作成] を選択してアラームを作成します。

    アラームを作成すると、 はアラームページ CloudWatch を開きます。アラームの Actions 列には、SNSトピックのすべての E メール受信者がSNS通知をサブスクライブすることを確認するまで、確認保留中と表示されます。

CloudWatch Logs アラームの通知の設定

のアラームがトリガーされるたびに通知を送信するように CloudWatch ログを設定できます CloudTrail。これにより、イベントで CloudTrailキャプチャされ、 CloudWatch Logs. CloudWatch uses Amazon Simple Notification Service (SNS) によって検出された重要な運用イベントにすばやく対応して E メールを送信できます。詳細については、「 ユーザーガイド」の「Amazon SNS通知の設定CloudWatch 」を参照してください。