AWS CloudTrail
ユーザーガイド (Version 1.0)

AWS CloudFormation テンプレートを使用して CloudWatch アラームを作成する

CloudWatch ロググループにログファイルを配信するように証跡を設定した後、CloudWatch メトリックスフィルタとアラームを作成して、ログファイル内のイベントを監視することができます。たとえば、Amazon EC2 RunInstances オペレーションなどのイベントを指定し、アカウントでそのイベントが発生したときに CloudWatch から通知を受信できます。フィルタとアラームは個別に作成することも、AWS CloudFormation テンプレートを使用して一度に定義することもできます。

サンプル CloudFormation テンプレートはそのまま使用することも、独自のテンプレートを作成するためのリファレンスとして使用することもできます。

サンプル CloudFormation テンプレート

CloudFormation テンプレートには事前定義された CloudWatch メトリックスフィルタとアラームがあり、AWS アカウントで特定のセキュリティに関連する API コールが行われると E メール通知を受信できます。

次のリンクからテンプレートをダウンロードできます。

https://s3-us-west-2.amazonaws.com/awscloudtrail/cloudwatch-alarms-for-cloudtrail-api-activity/CloudWatch_Alarms_for_CloudTrail_API_Activity.json

テンプレートは、次のリソースタイプの作成、削除、および更新操作を監視するメトリクスフィルタを定義します。

  • Amazon EC2 インスタンス

  • IAM ポリシー

  • インターネットゲートウェイ

  • ネットワーク ACL

  • セキュリティグループ

アカウント内で API コールが発生した場合、メトリックスフィルタがその API コールを監視します。API コールのしきい値が指定の値を超える場合は、アラームがトリガーされ、CloudWatch から E メール通知が送信されます。

デフォルトでは、テンプレート内のほとんどのフィルタは、モニタリング対象のイベントが 5 分以内に発生した場合にアラームをトリガーします。これらのアラームしきい値は、独自の要件に応じて変更できます。たとえば、10 分間に 3 つのイベントを監視できます。変更するには、テンプレートを編集するか、またはテンプレートのアップロード後に、CloudWatch console でしきい値を指定します。

注記

CloudTrail は通常ログファイルを 5 分ごとに配信するため、アラームに 5 分以上の期間を指定します。

テンプレートのメトリクスフィルタとアラーム、および E メール通知をトリガーする API 呼び出しを表示するには、「CloudFormation テンプレートの内容」を参照してください。

テンプレートを使用して CloudFormation スタックを作成する

CloudFormation スタックとは、関連するリソースの集合体のことで、ユーザーはこれを単一のユニットとしてプロビジョニングし、更新します。次の手順は、スタックを作成して通知を受信する E メールアドレスを確認する方法を示します。

テンプレートを使用して CloudFormation スタックを作成するには

  1. CloudWatch Logs ロググループにログファイルを送信するために証跡を設定します。「CloudWatch Logs にイベントを送信する」を参照してください。

  2. https://s3-us-west-2.amazonaws.com/awscloudtrail/cloudwatch-alarms-for-cloudtrail-api-activity/CloudWatch_Alarms_for_CloudTrail_API_Activity.json から CloudFormation テンプレートをダウンロードします。

  3. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソールを開きます。

  4. [Create Stack] を選択します。

    
                        コンソールで AWS CloudFormation スタックを作成します。
  5. [Select Template] ページで、[Name] にスタック名を入力します。次の例では CloudWatchAlarmsForCloudTrail を使用しています。

    
                        AWS CloudFormation コンソールでテンプレートを選択します。
  6. [Source] で、[Upload a template to Amazon S3] を選択します。

    
                        AWS CloudFormation コンソールにテンプレートをアップロードします。
  7. [Choose File] を選択して、ダウンロードした AWS CloudFormation テンプレートを選択します。

  8. [Next] を選択します。

  9. [Specify Parameters] ページの [Email] で、通知を受信するための E メールアドレスを入力します。

  10. [LogGroupName] で、CloudWatch Logs にログファイルを送信する証跡の設定時に指定されたロググループの名前を入力します。

    
                         AWS CloudFormation スタックの E メールアドレスとロググループ名を指定します。
  11. [Next] を選択します。

  12. [Options] で、タグを作成したり、その他の詳細オプションを設定したりできます。これらは必須ではありません。

    
                        AWS CloudFormation スタックの追加オプションを指定します。
  13. [Next] を選択します。

  14. [Review] ページで、設定が正しいことを確認します。

    
                        AWS CloudFormation スタックを作成する前に確認します。
  15. [Create] を選択します。スタックが数分で作成されます。

    
                        AWS CloudFormation スタックが作成されます。
  16. スタックが作成されると、指定した E メールアドレスにメールが送信されます。

  17. その E メールに記載されている [Confirm subscription] を選択します。テンプレートで指定されたアラームのトリガー時に E メール通知を受信します。

    
                        E メールの受信登録を確認します。

    次のサンプル通知は API コールが IAM ポリシーを変更し、メトリックスアラームがトリガーされたときに送信されました。

    
                        次のサンプル E メール通知を参照してください。

CloudFormation テンプレートの内容

次の表は、テンプレート内のメトリクスフィルタとアラーム、それらの目的、および E メール通知をトリガーする API 呼び出しをまとめたものです。通知は、リストされたフィルタに対する API 呼び出しがアカウントで 1 つ以上発生した場合にトリガーされます。

メトリクスフィルターやアラームの定義は、CloudWatch コンソールで確認することができます。

Amazon S3 バケットイベント

メトリクスフィルタとアラーム モニタリングと通知の対象: 次の 1 つ以上の API オペレーションによってトリガーされる通知:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

バケットポリシー、ライフサイクル、レプリケーション、または ACL を変更する API 呼び出し.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

ネットワークイベント

メトリクスフィルタとアラーム モニタリングと通知の対象: 次の 1 つ以上の API オペレーションによってトリガーされる通知:

SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

セキュリティグループを作成、更新、削除する API 呼び出し。

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

ネットワーク ACL を作成、更新、削除する API 呼び出し。

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

GatewayChangesMetricFilter

GatewayChangesAlarm

カスタマーゲートウェイとインターネットゲートウェイを作成、更新、削除する API 呼び出し。

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Virtual Private Cloud (VPC)、VPC ピア接続、および ClassicLink を使用したクラシック EC2 インスタンスへの VPC 接続を作成、更新、削除する API 呼び出し。

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Amazon EC2 イベント

メトリクスフィルタとアラーム モニタリングと通知の対象: 次の 1 つ以上の API オペレーションによってトリガーされる通知:

EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

EC2 インスタンスの作成、終了、起動、停止、再起動.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

4 倍または 8 倍の大きさの EC2 インスタンスの作成、終了、起動、停止、再起動.

次のうち少なくとも 1 つの API オペレーション:

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

および次のうち少なくとも 1 つのインスタンスタイプ:

instancetype=*.4xlarge

instancetype=*.8xlarge

CloudTrail イベントと IAM イベント

メトリクスフィルタとアラーム モニタリングと通知の対象: 次の 1 つ以上の API オペレーションによってトリガーされる通知:

CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

証跡の作成、削除、および更新。証跡のログ記録の開始および停止の発生。

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

コンソールログインの失敗

eventNameConsoleLogin

および

errorMessage が、"Failed authentication"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

認証エラー

エラーコード AccessDenied が返されたすべての API 呼び出し

または

*UnauthorizedOperation

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

IAM ポリシーの変更

AttachGroupPolicy

DeleteGroupPolicy

DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy