Criar alarmes do CloudWatch para eventos do CloudTrail: exemplos - AWS CloudTrail
Pré-requisitosCriar um filtro de métrica e um alarmeExemplo: alterações de configuração no grupo de segurançaExemplo: falhas de login no AWS Management ConsoleExemplo: alterações na política do IAMConfigurar notificações para alarmes do CloudWatch Logs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar alarmes do CloudWatch para eventos do CloudTrail: exemplos

Este tópico descreve como configurar alarmes para eventos do CloudTrail e inclui exemplos.

Pré-requisitos

Antes de usar os exemplos deste tópico, você deve:

  • Criar uma trilha com o console do ou a CLI.

  • Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte Criar uma trilha.

  • Especifique ou crie uma função do IAM que conceda ao CloudTrail as permissões para criar um fluxo de log do CloudWatch Logs no grupo de logs especificado e para entregar eventos do CloudTrail para esse fluxo de log. O CloudTrail_CloudWatchLogs_Role padrão cuida disso para você.

Para obter mais informações, consulte Enviar eventos para o CloudWatch Logs. Os exemplos nesta seção são executados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros e alarmes de métrica, consulte Criar métricas a partir de eventos de log usando filtros e Usar alarmes do Amazon CloudWatch no Manual do usuário do Amazon CloudWatch.

Criar um filtro de métrica e um alarme

Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe dos filtros de métricas e padrões de eventos de log do CloudTrail, consulte as seções relacionadas a JSON de Sintaxe de filtro e de padrão no Manual do usuário do Amazon CloudWatch Logs.

Exemplo: alterações de configuração no grupo de segurança

Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando ocorrem alterações de configuração em grupos de segurança.

Criar um filtro de métrica

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).

  7. Na página Atribuir métrica, em Nome do filtro, insira SecurityGroupEvents.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite SecurityGroupEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next (Próximo).

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Em Especificar métrica e condições, insira o seguinte.

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, SecurityGroupEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).

  3. Na página Configurar ações, escolha Notificação e, em seguida, escolha No alarme, o que indica que a ação será realizada quando o limite de 1 evento de alteração em 5 minutos for ultrapassado e SecurityGroupEventCount estiver em um estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira SecurityGroupChanges_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Create topic.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Security group configuration changes para o nome e Raises alarms if security group configuration changes occur para a descrição. Escolha Next (Próximo).

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Exemplo: falhas de login no AWS Management Console

Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando há três ou mais falhas de login no AWS Management Console durante um período de cinco minutos.

Criar um filtro de métrica

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).

  7. Na página Atribuir métrica, em Nome do filtro, insira ConsoleSignInFailures.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite ConsoleSigninFailureCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next (Próximo).

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 3 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, ConsoleSigninFailureCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 3.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).

  3. Na página Configurar ações, em Notificação, escolha No alarme, o que indica que a ação será realizada quando o limite de 3 eventos de alteração em 5 minutos for ultrapassado e ConsoleSignInFailureCount estiver em um estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira ConsoleSignInFailures_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Create topic.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Console sign-in failures para o nome e Raises alarms if more than 3 console sign-in failures occur in 5 minutes para a descrição. Escolha Next (Próximo).

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Exemplo: alterações na política do IAM

Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando uma chamada de API é feita para alterar uma política do IAM.

Criar um filtro de métrica

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. Escolha Actions (Ações) e escolha Create metric filter (Criar filtro de métrica).

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).

  7. Na página Atribuir métrica, em Nome do filtro, insira IAMPolicyChanges.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite IAMPolicyEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next (Próximo).

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, IAMPolicyEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).

  3. Na página Configurar ações, em Notificação, selecione No alarme, o que indica que a ação será tomada quando o limite de 1 evento de alteração em 5 minutos for ultrapassado e IAMPolicyEventCount estiver em um estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira IAM_Policy_Changes_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Create topic.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira IAM Policy Changes para o nome e Raises alarms if IAM policy changes occur para a descrição. Escolha Next (Próximo).

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Configurar notificações para alarmes do CloudWatch Logs

É possível configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado para o CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos coletados em eventos do CloudTrail e detectados pelo CloudWatch Logs. O CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte Configurar o Amazon SNS no Guia do desenvolvedor do CloudWatch.