As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar alarmes do CloudWatch para eventos do CloudTrail: exemplos
Este tópico descreve como configurar alarmes para eventos do CloudTrail e inclui exemplos.
Tópicos
Pré-requisitos
Antes de usar os exemplos deste tópico, você deve:
-
Criar uma trilha com o console do ou a CLI.
-
Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte Criar uma trilha.
-
Especifique ou crie uma função do IAM que conceda ao CloudTrail as permissões para criar um fluxo de log do CloudWatch Logs no grupo de logs especificado e para entregar eventos do CloudTrail para esse fluxo de log. O
CloudTrail_CloudWatchLogs_Role
padrão cuida disso para você.
Para obter mais informações, consulte Enviar eventos para o CloudWatch Logs. Os exemplos nesta seção são executados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros e alarmes de métrica, consulte Criar métricas a partir de eventos de log usando filtros e Usar alarmes do Amazon CloudWatch no Manual do usuário do Amazon CloudWatch.
Criar um filtro de métrica e um alarme
Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe dos filtros de métricas e padrões de eventos de log do CloudTrail, consulte as seções relacionadas a JSON de Sintaxe de filtro e de padrão no Manual do usuário do Amazon CloudWatch Logs.
Exemplo: alterações de configuração no grupo de segurança
Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando ocorrem alterações de configuração em grupos de segurança.
Criar um filtro de métrica
Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, em Logs, escolha Grupos de logs.
-
Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
-
No menu Filtros métricos ou Ações, escolha Criar filtro métrico.
-
Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
-
Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).
-
Na página Atribuir métrica, em Nome do filtro, insira
SecurityGroupEvents
. -
Em Detalhes da métrica, ative Criar nova e, em seguida, insira
CloudTrailMetrics
em Namespace da métrica. -
Em Nome da métrica, digite
SecurityGroupEventCount
. -
Em Valor da métrica, digite
1
. -
Deixe Default value (Valor padrão) em branco.
-
Escolha Next (Próximo).
-
Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.
Criar um alarme
Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.
-
Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).
-
Em Especificar métrica e condições, insira o seguinte.
-
Em Graph (Gráfico), a linha é definida em
1
com base em outras configurações que você faz ao criar seu alarme. -
Em Metric name (Nome da métrica), mantenha o nome da métrica atual,
SecurityGroupEventCount
. -
Em Statistic (Estatística), mantenha os valores padrão,
Sum
. -
Em Period (Período), mantenha os valores padrão,
5 minutes
. -
Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).
-
Em Whenever
metric_name
is (Quando a métrica for), escolha Greater/Equal (Maior/Igual). -
Para o valor do limite, insira
1
. -
Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).
-
-
Na página Configurar ações, escolha Notificação e, em seguida, escolha No alarme, o que indica que a ação será realizada quando o limite de 1 evento de alteração em 5 minutos for ultrapassado e SecurityGroupEventCount estiver em um estado de alarme.
-
Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.
-
Insira
SecurityGroupChanges_CloudWatch_Alarms_Topic
como o nome do novo tópico do Amazon SNS. -
Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
-
Escolha Create topic.
-
-
Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).
-
Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira
Security group configuration changes
para o nome eRaises alarms if security group configuration changes occur
para a descrição. Escolha Next (Próximo). -
Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.
Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
Exemplo: falhas de login no AWS Management Console
Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando há três ou mais falhas de login no AWS Management Console durante um período de cinco minutos.
Criar um filtro de métrica
Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, em Logs, escolha Grupos de logs.
-
Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
-
No menu Filtros métricos ou Ações, escolha Criar filtro métrico.
-
Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
-
Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).
-
Na página Atribuir métrica, em Nome do filtro, insira
ConsoleSignInFailures
. -
Em Detalhes da métrica, ative Criar nova e, em seguida, insira
CloudTrailMetrics
em Namespace da métrica. -
Em Nome da métrica, digite
ConsoleSigninFailureCount
. -
Em Valor da métrica, digite
1
. -
Deixe Default value (Valor padrão) em branco.
-
Escolha Next (Próximo).
-
Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.
Criar um alarme
Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.
-
Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).
-
Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:
-
Em Graph (Gráfico), a linha é definida em
3
com base em outras configurações que você faz ao criar seu alarme. -
Em Metric name (Nome da métrica), mantenha o nome da métrica atual,
ConsoleSigninFailureCount
. -
Em Statistic (Estatística), mantenha os valores padrão,
Sum
. -
Em Period (Período), mantenha os valores padrão,
5 minutes
. -
Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).
-
Em Whenever
metric_name
is (Quando a métrica for), escolha Greater/Equal (Maior/Igual). -
Para o valor do limite, insira
3
. -
Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).
-
-
Na página Configurar ações, em Notificação, escolha No alarme, o que indica que a ação será realizada quando o limite de 3 eventos de alteração em 5 minutos for ultrapassado e ConsoleSignInFailureCount estiver em um estado de alarme.
-
Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.
-
Insira
ConsoleSignInFailures_CloudWatch_Alarms_Topic
como o nome do novo tópico do Amazon SNS. -
Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
-
Escolha Create topic.
-
-
Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).
-
Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira
Console sign-in failures
para o nome eRaises alarms if more than 3 console sign-in failures occur in 5 minutes
para a descrição. Escolha Next (Próximo). -
Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.
Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
Exemplo: alterações na política do IAM
Siga este procedimento para criar um alarme do Amazon CloudWatch que é acionado quando uma chamada de API é feita para alterar uma política do IAM.
Criar um filtro de métrica
Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, selecione Logs.
-
Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
-
Escolha Actions (Ações) e escolha Create metric filter (Criar filtro de métrica).
-
Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
-
Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next (Próximo).
-
Na página Atribuir métrica, em Nome do filtro, insira
IAMPolicyChanges
. -
Em Detalhes da métrica, ative Criar nova e, em seguida, insira
CloudTrailMetrics
em Namespace da métrica. -
Em Nome da métrica, digite
IAMPolicyEventCount
. -
Em Valor da métrica, digite
1
. -
Deixe Default value (Valor padrão) em branco.
-
Escolha Next (Próximo).
-
Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.
Criar um alarme
Depois de criar o filtro de métrica, será aberta a página de detalhes do grupo de logs do CloudWatch Logs para o grupo de logs de trilha do CloudTrail. Siga este procedimento para criar um alarme.
-
Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).
-
Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:
-
Em Graph (Gráfico), a linha é definida em
1
com base em outras configurações que você faz ao criar seu alarme. -
Em Metric name (Nome da métrica), mantenha o nome da métrica atual,
IAMPolicyEventCount
. -
Em Statistic (Estatística), mantenha os valores padrão,
Sum
. -
Em Period (Período), mantenha os valores padrão,
5 minutes
. -
Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).
-
Em Whenever
metric_name
is (Quando a métrica for), escolha Greater/Equal (Maior/Igual). -
Para o valor do limite, insira
1
. -
Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next (Próximo).
-
-
Na página Configurar ações, em Notificação, selecione No alarme, o que indica que a ação será tomada quando o limite de 1 evento de alteração em 5 minutos for ultrapassado e IAMPolicyEventCount estiver em um estado de alarme.
-
Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.
-
Insira
IAM_Policy_Changes_CloudWatch_Alarms_Topic
como o nome do novo tópico do Amazon SNS. -
Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
-
Escolha Create topic.
-
-
Para este exemplo, ignore os outros tipos de ação. Escolha Next (Próximo).
-
Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira
IAM Policy Changes
para o nome eRaises alarms if IAM policy changes occur
para a descrição. Escolha Next (Próximo). -
Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.
Depois de criar o alarme, o CloudWatch abrirá a página Alarms (Alarmes). O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
Configurar notificações para alarmes do CloudWatch Logs
É possível configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado para o CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos coletados em eventos do CloudTrail e detectados pelo CloudWatch Logs. O CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte Configurar o Amazon SNS no Guia do desenvolvedor do CloudWatch.