Criação CloudWatch de alarmes para CloudTrail eventos: exemplos - AWS CloudTrail
Pré-requisitosCriar um filtro de métrica e um alarmeExemplo: alterações de configuração no grupo de segurançaExemplo de AWS Management Console falhas de loginExemplo: alterações na política do IAMConfigurando notificações para alarmes de CloudWatch registros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação CloudWatch de alarmes para CloudTrail eventos: exemplos

Este tópico descreve como configurar alarmes para CloudTrail eventos e inclui exemplos.

Pré-requisitos

Antes de usar os exemplos deste tópico, você deve:

  • Criar uma trilha com o console do ou a CLI.

  • Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console.

  • Especifique ou crie uma função do IAM que CloudTrail conceda as permissões para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse stream de registros. O CloudTrail_CloudWatchLogs_Role padrão cuida disso para você.

Para ter mais informações, consulte Envio de eventos para o CloudWatch Logs. Os exemplos nesta seção são apresentados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros métricos e alarmes, consulte Criação de métricas a partir de eventos de log usando filtros e Uso de CloudWatch alarmes da Amazon no Guia CloudWatch do usuário da Amazon.

Criar um filtro de métrica e um alarme

Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe de filtros métricos e padrões para eventos de CloudTrail log, consulte as seções relacionadas a JSON de Filtro e sintaxe de padrões no Guia do usuário do Amazon CloudWatch Logs.

Exemplo: alterações de configuração no grupo de segurança

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando ocorrem alterações de configuração em grupos de segurança.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next.

  7. Na página Atribuir métrica, em Nome do filtro, insira SecurityGroupEvents.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite SecurityGroupEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Em Especificar métrica e condições, insira o seguinte.

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, SecurityGroupEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next.

  3. Na página Configurar ações, escolha Notificação e, em seguida, escolha Em alarme, o que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e SecurityGroupEventCountestá em estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira SecurityGroupChanges_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Security group configuration changes para o nome e Raises alarms if security group configuration changes occur para a descrição. Escolha Next.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Exemplo de AWS Management Console falhas de login

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando há três ou mais falhas de AWS Management Console login durante um período de cinco minutos.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, em Logs, escolha Grupos de logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. No menu Filtros métricos ou Ações, escolha Criar filtro métrico.

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next.

  7. Na página Atribuir métrica, em Nome do filtro, insira ConsoleSignInFailures.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite ConsoleSigninFailureCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 3 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, ConsoleSigninFailureCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 3.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next.

  3. Na página Configurar ações, em Notificação, escolha Em alarme, que indica que a ação é tomada quando o limite de 3 eventos de alteração em 5 minutos é ultrapassado e ConsoleSigninFailureCountestá em estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira ConsoleSignInFailures_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira Console sign-in failures para o nome e Raises alarms if more than 3 console sign-in failures occur in 5 minutes para a descrição. Escolha Next.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Exemplo: alterações na política do IAM

Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando uma chamada de API é feita para alterar uma política do IAM.

Criar um filtro de métrica

  1. Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Logs.

  3. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.

  4. Escolha Actions (Ações) e Create metric filter (Criar filtro de métrica).

  5. Na página Define pattern (Definir padrão), em Create filter pattern (Criar padrão de filtro), insira as opções a seguir para Filter pattern (Padrão de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

  6. Em Test pattern (Padrão de teste), deixe os valores padrão. Escolha Next.

  7. Na página Atribuir métrica, em Nome do filtro, insira IAMPolicyChanges.

  8. Em Detalhes da métrica, ative Criar nova e, em seguida, insira CloudTrailMetrics em Namespace da métrica.

  9. Em Nome da métrica, digite IAMPolicyEventCount.

  10. Em Valor da métrica, digite 1.

  11. Deixe Default value (Valor padrão) em branco.

  12. Escolha Next.

  13. Na página Review and create (Revisar e criar), revise as suas escolhas. Selecione Create metric filter (Criar filtro de métrica) para criar o filtro ou escolha Edit (Editar) para voltar e alterar os valores.

Criar um alarme

Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.

  1. Na guia Metric filters (Filtros de métrica), localize o filtro de métrica que você criou no Criar um filtro de métrica. Preencha a caixa de seleção para o filtro de métrica. Na barra Metric filters (Filtros de métrica), escolha Create alarm (Criar alarme).

  2. Na página Create Alarm (Criar alarme), em Specify metric and conditions (Especificar métrica e condições), faça o seguinte:

    1. Em Graph (Gráfico), a linha é definida em 1 com base em outras configurações que você faz ao criar seu alarme.

    2. Em Metric name (Nome da métrica), mantenha o nome da métrica atual, IAMPolicyEventCount.

    3. Em Statistic (Estatística), mantenha os valores padrão, Sum.

    4. Em Period (Período), mantenha os valores padrão, 5 minutes.

    5. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).

    6. Em Whenever metric_name is (Quando a métrica for), escolha Greater/Equal (Maior/Igual).

    7. Para o valor do limite, insira 1.

    8. Em Additional configuration (Configuração adicional), deixe os valores padrão. Escolha Next.

  3. Na página Configurar ações, em Notificação, escolha Em alarme, que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e o IAM PolicyEventCount está em estado de alarme.

    1. Em Enviar uma notificação para o seguinte tópico do SNS, escolha Criar tópico.

    2. Insira IAM_Policy_Changes_CloudWatch_Alarms_Topic como o nome do novo tópico do Amazon SNS.

    3. Em Endpoints de e-mail que receberão notificação, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.

      Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.

    4. Escolha Criar tópico.

  4. Para este exemplo, ignore os outros tipos de ação. Escolha Next.

  5. Na página Add name and description (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira IAM Policy Changes para o nome e Raises alarms if IAM policy changes occur para a descrição. Escolha Next.

  6. Na página Preview and create (Visualizar e criar), verifique suas opções. Selecione Edit (Editar) para fazer alterações ou escolha Create alarm (Criar alarme) para criar o alarme.

    Depois de criar o alarme, CloudWatch abre a página Alarmes. O alarme Actions (Ações) mostrará a coluna Pending confirmation (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.

Configurando notificações para alarmes de CloudWatch registros

Você pode configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos capturados em CloudTrail eventos e detectados pelo CloudWatch Logs. CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte Configuração de notificações do Amazon SNS no Guia do CloudWatch usuário.