AWS CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核 的服务,您可以通过创建 CloudTrail 追踪,将日志保存到 S3 存储桶和 CloudWatch Logs 中,结合 CloudWatch Logs 的过滤条件创建警报,可以实现针对于 AWS 平台某些特定操作 的警报: 比如当监控到账号内有人启动 4xlarge 或者 8xlarge 类型的实例的时候就触发警 告,或者当有人修改了安全组规则的时候出发警告等。本次示例中,我们以在 5 分钟之内 登录 AWS Console 失败 3 次就触发警告为例,以方便您更近一步了解 CloudTrail 和 CloudWatch Logs 服务。
操作步骤:
在服务中找到 CloudTrail ,然后点击 “跟踪”,填写一个跟踪名字,如 trackAPI,然后在”适 用追踪到所有的区域”选择 “是”。在存储位置处,选择创建一个新的 S3 存储桶,填写一 个新的存储桶名字,如 aws-cloudtrail-logs-xiang(如果存储桶名字被使用,请换一个别的). 日志文件前缀可以留空,也可以写一个前缀如 CloudTrail。填写完成之后点击右下角 “创建”.
之后在 CloudTrail 的 “跟踪”页面,点击刚心创建的跟踪名称,在接下来的界面 的”CloudWatch Logs”界面,点击”配置”
在接下来的界面会提示需要创建一个 IAM 角色,直接点击”允许”
然后点击左上角服务,切换到 CloudWatch Console 界面,点击左侧的”日志”,在日志中可 以看到已自动创建了日志组。选中 CloudTrail 的日志组,然后点击”创建指标筛选器”
在接下来的界面中,筛选模式处输入下面的信息,然后点击”分配指标”
{ (KaTeX parse error: Expected 'EOF', got '&' at position 28: … ConsoleLogin) &̲& (.errorMessage = “Failed authentication”) }
然后在接下来的界面,筛选器名称,指标命名空间和指标名称都可以自定义输入。本次演示中筛选器名称为 ConsoleLoginFailed,指标命名空间为 ConsoleLogin,指标名 称:ConsoleLoginFailedCount,指标值为 1. 之后点击”创建筛选器”
完成上述操作之后,点击界面上的”创建警报”
在警报详细信息处,名称输入 “ConsoleLoginAlarm”,当>=3 的时候触发。在”附加设置”下 面的”操作”处,通知内容设置为: 每当此警报: “状态为警报”,”发送通知到”选择新建列 表,然后在发送通知到后面的文本框中输入”AlarmNotifyMe”电子邮件列表输入自己的邮 箱地址.之后点击”创建警报”
在接下来的界面,会有一个提示需要您登录邮箱确认电子邮件:
请检查您的电子邮箱,您会收到如下一封邮件,请点击 “Confirm subscription”确认
之后在 CloudWatch 左侧警报界面,可以看到又一个数据不足的警告,这是因为目前没有 登录失败的事件,CloudWatch 上没有这个指标的数据,所以显示”数据不足”
请重新登录 AWS Console,在登录的时候使用一个错误的用户名和密码,连续登录失败 4—5 次.等待 5—10 分钟,然后检查下邮箱,应该会收到一封邮件警告:
小结:
从上面的实验中,我们将 CloudTrail 日志保存到 CloudWatch Logs 中,然后通过 CloudWatch Logs 过滤功能,筛选出来指定事件的日志,并通过筛选出来的日志数量创建 警报,达到警报值的时候,触发警报通知到 SNS,然后由 SNS 发送邮件通知.