AWS CloudTrail 是一項支援對您的 AWS 賬戶進行監管、合規性檢查、操作稽核和風險稽核 的服務,您可以通過建立 CloudTrail 追蹤,将日志儲存到 S3 存儲桶和 CloudWatch Logs 中,結合 CloudWatch Logs 的過濾條件建立警報,可以實作針對于 AWS 平台某些特定操作 的警報: 比如當監控到賬号内有人啟動 4xlarge 或者 8xlarge 類型的執行個體的時候就觸發警 告,或者當有人修改了安全組規則的時候出發警告等。本次示例中,我們以在 5 分鐘之内 登入 AWS Console 失敗 3 次就觸發警告為例,以友善您更近一步了解 CloudTrail 和 CloudWatch Logs 服務。
操作步驟:
在服務中找到 CloudTrail ,然後點選 “跟蹤”,填寫一個跟蹤名字,如 trackAPI,然後在”适 用追蹤到所有的區域”選擇 “是”。在存儲位置處,選擇建立一個新的 S3 存儲桶,填寫一 個新的存儲桶名字,如 aws-cloudtrail-logs-xiang(如果存儲桶名字被使用,請換一個别的). 日志檔案字首可以留白,也可以寫一個字首如 CloudTrail。填寫完成之後點選右下角 “建立”.
之後在 CloudTrail 的 “跟蹤”頁面,點選剛心建立的跟蹤名稱,在接下來的界面 的”CloudWatch Logs”界面,點選”配置”
在接下來的界面會提示需要建立一個 IAM 角色,直接點選”允許”
然後點選左上角服務,切換到 CloudWatch Console 界面,點選左側的”日志”,在日志中可 以看到已自動建立了日志組。選中 CloudTrail 的日志組,然後點選”建立名額篩選器”
在接下來的界面中,篩選模式處輸入下面的資訊,然後點選”配置設定名額”
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
然後在接下來的界面,篩選器名稱,名額命名空間和名額名稱都可以自定義輸入。本次示範中篩選器名稱為 ConsoleLoginFailed,名額命名空間為 ConsoleLogin,名額名 稱:ConsoleLoginFailedCount,名額值為 1. 之後點選”建立篩選器”
完成上述操作之後,點選界面上的”建立警報”
在警報詳細資訊處,名稱輸入 “ConsoleLoginAlarm”,當>=3 的時候觸發。在”附加設定”下 面的”操作”處,通知内容設定為: 每當此警報: “狀态為警報”,”發送通知到”選擇建立列 表,然後在發送通知到後面的文本框中輸入”AlarmNotifyMe”電子郵件清單輸入自己的郵 箱位址.之後點選”建立警報”
在接下來的界面,會有一個提示需要您登入郵箱确認電子郵件:
請檢查您的電子郵箱,您會收到如下一封郵件,請點選 “Confirm subscription”确認
之後在 CloudWatch 左側警報界面,可以看到又一個資料不足的警告,這是因為目前沒有 登入失敗的事件,CloudWatch 上沒有這個名額的資料,是以顯示”資料不足”