【发布时间】:2020-09-21 20:50:06
【问题描述】:
下图是我想要实现的。简而言之,将 CloudTrail 日志发送到 CloudWatch 日志组,然后对其进行扫描以查找某些事件,最后在发生协同事件时发送电子邮件警报。
我正在关注这个官方文档,其中也有一个示例 CloudFormation 模板:http://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html
使用上面的 CloudFormation 模板,我已经能够发送电子邮件警报。然而,警报是非常基本的;它不会发送关键信息,例如哪个用户发起了此事件、何时发生等。
逻辑上认为AWS::Logs::MetricFilter 应该将值传递给AWS::CloudWatch::Alarm,然后AWS::CloudWatch::Alarm 将发送信息。我查看了MetricFilter 和Alarm 服务的文档。 Dimension 更接近我想要的,但还不能从日志中读取信息。
我原以为这是一个常见的用例,并且会有文档。我在这里错过了什么明显的东西吗?这里有人解决了这个问题吗?
AWS::Logs::MetricFilter块:
"AuthorizationFailuresMetricFilter": {
"Type": "AWS::Logs::MetricFilter",
"Properties": {
"LogGroupName": { "Ref" : "LogGroupName" },
"FilterPattern": "{ ($.errorCode = \"*UnauthorizedOperation\") || ($.errorCode = \"AccessDenied*\") }",
"MetricTransformations": [
{
"MetricNamespace": "CloudTrailMetrics",
"MetricName": "AuthorizationFailureCount",
"MetricValue": "1"
}
]
}
},
AWS::CloudWatch::Alarm块
"AuthorizationFailuresAlarm": {
"Type": "AWS::CloudWatch::Alarm",
"Properties": {
"AlarmName" : "CloudTrailAuthorizationFailures",
"AlarmDescription" : "Alarms when an unauthorized API call is made.",
"AlarmActions" : [{ "Ref" : "AlarmNotificationTopic" }],
"Dimensions": [
{
"Name": "errorCode",
"Value": ""
},
{
"Name": "userIdentity",
"Value": ""
}
],
"MetricName" : "AuthorizationFailureCount",
"Namespace" : "CloudTrailMetrics",
"ComparisonOperator" : "GreaterThanOrEqualToThreshold",
"EvaluationPeriods" : "1",
"Period" : "300",
"Statistic" : "Sum",
"Threshold" : "1"
}
},
【问题讨论】:
-
你不能这样做。这是 Amazon 真正需要添加的 CloudWatch Logs 缺少的功能。
-
人们会认为这是最常见的用例之一。奇怪,它还没有实现。
标签: amazon-web-services amazon-cloudformation amazon-cloudwatch amazon-cloudwatchlogs amazon-cloudtrail