AWS CloudTrail 是一項支持對您的 AWS 帳戶進行監管、合規性檢查、操做審覈和風險審覈 的服務,您能夠經過建立 CloudTrail 追蹤,將日誌保存到 S3 存儲桶和 CloudWatch Logs 中,結合 CloudWatch Logs 的過濾條件建立警報,能夠實現針對於 AWS 平臺某些特定操做 的警報: 好比當監控到帳號內有人啓動 4xlarge 或者 8xlarge 類型的實例的時候就觸發警 告,或者當有人修改了安全組規則的時候出發警告等。本次示例中,咱們以在 5 分鐘以內 登陸 AWS Console 失敗 3 次就觸發警告爲例,以方便您更近一步瞭解 CloudTrail 和 CloudWatch Logs 服務。html
操做步驟:
在服務中找到 CloudTrail ,而後點擊 「跟蹤」,填寫一個跟蹤名字,如 trackAPI,而後在」適 用追蹤到全部的區域」選擇 「是」。在存儲位置處,選擇建立一個新的 S3 存儲桶,填寫一 個新的存儲桶名字,如 aws-cloudtrail-logs-xiang(若是存儲桶名字被使用,請換一個別的). 日誌文件前綴能夠留空,也能夠寫一個前綴如 CloudTrail。填寫完成以後點擊右下角 「建立」.安全
![[AWS][安全] 監控登陸 Console 失敗](http://static.javashuo.com/static/loading.gif)
以後在 CloudTrail 的 「跟蹤」頁面,點擊剛心建立的跟蹤名稱,在接下來的界面 的」CloudWatch Logs」界面,點擊」配置」ide
在接下來的界面會提示須要建立一個 IAM 角色,直接點擊」容許」spa
而後點擊左上角服務,切換到 CloudWatch Console 界面,點擊左側的」日誌」,在日誌中可 以看到已自動建立了日誌組。選中 CloudTrail 的日誌組,而後點擊」建立指標篩選器」3d
在接下來的界面中,篩選模式處輸入下面的信息,而後點擊」分配指標」
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
日誌
而後在接下來的界面,篩選器名稱,指標命名空間和指標名稱均可以自定義輸入。本次演示中篩選器名稱爲 ConsoleLoginFailed,指標命名空間爲 ConsoleLogin,指標名 稱:ConsoleLoginFailedCount,指標值爲 1. 以後點擊」建立篩選器」視頻
完成上述操做以後,點擊界面上的」建立警報」htm
在警報詳細信息處,名稱輸入 「ConsoleLoginAlarm」,當>=3 的時候觸發。在」附加設置」下 面的」操做」處,通知內容設置爲: 每當此警報: 「狀態爲警報」,」發送通知到」選擇新建列 表,而後在發送通知到後面的文本框中輸入」AlarmNotifyMe」電子郵件列表輸入本身的郵 箱地址.以後點擊」建立警報」blog
在接下來的界面,會有一個提示須要您登陸郵箱確認電子郵件:教程
請檢查您的電子郵箱,您會收到以下一封郵件,請點擊 「Confirm subscription」確認
以後在 CloudWatch 左側警報界面,能夠看到又一個數據不足的警告,這是由於目前沒有 登陸失敗的事件,CloudWatch 上沒有這個指標的數據,因此顯示」數據不足」
請從新登陸 AWS Console,在登陸的時候使用一個錯誤的用戶名和密碼,連續登陸失敗 4—5 次.等待 5—10 分鐘,而後檢查下郵箱,應該會收到一封郵件警告:
小結:
從上面的實驗中,咱們將 CloudTrail 日誌保存到 CloudWatch Logs 中,而後經過 CloudWatch Logs 過濾功能,篩選出來指定事件的日誌,並經過篩選出來的日誌數量建立 警報,達到警報值的時候,觸發警報通知到 SNS,而後由 SNS 發送郵件通知.