AWS CloudTrail 是一项支持对您的 AWS 帐户进行监管、合规性检查、操做审核和风险审核 的服务,您能够经过建立 CloudTrail 追踪,将日志保存到 S3 存储桶和 CloudWatch Logs 中,结合 CloudWatch Logs 的过滤条件建立警报,能够实现针对于 AWS 平台某些特定操做 的警报: 好比当监控到帐号内有人启动 4xlarge 或者 8xlarge 类型的实例的时候就触发警 告,或者当有人修改了安全组规则的时候出发警告等。本次示例中,咱们以在 5 分钟以内 登陆 AWS Console 失败 3 次就触发警告为例,以方便您更近一步了解 CloudTrail 和 CloudWatch Logs 服务。html
操做步骤:
在服务中找到 CloudTrail ,而后点击 “跟踪”,填写一个跟踪名字,如 trackAPI,而后在”适 用追踪到全部的区域”选择 “是”。在存储位置处,选择建立一个新的 S3 存储桶,填写一 个新的存储桶名字,如 aws-cloudtrail-logs-xiang(若是存储桶名字被使用,请换一个别的). 日志文件前缀能够留空,也能够写一个前缀如 CloudTrail。填写完成以后点击右下角 “建立”.安全
![[AWS][安全] 监控登陆 Console 失败](http://static.javashuo.com/static/loading.gif)
以后在 CloudTrail 的 “跟踪”页面,点击刚心建立的跟踪名称,在接下来的界面 的”CloudWatch Logs”界面,点击”配置”ide
在接下来的界面会提示须要建立一个 IAM 角色,直接点击”容许”spa
而后点击左上角服务,切换到 CloudWatch Console 界面,点击左侧的”日志”,在日志中可 以看到已自动建立了日志组。选中 CloudTrail 的日志组,而后点击”建立指标筛选器”3d
在接下来的界面中,筛选模式处输入下面的信息,而后点击”分配指标”
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
日志
而后在接下来的界面,筛选器名称,指标命名空间和指标名称均可以自定义输入。本次演示中筛选器名称为 ConsoleLoginFailed,指标命名空间为 ConsoleLogin,指标名 称:ConsoleLoginFailedCount,指标值为 1. 以后点击”建立筛选器”视频
完成上述操做以后,点击界面上的”建立警报”htm
在警报详细信息处,名称输入 “ConsoleLoginAlarm”,当>=3 的时候触发。在”附加设置”下 面的”操做”处,通知内容设置为: 每当此警报: “状态为警报”,”发送通知到”选择新建列 表,而后在发送通知到后面的文本框中输入”AlarmNotifyMe”电子邮件列表输入本身的邮 箱地址.以后点击”建立警报”blog
在接下来的界面,会有一个提示须要您登陆邮箱确认电子邮件:教程
请检查您的电子邮箱,您会收到以下一封邮件,请点击 “Confirm subscription”确认
以后在 CloudWatch 左侧警报界面,能够看到又一个数据不足的警告,这是由于目前没有 登陆失败的事件,CloudWatch 上没有这个指标的数据,因此显示”数据不足”
请从新登陆 AWS Console,在登陆的时候使用一个错误的用户名和密码,连续登陆失败 4—5 次.等待 5—10 分钟,而后检查下邮箱,应该会收到一封邮件警告:
小结:
从上面的实验中,咱们将 CloudTrail 日志保存到 CloudWatch Logs 中,而后经过 CloudWatch Logs 过滤功能,筛选出来指定事件的日志,并经过筛选出来的日志数量建立 警报,达到警报值的时候,触发警报通知到 SNS,而后由 SNS 发送邮件通知.