CloudWatch 경보를 사용하여 CloudTrail 이벤트를 모니터링하려면 어떻게 해야 합니까?

4분 분량
0

Amazon CloudWatch 경보를 사용하여 AWS CloudTrail 이벤트를 모니터링하려고 합니다.

간략한 설명

CloudWatch 경보는 단일 CloudWatch 지표 또는 CloudWatch 지표에 기반한 수학 표현식의 결과를 모니터링합니다. 경보를 생성하여 CloudTrail 이벤트를 모니터링하려면 추적에 대한 CloudWatch 로깅을 활성화하고 CloudTrail 로그 그룹에서 지표 필터를 생성하십시오.

참고: 지표 필터는 CloudWatch Logs로 전송되는 로그 데이터에서 찾을 용어와 패턴을 정의합니다. CloudWatch Logs는 지표 필터를 사용하여 로그 데이터를 수치형 지표로 변환하며, 이를 그래프로 표시하고 경보를 설정할 수 있습니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

시작하기 전에 다음 단계를 완료하십시오.

  1. CloudTrail 콘솔에서 추적을 생성하거나 AWS CLI를 사용하여 추적을 생성합니다.
  2. 로그 그룹을 생성합니다. 이 작업은 추적을 만들 때 완료할 수 있습니다.
  3. AWS Management Console 또는 AWS CLI를 사용하여 모니터링을 위해 CloudWatch Logs에 이벤트를 전송하는 추적을 구성합니다.
  4. CloudTrail에 CloudWatch Logs 로그 스트림을 생성할 권한을 부여하는 AWS Identity and Access Management(IAM) 역할을 생성하거나 지정합니다. CloudTrail 이벤트를 전송하도록 지정한 로그 그룹에 로그 스트림을 생성해야 합니다. 기본 역할은 CloudTrail_CloudWatchLogs_Role입니다.

참고: 지표 필터 생성경보 생성에 대한 다음 단계에서는 MFA를 활성화하지 않은 상태의 ConsoleLogin 이벤트 CloudTrail 이벤트를 모니터링하는 방법의 예를 제공합니다.

지표 필터 생성

MFA를 활성화하지 않은 상태의 ConsoleLogin 이벤트에 대한 지표 필터를 생성하려면 다음 단계를 완료하십시오.

  1. CloudWatch 콘솔을 엽니다.

  2. 탐색 창의 **Logs(로그)**에서 **Log groups(로그 그룹)**를 선택합니다.

  3. 로그 그룹 목록에서 추적에 대해 생성한 로그 그룹을 선택합니다.

  4. Metric filters(지표 필터) 또는 Actions(작업) 메뉴에서 **Create metric filter(지표 필터 생성)**를 선택합니다.

  5. Define pattern(패턴 정의) 페이지의 **Create filter pattern(필터 패턴 생성)**에서 **Filter pattern(필터 패턴)**에 대해 다음을 입력합니다.

    { ($.eventName = ConsoleLogin) && ($.additionalEventData.MFAUsed != Yes) }
  6. **Test pattern(패턴 테스트)**에서 기본값을 업데이트하지 않도록 합니다. **Next(다음)**를 선택합니다.

  7. Assign metric(지표 할당) 페이지에서 **Filter name(필터 이름)**에 ConsoleSignInWithoutMFA를 입력합니다.

  8. **Metric details(지표 세부 정보)**에서 **Create new(새로 만들기)**를 활성화하고 다음을 수행합니다.
    **Metric namespace(지표 네임스페이스)**에 CloudTrailMetrics를 입력합니다.
    **Metric name(지표 이름)**에 ConsoleSignInWithoutMFA를 입력합니다.
    **Metric value(지표 값)**에 1을 입력합니다.
    **Default value(기본값)**는 비워 둡니다.

  9. **Next(다음)**를 선택합니다.

  10. Review and create(검토 및 생성) 페이지에서 선택 사항을 검토합니다. **Create metric filter(지표 필터 생성)**를 선택하여 필터를 생성하거나, **Edit(편집)**를 선택하여 값을 변경합니다.

참고: 지표 필터를 생성하면 CloudTrail 추적 로그 그룹에 대한 CloudWatch Logs log group details(CloudWatch Logs 로그 그룹 세부 정보) 페이지가 열립니다.

경보 생성

MFA를 활성화하지 않은 상태의 ConsoleLogin 이벤트를 모니터링하기 위한 경보를 생성하려면 다음 단계를 완료하십시오.

  1. Metric filters(지표 필터) 탭에서 생성된 지표 필터를 확인하고 해당 지표 필터에 대한 확인란을 선택합니다.
  2. Metric filters(지표 필터) 표시줄에서 **Create alarm(경보 생성)**을 선택합니다. **Specify metric and conditions(지표 및 조건 지정)**에서 다음을 입력하십시오.
    **Metric name(지표 이름)**에는 현재 지표 이름인 ConsoleSignInWithoutMFA를 유지합니다.
    **Statistic(통계)**에는 기본값인 **Sum(합계)**을 유지합니다.
    **Period(기간)**에는 기본값인 **5 minutes(5분)**를 유지합니다.
    **Conditions(조건)**의 **Threshold type(임계값 유형)**에서 **Static(정적)**을 선택합니다.
    **Whenever metric_name is(metric_name이 다음과 같은 경우)**에서 **Greater/Equal(이상)**을 선택합니다.
    임계값에 대해 필요한 값을 입력합니다. 이 예에서는 임계값이 3입니다.
    **Additional configuration(추가 구성)**에서는 기본값을 업데이트하지 않습니다.
  3. **Next(다음)**를 선택합니다.
  4. Configure actions(작업 구성) 페이지의 **Notification(알림)**에서 **Create new topic(새 주제 생성)**을 선택하거나 기존 Amazon Simple Notification Service(Amazon SNS) 주제를 선택합니다.
    **Create a new topic(새 주제 생성)**에서 Amazon SNS 주제 이름으로 ConsoleSignInWithoutMFA_CloudWatch_Alarms_Topic을 입력합니다.
  5. **Email endpoints(이메일 엔드포인트)**에 경보 알림을 받을 사용자의 이메일 주소를 입력합니다. 이메일 주소는 쉼표로 구분해야 합니다.
    참고: 각 이메일 주소는 확인 이메일에 회신하여 Amazon SNS 주제 구독을 확인해야 합니다. 경보의 Actions(작업) 열에는 모든 이메일 수신자를 확인할 때까지 **Pending confirmation(확인 대기 중)**이 표시됩니다.
  6. **Create topic(주제 생성)**을 선택합니다.
  7. 이 예에서는 다른 작업 유형을 건너뜁니다. **Next(다음)**를 선택합니다.
  8. Add name and description(이름 및 설명 추가) 페이지에서 경보의 이름과 설명을 입력합니다. 이 예에서는 이름으로 Console sign-in-without-MFA를 입력하고 설명으로 Raises alarms if more than 3 console sign-in without MFA occur in 5 minutes를 입력합니다.
  9. **Next(다음)**를 선택합니다.
  10. Preview and create(미리 보기 및 생성) 페이지에서 선택 사항을 검토합니다. **Create alarm(경보 생성)**을 선택하여 경보를 생성하거나 **Edit(편집)**를 선택하여 값을 변경합니다.

참고: 이전 단계에서는 지정된 5분 내에 AWS Management Console 로그인이 실패할 경우 호출하는 CloudWatch 경보를 생성합니다.

AWS 공식
AWS 공식업데이트됨 10달 전