개요
- CloudTrail 이벤트에 대한 CloudWatch 경보를 생성해보겠습니다.
사전 작업
- CloudWatch Logs로 이벤트를 전송하는
추적을 CloudTrail에 생성합니다. - 그럼 CloudWatch 로그 그룹에 CloudTrail의 이벤트가 전송되어지는 로그 그룹이 존재하게 됩니다.
전체 과정
지표 필터 생성: CloudTrail 이벤트 로그에 대해 필터 패턴을 넣어 패턴과 일치하는 이벤트만 필터링해서 지표로 생성하는 과정.경보 생성: 지표 필터를 통해 생성된 지표값에 대해 경보 조건을 설정하고, 경보 상태가 되면 이메일 엔드포인트로 알림이 가도록 하는 과정.
아래 과정에서는 예로
보안 그룹에서 구성 변경이 발생할 때 트리거되는CloudWatch 경보를 생성해보겠습니다.
지표 필터 생성
- 경보를 생성하려면 먼저 지표 필터를 생성해야 합니다. 그리고 필터에 따라 경보를 구성합니다.
패턴 정의
필터 패턴 생성에 필터 패턴을 입력합니다.
필터링 하고 싶은 이벤트를 아래와 같이 입력합니다.
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }필터 패턴 구문과 관련해서는 AWS 공식 문서 - 필터 및 패턴 구문을 참고하세요.
패턴 테스트를 통해 테스트 해보면 필터링되는 것을 확인할 수 있습니다.
지표 할당
필터 이름을 작성합니다.
네임스페이스: 지표에 표시될 네임스페이스지표 이름: 필터링 되어진 지표의 이름지표 값: 필터링 되어진 지표의 값기본값: 지표 값이 없을 때 표시되는 값Unit: 지표 값의 단위
경보 생성
생성된 지표 필터를 선택하고, 경보 생성을 누릅니다.
지표 및 조건 지정
앞서 필터 패턴과 일치하는 이벤트가 필터링되면 지표 값이 1이 되도록 지표 필터를 생성했습니다. 따라서 해당 지표의 값이 1보다 크거나 같도록 경보 조건을 정의합니다.
작업 구성
경보 상태일 때 지정한 이메일 엔드포인트로 알림이 가도록 설정합니다.
이름 및 설명 추가
경보 이름을 작성합니다.
Devops Engineer