[AWS] CloudTrail 로그인 실패 이벤트에 대한 CloudWatch 경보 생성

HYEOB KIM·2022년 6월 16일
1

aws

목록 보기
40/62

이전 내용: [AWS] CloudTrail 이벤트(보안 그룹에서 구성 변경)에 대한 CloudWatch 경보 생성

개요

  • 5분 동안 3회 이상의 콘솔 로그인 실패가 발생할 때 트리거되는 CloudWatch 경보를 생성해보겠습니다.

사전 작업

  • CloudTrail에 CloudWatch Logs로 이벤트 로그를 전송하도록 하는 추적을 생성해야 합니다.

전체 과정

  1. 로그 그룹에서 지표 필터 생성
  2. 지표에 대한 경보 생성
  • 아래 내용은 이전 내용에서 CloudTrail 이벤트에 대한 경보를 생성하는 과정을 자세하게 설명했으므로 간략하게 설명합니다.

로그 그룹에서 지표 필터 생성

  1. CloudWatch 콘솔에 접속합니다.

  2. [로그 그룹] > [CloudTrail 이벤트 로그 그룹 선택] > [지표 필터] > [지표 필터 생성]

  3. 필터 패턴으로 아래 패턴을 입력합니다.

{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

필터 패턴 구문과 관련해서는 AWS 공식 문서 - 필터 및 패턴 구문을 참고하세요.

  1. 필터 이름과 네임스페이스, 이름, 값을 작성합니다.

  2. 지표 필터를 생성합니다.

지표에 대한 경보 생성

  1. 지표 필터를 선택하고 [경보 생성] 버튼을 누릅니다.

  2. 5분 동안의 합계이므로 아래와 같이 설정합니다.

  3. 총 3회 이상 틀리면 경보가 발생해야 하므로 아래와 같이 설정합니다.

  4. 경보 상태일 때 해당되는 SNS 주제 이메일 엔드포인트로 알림이 가도록 합니다.

  5. 경보를 생성합니다.

profile
Devops Engineer

0개의 댓글