[AWS] CloudTrail 이벤트(보안 그룹에서 구성 변경)에 대한 CloudWatch 경보 생성

HYEOB KIM·2022년 6월 16일
1

aws

목록 보기
38/62

이전 내용: [AWS] CloudWatch Logs로 CloudTrail 이벤트 로그 전송 방법

개요

  • CloudTrail 이벤트에 대한 CloudWatch 경보를 생성해보겠습니다.

사전 작업

  • CloudWatch Logs로 이벤트를 전송하는 추적을 CloudTrail에 생성합니다.
  • 그럼 CloudWatch 로그 그룹에 CloudTrail의 이벤트가 전송되어지는 로그 그룹이 존재하게 됩니다.

전체 과정

  1. 지표 필터 생성: CloudTrail 이벤트 로그에 대해 필터 패턴을 넣어 패턴과 일치하는 이벤트만 필터링해서 지표로 생성하는 과정.
  2. 경보 생성: 지표 필터를 통해 생성된 지표값에 대해 경보 조건을 설정하고, 경보 상태가 되면 이메일 엔드포인트로 알림이 가도록 하는 과정.

아래 과정에서는 예로 보안 그룹에서 구성 변경이 발생할 때 트리거되는 CloudWatch 경보를 생성해보겠습니다.

지표 필터 생성

  • 경보를 생성하려면 먼저 지표 필터를 생성해야 합니다. 그리고 필터에 따라 경보를 구성합니다.

패턴 정의

필터 패턴 생성필터 패턴을 입력합니다.
필터링 하고 싶은 이벤트를 아래와 같이 입력합니다.

{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

필터 패턴 구문과 관련해서는 AWS 공식 문서 - 필터 및 패턴 구문을 참고하세요.

패턴 테스트를 통해 테스트 해보면 필터링되는 것을 확인할 수 있습니다.

지표 할당

필터 이름을 작성합니다.

  • 네임스페이스: 지표에 표시될 네임스페이스
  • 지표 이름: 필터링 되어진 지표의 이름
  • 지표 값: 필터링 되어진 지표의 값
  • 기본값: 지표 값이 없을 때 표시되는 값
  • Unit: 지표 값의 단위

경보 생성

생성된 지표 필터를 선택하고, 경보 생성을 누릅니다.

지표 및 조건 지정

앞서 필터 패턴과 일치하는 이벤트가 필터링되면 지표 값이 1이 되도록 지표 필터를 생성했습니다. 따라서 해당 지표의 값이 1보다 크거나 같도록 경보 조건을 정의합니다.

작업 구성

경보 상태일 때 지정한 이메일 엔드포인트로 알림이 가도록 설정합니다.

이름 및 설명 추가

경보 이름을 작성합니다.

profile
Devops Engineer

0개의 댓글