AWS CloudWatch tracking event logs from alerts
- 藉由e-mail信件通知發現告警
- 告警名稱「CloudTrailAuthorizationFailures」
- 命中規則「AuthorizationFailureCount」的值>= 1
- 登入AWS主控台,進入「CloudWatch」服務查看告警
- 找到告警名稱,點擊名稱進入詳情
- 從指標可以看到規則命中次數及時間
- 拉長時間區間可以看到鄰近時間是否有同樣狀況發生
- 點擊右上角「查看」>「相關日誌」>日誌存放位置
- 會直接套用告警規則查詢相關日誌
- 只需選中對應時間區段,以及注意時區問題
查詢語句
{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }以下是日誌閱讀範例
- errorCode:AccessDenied
- 未經授權登入(沒有開啟MFA,MFA認證為false)
- errorCode:Client.UnauthorizedOperation
- 未經授權操作
- eventSource=哪個服務發出告警
- userName=哪個用戶嘗試訪問
- sourceIPAddress=該用戶的ip地址
- userAngent=該用戶是使用什麼客戶端嘗試訪問
其他場景
- 查詢金鑰及特權使用
{ ($.userIdentity.accessKeyId = "你的金鑰") || ($.userIdentity.type = "root") }正常登入的示例
參考官方日誌格式
參考官方查詢語句
