CloudTrailAuthorizationFailures アラームの詳細情報を取得するにはどうすればいいですか?

Question

短い答え：
アラーム名に一致するメトリックフィルターセットを持つ CloudWatch ロググループを見つける必要があります。

長い答え
必要な情報にたどり着くまでの観察と手順の順序は次のとおりです。

電子メールにはイベント ID が含まれていません。
AWS コンソールで CloudTrail を見ると、エラーコードに基づいて検索する方法がありません。また、ページを移動しても、不正アクセスを示唆するエラーコードは表示されません。
電子メールで受信したものと相関する時間を持つ CloudTrail Insights が見つかりません。
メールにはアラームへのリンクがあります。CloudWatch カスタムメトリック「AuthorizationFailureCount」がどこから来たのかはわかりません。また、どの AWS サービスにマッピングされているかを確認するためにクリックできるものもありません。
CloudWatch の下に、メトリックフィルター付きのロググループが見つかりました。AuthorizationFailuresMetricFilterフィルターをクリックすると、#4 のメトリックがどのように作成されたかなどの情報が表示されます。
コンソールで「テストパターン」を実行すると、一部のログストリームについては結果が生成されませんが、他のログストリームについては結果が生成されます。結果には、eventIdプロパティを含むイベント JSON が含まれますsharedEventID。
上記のイベントと一致する ID (または共有 ID) を持つイベントが CloudTrail の下に見つかりません。

したがって、現段階での私の推測では、このロググループで見つかったイベントは、アラームを発生させるメトリックに関連付けられたイベントの完全なリストです。

アラームのビューに、関連するロググループに結び付けるものがあれば、このプロセス全体がはるかに簡単になりますが、そのようなものはありません。ステップ 5 は、ステップ 4 からの論理的なつながりがないまま、偶然に見つかりました。

Answer 1

短い答え：
アラーム名に一致するメトリックフィルターセットを持つ CloudWatch ロググループを見つける必要があります。

長い答え
必要な情報にたどり着くまでの観察と手順の順序は次のとおりです。

電子メールにはイベント ID が含まれていません。
AWS コンソールで CloudTrail を見ると、エラーコードに基づいて検索する方法がありません。また、ページを移動しても、不正アクセスを示唆するエラーコードは表示されません。
電子メールで受信したものと相関する時間を持つ CloudTrail Insights が見つかりません。
メールにはアラームへのリンクがあります。CloudWatch カスタムメトリック「AuthorizationFailureCount」がどこから来たのかはわかりません。また、どの AWS サービスにマッピングされているかを確認するためにクリックできるものもありません。
CloudWatch の下に、メトリックフィルター付きのロググループが見つかりました。AuthorizationFailuresMetricFilterフィルターをクリックすると、#4 のメトリックがどのように作成されたかなどの情報が表示されます。
コンソールで「テストパターン」を実行すると、一部のログストリームについては結果が生成されませんが、他のログストリームについては結果が生成されます。結果には、eventIdプロパティを含むイベント JSON が含まれますsharedEventID。
上記のイベントと一致する ID (または共有 ID) を持つイベントが CloudTrail の下に見つかりません。

したがって、現段階での私の推測では、このロググループで見つかったイベントは、アラームを発生させるメトリックに関連付けられたイベントの完全なリストです。

アラームのビューに、関連するロググループに結び付けるものがあれば、このプロセス全体がはるかに簡単になりますが、そのようなものはありません。ステップ 5 は、ステップ 4 からの論理的なつながりがないまま、偶然に見つかりました。

関連情報