Wie erhalte ich weitere Informationen zu einem CloudTrailAuthorizationFailures-Alarm?

Question

Kurze Antwort:
Sie müssen die CloudWatch-Protokollgruppe mit einem Metrikfiltersatz finden, der dem Alarmnamen entspricht.

Lange Antwort
Die Abfolge der Beobachtungen und Schritte, die mich zu den benötigten Informationen führten, war wie folgt:

Die E-Mail enthält keine Ereignis-IDs.
Wenn man CloudTrail mit der AWS-Konsole betrachtet, gibt es keine Möglichkeit, anhand von Fehlercodes nachzuschlagen. Und beim Navigieren durch die Seiten scheinen keine Fehlercodes aufzutreten, die auf einen unbefugten Zugriff hindeuten.
CloudTrail Insights mit Zeiten, die mit den per E-Mail empfangenen Zeiten korrelieren, kann nicht gefunden werden.
Die E-Mail enthält einen Link zum Alarm. Keine Ahnung, woher die benutzerdefinierte CloudWatch-Metrik „AuthorizationFailureCount“ stammt, und nichts Anklickbares, um zu überprüfen, welchem AWS-Dienst sie zugeordnet ist.
Unter CloudWatch wurde eine Protokollgruppe mit Metrikfiltern gefunden. Wenn Sie auf den AuthorizationFailuresMetricFilterFilter klicken, werden einige Informationen angezeigt, darunter auch, wie die Metrik in Nr. 4 möglicherweise erstellt wurde.
Das Ausführen von „Testmuster“ in der Konsole erzeugt für einige Protokollströme keine Ergebnisse, für andere jedoch. Die Ergebnisse umfassen Ereignis-JSONs mit eventIdund sharedEventIDEigenschaften.
Unter CloudTrail können keine Ereignisse mit IDs (oder gemeinsam genutzten IDs) gefunden werden, die mit denen in den oben aufgeführten Ereignissen übereinstimmen.

Daher gehe ich zum jetzigen Zeitpunkt davon aus, dass es sich bei den in dieser Protokollgruppe gefundenen Ereignissen um die vollständige Liste der Ereignisse handelt, die mit der Metrik verknüpft sind, die den Alarm auslöst.

Der gesamte Vorgang wäre viel einfacher gewesen, wenn es in der Alarmansicht etwas gegeben hätte, das ihn mit relevanten Protokollgruppen verknüpft, aber das ist nicht der Fall. Auf Schritt Nr. 5 bin ich zufällig gestoßen und es besteht keine logische Verbindung zu Schritt Nr. 4.

Answer 1

Kurze Antwort:
Sie müssen die CloudWatch-Protokollgruppe mit einem Metrikfiltersatz finden, der dem Alarmnamen entspricht.

Lange Antwort
Die Abfolge der Beobachtungen und Schritte, die mich zu den benötigten Informationen führten, war wie folgt:

Die E-Mail enthält keine Ereignis-IDs.
Wenn man CloudTrail mit der AWS-Konsole betrachtet, gibt es keine Möglichkeit, anhand von Fehlercodes nachzuschlagen. Und beim Navigieren durch die Seiten scheinen keine Fehlercodes aufzutreten, die auf einen unbefugten Zugriff hindeuten.
CloudTrail Insights mit Zeiten, die mit den per E-Mail empfangenen Zeiten korrelieren, kann nicht gefunden werden.
Die E-Mail enthält einen Link zum Alarm. Keine Ahnung, woher die benutzerdefinierte CloudWatch-Metrik „AuthorizationFailureCount“ stammt, und nichts Anklickbares, um zu überprüfen, welchem AWS-Dienst sie zugeordnet ist.
Unter CloudWatch wurde eine Protokollgruppe mit Metrikfiltern gefunden. Wenn Sie auf den AuthorizationFailuresMetricFilterFilter klicken, werden einige Informationen angezeigt, darunter auch, wie die Metrik in Nr. 4 möglicherweise erstellt wurde.
Das Ausführen von „Testmuster“ in der Konsole erzeugt für einige Protokollströme keine Ergebnisse, für andere jedoch. Die Ergebnisse umfassen Ereignis-JSONs mit eventIdund sharedEventIDEigenschaften.
Unter CloudTrail können keine Ereignisse mit IDs (oder gemeinsam genutzten IDs) gefunden werden, die mit denen in den oben aufgeführten Ereignissen übereinstimmen.

Daher gehe ich zum jetzigen Zeitpunkt davon aus, dass es sich bei den in dieser Protokollgruppe gefundenen Ereignissen um die vollständige Liste der Ereignisse handelt, die mit der Metrik verknüpft sind, die den Alarm auslöst.

Der gesamte Vorgang wäre viel einfacher gewesen, wenn es in der Alarmansicht etwas gegeben hätte, das ihn mit relevanten Protokollgruppen verknüpft, aber das ist nicht der Fall. Auf Schritt Nr. 5 bin ich zufällig gestoßen und es besteht keine logische Verbindung zu Schritt Nr. 4.

Wie erhalte ich weitere Informationen zu einem CloudTrailAuthorizationFailures-Alarm?

Antwort1

verwandte Informationen