¿Cómo obtengo más información sobre una alarma de CloudTrailAuthorizationFailures?

Question

Respuesta corta:
Debe encontrar el grupo de registros de CloudWatch con un filtro de métricas configurado que coincida con el nombre de la alarma.

Respuesta larga
La secuencia de observaciones y pasos que me llevaron a la información necesaria fue la siguiente:

El correo electrónico no contiene ID de eventos.
Al mirar CloudTrail con la consola de AWS, no hay forma de realizar búsquedas basadas en códigos de error. Y al navegar por las páginas, no parece haber ningún código de error que sugiera un acceso no autorizado.
No puedo encontrar CloudTrail Insights con tiempos correlacionados con los recibidos por correo electrónico.
El correo electrónico tiene un enlace a la alarma. No tengo idea de dónde proviene la métrica personalizada de CloudWatch "AuthorizationFailureCount" y no se puede hacer clic en nada para verificar a qué servicio de AWS está asignado.
Encontré un grupo de registros en CloudWatch con filtros de métricas. Al hacer clic en el AuthorizationFailuresMetricFilterfiltro, se obtiene información, incluida cómo se pudo haber creado la métrica en el punto 4.
La ejecución del 'Patrón de prueba' en la consola no genera resultados para algunas secuencias de registros, pero sí para otras. Los resultados incluyen eventos JSON con propiedades eventIdy sharedEventID.
No se puede encontrar ningún evento en CloudTrail con ID (o ID compartidos) que coincidan con los de los eventos anteriores.

Entonces, mi suposición en esta etapa es que los eventos encontrados en este grupo de registros son la lista exhaustiva de eventos vinculados a la métrica que genera la alarma.

Todo este proceso habría sido mucho más sencillo si hubiera algo en la vista de la alarma que la vinculara con cualquier grupo de registro relevante, pero no lo hay. El paso 5 se dio por casualidad y no había conexión lógica con el 4.

Answer 1

Respuesta corta:
Debe encontrar el grupo de registros de CloudWatch con un filtro de métricas configurado que coincida con el nombre de la alarma.

Respuesta larga
La secuencia de observaciones y pasos que me llevaron a la información necesaria fue la siguiente:

El correo electrónico no contiene ID de eventos.
Al mirar CloudTrail con la consola de AWS, no hay forma de realizar búsquedas basadas en códigos de error. Y al navegar por las páginas, no parece haber ningún código de error que sugiera un acceso no autorizado.
No puedo encontrar CloudTrail Insights con tiempos correlacionados con los recibidos por correo electrónico.
El correo electrónico tiene un enlace a la alarma. No tengo idea de dónde proviene la métrica personalizada de CloudWatch "AuthorizationFailureCount" y no se puede hacer clic en nada para verificar a qué servicio de AWS está asignado.
Encontré un grupo de registros en CloudWatch con filtros de métricas. Al hacer clic en el AuthorizationFailuresMetricFilterfiltro, se obtiene información, incluida cómo se pudo haber creado la métrica en el punto 4.
La ejecución del 'Patrón de prueba' en la consola no genera resultados para algunas secuencias de registros, pero sí para otras. Los resultados incluyen eventos JSON con propiedades eventIdy sharedEventID.
No se puede encontrar ningún evento en CloudTrail con ID (o ID compartidos) que coincidan con los de los eventos anteriores.

Entonces, mi suposición en esta etapa es que los eventos encontrados en este grupo de registros son la lista exhaustiva de eventos vinculados a la métrica que genera la alarma.

Todo este proceso habría sido mucho más sencillo si hubiera algo en la vista de la alarma que la vinculara con cualquier grupo de registro relevante, pero no lo hay. El paso 5 se dio por casualidad y no había conexión lógica con el 4.

¿Cómo obtengo más información sobre una alarma de CloudTrailAuthorizationFailures?

Respuesta1

información relacionada