이러한 경보가 여러 개 수신되고 있으므로 CloudTrail에서 이벤트 기록을 살펴보기로 결정했습니다. 그러나 오류 코드와 함께 볼 수 있는 이벤트는 없습니다. 알람을 유발하는 이벤트가 여기에 있을 것이라고 생각했을 것입니다.
질문:그렇다면 CloudWatch 경보를 발생시킨 이벤트에 대한 추가 정보를 얻으려면 어떻게 해야 합니까? 특히 소스 IP, IAM 사용자(있는 경우), 사용된 액세스 키(있는 경우) 등과 같은 사항을 알고 싶습니다.
답변1
짧은 답변:
경보 이름과 일치하는 지표 필터 세트가 있는 CloudWatch 로그 그룹을 찾아야 합니다.
긴 답변
필요한 정보를 얻게 된 일련의 관찰과 단계는 다음과 같습니다.
- 이메일에 이벤트 ID가 없습니다.
- AWS 콘솔로 CloudTrail을 살펴보면 오류 코드를 기준으로 조회할 수 있는 방법이 없습니다. 그리고 페이지를 탐색할 때 무단 액세스를 암시하는 오류 코드는 나타나지 않습니다.
- 이메일로 받은 시간과 관련된 시간이 포함된 CloudTrail Insights를 찾을 수 없습니다.
- 이메일에는 알람에 대한 링크가 있습니다. CloudWatch 사용자 지정 지표 "AuthorizationFailureCount"가 어디서 왔는지 알 수 없으며, 매핑된 AWS 서비스를 확인하기 위해 클릭할 수도 없습니다.
- CloudWatch에서 지표 필터가 있는 로그 그룹을 찾았습니다. 필터 를 클릭하면
AuthorizationFailuresMetricFilter#4의 측정항목이 생성된 방법을 포함한 일부 정보가 표시됩니다. - 콘솔에서 '테스트 패턴'을 실행하면 일부 로그 스트림에 대해서는 결과가 생성되지 않지만 다른 로그 스트림에 대해서는 결과가 제공됩니다. 결과에는
eventId및sharedEventID속성이 포함된 이벤트 JSON이 포함됩니다. - 위 이벤트와 일치하는 ID(또는 공유 ID)가 있는 이벤트를 CloudTrail에서 찾을 수 없습니다.
따라서 이 단계에서는 발견된 이 로그 그룹의 이벤트가 경보를 발생시키는 지표와 연결된 이벤트의 전체 목록인 것으로 추측됩니다.
관련 로그 그룹에 다시 연결하는 경보에 대한 보기에 무언가가 있었다면 이 전체 프로세스가 훨씬 더 간단했을 것입니다. 그러나 그렇지 않습니다. 5번 단계는 4번과 아무런 논리적 연결도 없이 우연히 발견되었습니다.