Como posso obter mais informações sobre um alarme CloudTrailAuthorizationFailures

Question

Resposta curta:
É necessário encontrar o grupo de logs do CloudWatch com um conjunto de filtros de métrica que corresponda ao nome do alarme.

Resposta longa
A sequência de observações e etapas que me levaram às informações necessárias foram as seguintes:

O e-mail não contém IDs de evento.
Observando o CloudTrail com o console AWS, não há como pesquisar com base em códigos de erro. E ao navegar pelas páginas, não parece haver nenhum código de erro que sugira acesso não autorizado.
Não é possível encontrar o CloudTrail Insights com horários correlacionados aos recebidos por email.
O e-mail contém um link para o alarme. Não tenho ideia de onde veio a métrica personalizada "AuthorizationFailureCount" do CloudWatch e nada clicável para verificar para qual serviço da AWS ela está mapeada.
Encontrou um grupo de logs no CloudWatch com filtros de métrica. Clicar no AuthorizationFailuresMetricFilterfiltro traz algumas informações, incluindo como a métrica do item 4 pode ter sido criada.
A execução do 'Padrão de teste' no console não gera resultados para alguns fluxos de log, mas fornece resultados para outros. Os resultados incluem JSONs de eventos com propriedades eventIde sharedEventID.
Não é possível encontrar eventos no CloudTrail com IDs (ou IDs compartilhados) correspondentes aos eventos acima.

Portanto, meu palpite neste estágio é que os eventos encontrados neste grupo de logs são a lista exaustiva de eventos vinculados à métrica que dispara o alarme.

Todo esse processo teria sido muito mais simples se houvesse algo na visualização do alarme vinculando-o a qualquer grupo de log relevante, mas não há. A etapa 5 foi encontrada por acaso, sem nenhuma conexão lógica com a etapa 4.

Answer 1

Resposta curta:
É necessário encontrar o grupo de logs do CloudWatch com um conjunto de filtros de métrica que corresponda ao nome do alarme.

Resposta longa
A sequência de observações e etapas que me levaram às informações necessárias foram as seguintes:

O e-mail não contém IDs de evento.
Observando o CloudTrail com o console AWS, não há como pesquisar com base em códigos de erro. E ao navegar pelas páginas, não parece haver nenhum código de erro que sugira acesso não autorizado.
Não é possível encontrar o CloudTrail Insights com horários correlacionados aos recebidos por email.
O e-mail contém um link para o alarme. Não tenho ideia de onde veio a métrica personalizada "AuthorizationFailureCount" do CloudWatch e nada clicável para verificar para qual serviço da AWS ela está mapeada.
Encontrou um grupo de logs no CloudWatch com filtros de métrica. Clicar no AuthorizationFailuresMetricFilterfiltro traz algumas informações, incluindo como a métrica do item 4 pode ter sido criada.
A execução do 'Padrão de teste' no console não gera resultados para alguns fluxos de log, mas fornece resultados para outros. Os resultados incluem JSONs de eventos com propriedades eventIde sharedEventID.
Não é possível encontrar eventos no CloudTrail com IDs (ou IDs compartilhados) correspondentes aos eventos acima.

Portanto, meu palpite neste estágio é que os eventos encontrados neste grupo de logs são a lista exaustiva de eventos vinculados à métrica que dispara o alarme.

Todo esse processo teria sido muito mais simples se houvesse algo na visualização do alarme vinculando-o a qualquer grupo de log relevante, mas não há. A etapa 5 foi encontrada por acaso, sem nenhuma conexão lógica com a etapa 4.

Como posso obter mais informações sobre um alarme CloudTrailAuthorizationFailures

Responder1

informação relacionada