Как получить дополнительную информацию об аварийном сигнале CloudTrailAuthorizationFailures?

Question

Короткий ответ:
Необходимо найти группу журналов CloudWatch с набором фильтров метрик, соответствующим названию сигнала тревоги.

Длинный ответ
Последовательность наблюдений и шагов, которые привели меня к необходимой информации, была следующей:

Электронное письмо не содержит идентификаторов событий.
Если посмотреть на CloudTrail с помощью консоли AWS, то нет возможности поиска по кодам ошибок. И при навигации по страницам, похоже, нет никаких кодов ошибок, указывающих на несанкционированный доступ.
Не удалось найти данные CloudTrail Insights со временем, соответствующим полученному по электронной почте.
В письме есть ссылка на сигнализацию. Не знаю, откуда взялась пользовательская метрика CloudWatch "AuthorizationFailureCount", и нет возможности проверить, к какому сервису AWS она привязана.
Нашел группу журналов в CloudWatch с фильтрами метрик. Нажатие на AuthorizationFailuresMetricFilterфильтр выводит некоторую информацию, включая то, как могла быть создана метрика в #4.
Запуск 'Test pattern' в консоли не генерирует результатов для некоторых потоков журнала, но дает результаты для других. Результаты включают события JSON со свойствами eventIdи sharedEventID.
Не удалось найти ни одного события в CloudTrail с идентификаторами (или общими идентификаторами), совпадающими с идентификаторами в событиях выше.

Поэтому на данном этапе я предполагаю, что события в этой найденной группе журналов представляют собой исчерпывающий список событий, связанных с метрикой, вызвавшей тревогу.

Весь этот процесс был бы намного проще, если бы в представлении для сигнала тревоги было что-то, связывающее его с соответствующими группами журналов, но этого нет. Шаг № 5 был наткнулся случайно без какой-либо логической связи с № 4.

Answer 1

Короткий ответ:
Необходимо найти группу журналов CloudWatch с набором фильтров метрик, соответствующим названию сигнала тревоги.

Длинный ответ
Последовательность наблюдений и шагов, которые привели меня к необходимой информации, была следующей:

Электронное письмо не содержит идентификаторов событий.
Если посмотреть на CloudTrail с помощью консоли AWS, то нет возможности поиска по кодам ошибок. И при навигации по страницам, похоже, нет никаких кодов ошибок, указывающих на несанкционированный доступ.
Не удалось найти данные CloudTrail Insights со временем, соответствующим полученному по электронной почте.
В письме есть ссылка на сигнализацию. Не знаю, откуда взялась пользовательская метрика CloudWatch "AuthorizationFailureCount", и нет возможности проверить, к какому сервису AWS она привязана.
Нашел группу журналов в CloudWatch с фильтрами метрик. Нажатие на AuthorizationFailuresMetricFilterфильтр выводит некоторую информацию, включая то, как могла быть создана метрика в #4.
Запуск 'Test pattern' в консоли не генерирует результатов для некоторых потоков журнала, но дает результаты для других. Результаты включают события JSON со свойствами eventIdи sharedEventID.
Не удалось найти ни одного события в CloudTrail с идентификаторами (или общими идентификаторами), совпадающими с идентификаторами в событиях выше.

Поэтому на данном этапе я предполагаю, что события в этой найденной группе журналов представляют собой исчерпывающий список событий, связанных с метрикой, вызвавшей тревогу.

Весь этот процесс был бы намного проще, если бы в представлении для сигнала тревоги было что-то, связывающее его с соответствующими группами журналов, но этого нет. Шаг № 5 был наткнулся случайно без какой-либо логической связи с № 4.

Как получить дополнительную информацию об аварийном сигнале CloudTrailAuthorizationFailures?

решение1

Связанный контент