我收到了多個此類警報,因此我決定查看 CloudTrail 中的事件記錄。但是,我沒有看到帶有錯誤代碼的事件。我以為引起警報的事件就在這裡。
問題:那麼,如何取得有關導致 CloudWatch 警報的事件的更多資訊?具體來說,我想知道來源 IP、IAM 用戶(如果有)、使用的存取金鑰(如果有)等資訊。
答案1
簡短回答:
必須找到具有與警報名稱相符的指標篩選器集的 CloudWatch 日誌組。
長答案
引導我獲得所需資訊的觀察順序和步驟如下:
- 電子郵件不包含事件 ID。
- 使用AWS控制台查看CloudTrail,沒有辦法根據錯誤代碼進行查找。瀏覽頁面時,似乎沒有任何錯誤代碼表明未經授權的存取。
- 找不到與電子郵件中收到的時間相關的 CloudTrail Insights。
- 該電子郵件包含警報連結。不知道 CloudWatch 自訂指標「AuthorizationFailureCount」來自何處,也無法按一下任何內容來檢查它會對應到哪個 AWS 服務。
- 在 CloudWatch 下找到一個有指標篩選器的日誌組。點擊
AuthorizationFailuresMetricFilter過濾器會顯示一些信息,包括#4 中的指標是如何建立的。 - 在控制台中執行「測試模式」不會為某些日誌流產生結果,但會為其他日誌流產生結果。結果包括帶有
eventId和sharedEventID屬性的事件 JSON。 - 在 CloudTrail 下找不到任何 ID(或共用 ID)與上述事件中的事件相符的事件。
因此,我現階段的猜測是,在該日誌組中找到的事件是與引發警報的指標相關的詳盡事件清單。
如果警報視圖中存在將其綁定回任何相關日誌組的內容,則整個過程會簡單得多,但事實並非如此。步驟#5 是偶然發現的,與步驟#4 沒有邏輯連結。