[10/13] CloudTrail/CloudWatch/지표생성을 통한 이벤트 알림설정

AWS Access Control Alerts with CloudWatch and CloudTrail

 

 

 

 

 

 

#1 top-secret-bucket 생성

버킷 생성

버킷 이름만 넣고 다른 설정 기본으로 두고 버킷 생성

버킷에 파일 업로드

 

 

#2 trail 생성 및 로그 저장할 버킷 생성

 

스토리지 위치 지정에서 추적에 대한 로그를 담을 버킷을 새로 만들것인지 기존을 사용할것인지 묻는 것 

다음을 누르고

 

이게 trail이 할 일

현재 및 향후 모든 S3 버킷의 읽기 쓰기 체크박스를 해제해야 밑에 개별 버킷 선택창이 활성화된다 인터페이스 구데기같음

생성 버튼 누른다

 

만들어진 것 확인

 

 

버킷으로 가서 확인

로그를 저장하는 버킷 생성된 것 확인할 수 있다

안에 보면 로그가 만들어지는 중임

 

 

 

#3 CloudWatch 생성

아까 생성한 버킷 

이를 통해 trail하고 watch쪽에 access할 수 있는 권한이 명시되어 있을 것이다.

위 과정 : trail과 watch 연동 (로그 그룹 생성)

마친 후 CloudWatch로 가보면 조회할 수 있다

 

 

 

 

#4 CloudTrail에서 생성된 로그들 중에 필요한 데이터만 뽑아내서 CloudWatch로 가져오자

CloudWatch - 로그 그룹

 

< 이 전에 s3버킷에 파일을 업로드해서 이벤트를 발생켜 놓아야 함 >

   → 그래야 버킷에서 이벤트 일어난 것들이 trail에서 추적했을 것이고 그것들이 로그 버킷에 담긴다.

       이 담긴 것들 중에서 필터를 통해 뽑아내는 것. 

 

필터 - aws lab 제공

{ ($.eventSource = s3.amazonaws.com) && (($.eventName = PutObject) || ($.eventName = GetObject)) }

 

위의 필터에 걸린 로그 메시지들

 

 

 

필터(지표) 이름 지정 이 필터를 만족하는 로그가 감지되면 AccessMetrics라는 이름으로 값을 할당한다

s3에서 발생하는 이벤트( 파일업로드나 다운로드 같은) 의 로그가 쌓이고

그 중에서 필터에 걸러진(통과된) 애들이 AccessMetrics라는 이름의 지표값 1을 가지고 로그 저장하는 버킷에 저장된다

해당되는 애들은 지표값을 할당받는다.

 

 

이제 생성된 것을 다른 외부 이벤트로 전달하기 위해 경보 생성

 

강사님 > 1보다 크거나 같은 값 선택함

(계속 똑같은 설명하는 거임) 이벤트 중에 필터에 걸러진 애들이 AccessMetrics라는 이름으로 1(앞에서 지정함)의 값을 가져서 들어온다 이렇게 들어오는 애들을 5분마다 체크하고 이 합계가 1보다 클 때 경보를 울리라는 말 

 

 

 

 

필터 통과된 애들을 어떻게 볼 것이냐 분류

이름 뭐 아무거나 주고 다음

 

이렇게 하면 필터에 해당하는 이벤트 발생 시 메일로 알람이 옵니다 !

메일 확인