이전 내용: [AWS] CloudTrail 이벤트(보안 그룹에서 구성 변경)에 대한 CloudWatch 경보 생성
개요
- 5분 동안
3회이상의 콘솔 로그인 실패가 발생할 때 트리거되는CloudWatch 경보를 생성해보겠습니다.
사전 작업
- CloudTrail에 CloudWatch Logs로 이벤트 로그를 전송하도록 하는 추적을 생성해야 합니다.
전체 과정
- 로그 그룹에서 지표 필터 생성
- 지표에 대한 경보 생성
- 아래 내용은 이전 내용에서 CloudTrail 이벤트에 대한 경보를 생성하는 과정을 자세하게 설명했으므로 간략하게 설명합니다.
로그 그룹에서 지표 필터 생성
-
CloudWatch 콘솔에 접속합니다.
-
[로그 그룹]>[CloudTrail 이벤트 로그 그룹 선택]>[지표 필터]>[지표 필터 생성] -
필터 패턴으로 아래 패턴을 입력합니다.
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }필터 패턴 구문과 관련해서는 AWS 공식 문서 - 필터 및 패턴 구문을 참고하세요.
-
필터 이름과 네임스페이스, 이름, 값을 작성합니다.
-
지표 필터를 생성합니다.
지표에 대한 경보 생성
-
지표 필터를 선택하고[경보 생성]버튼을 누릅니다. -
5분 동안의 합계이므로 아래와 같이 설정합니다.
-
총 3회 이상 틀리면 경보가 발생해야 하므로 아래와 같이 설정합니다.
-
경보 상태일 때 해당되는 SNS 주제 이메일 엔드포인트로 알림이 가도록 합니다.
-
경보를 생성합니다.
Devops Engineer