CloudWatch

CloudWatch sammelt Überwachungs- und Betriebsdaten in Form von Protokollen/Metriken/Ereignissen und bietet eine einheitliche Ansicht der AWS-Ressourcen, Anwendungen und Dienste. CloudWatch-Log-Ereignisse haben eine Größenbeschränkung von 256 KB pro Protokollzeile. Es können Hochauflösungsalarme festgelegt, Protokolle und Metriken nebeneinander visualisiert, automatisierte Aktionen durchgeführt, Probleme behoben und Erkenntnisse zur Optimierung von Anwendungen gewonnen werden.

Sie können beispielsweise Protokolle von CloudTrail überwachen. Überwachte Ereignisse:

• Änderungen an Sicherheitsgruppen und NACLs

• Starten, Stoppen, Neustarten und Beenden von EC2-Instanzen

• Änderungen an Sicherheitsrichtlinien innerhalb von IAM und S3

• Fehlgeschlagene Anmeldeversuche an der AWS-Managementkonsole

• API-Aufrufe, die zu fehlgeschlagener Autorisierung führten

• Filter zum Suchen in CloudWatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch-Protokolle

Ermöglicht das Aggregieren und Überwachen von Protokollen aus Anwendungen und Systemen von AWS-Diensten (einschließlich CloudTrail) und von Apps/Systemen (der CloudWatch-Agent kann auf einem Host installiert werden). Protokolle können unbegrenzt gespeichert werden (abhängig von den Einstellungen der Protokollgruppe) und exportiert werden.

Elemente:

CloudWatch-Überwachung & Ereignisse

CloudWatch basic aggregiert Daten alle 5 Minuten (die detaillierte Version macht das alle 1 Minute). Nach der Aggregation überprüft es die Schwellenwerte der Alarme, falls einer ausgelöst werden muss. In diesem Fall kann CloudWatch vorbereitet sein, ein Ereignis zu senden und automatische Aktionen auszuführen (AWS Lambda-Funktionen, SNS-Themen, SQS-Warteschlangen, Kinesis-Streams)

Agenteninstallation

Sie können Agenten in Ihren Maschinen/Containern installieren, um die Protokolle automatisch an CloudWatch zurückzusenden.

• Erstellen Sie eine Rolle und hängen Sie sie an die Instanz an, mit Berechtigungen, die es CloudWatch ermöglichen, Daten von den Instanzen zu sammeln, zusätzlich zur Interaktion mit AWS Systems Manager SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Laden Sie den Agenten auf die EC2-Instanz herunter und installieren Sie ihn (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Sie können ihn von innerhalb der EC2 herunterladen oder ihn automatisch mit AWS System Manager installieren, indem Sie das Paket AWS-ConfigureAWSPackage auswählen

• Konfigurieren und starten Sie den CloudWatch-Agenten

Eine Protokollgruppe hat viele Ströme. Ein Strom hat viele Ereignisse. Und innerhalb jedes Stroms sind die Ereignisse garantiert in der richtigen Reihenfolge.

Aktionen

Enumeration

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Referenzen

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/