CloudWatch

CloudWatch collecte des données de surveillance et opérationnelles sous forme de journaux/métriques/événements fournissant une vue unifiée des ressources AWS, des applications et des services. Les événements de journalisation CloudWatch ont une limite de taille de 256 Ko sur chaque ligne de journal. Il peut définir des alarmes à haute résolution, visualiser des journaux et des métriques côte à côte, prendre des mesures automatisées, résoudre les problèmes et découvrir des informations pour optimiser les applications.

Vous pouvez surveiller par exemple les journaux de CloudTrail. Événements surveillés :

• Modifications des groupes de sécurité et des NACL

• Démarrage, arrêt, redémarrage et terminaison des instances EC2

• Modifications des stratégies de sécurité dans IAM et S3

• Tentatives de connexion échouées à la console de gestion AWS

• Appels API ayant entraîné une autorisation échouée

• Filtres de recherche dans CloudWatch : https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Journaux CloudWatch

Permet d'agréger et de surveiller les journaux des applications et des systèmes des services AWS (y compris CloudTrail) et des applications/systèmes (l'agent CloudWatch peut être installé sur un hôte). Les journaux peuvent être stockés indéfiniment (selon les paramètres du groupe de journaux) et peuvent être exportés.

Éléments :

Surveillance et événements CloudWatch

CloudWatch de base agrège les données toutes les 5 minutes (celui détaillé le fait toutes les 1 minute). Après l'agrégation, il vérifie les seuils des alarmes au cas où il devrait en déclencher une. Dans ce cas, CloudWatch peut être prêt à envoyer un événement et à effectuer des actions automatiques (fonctions Lambda AWS, sujets SNS, files d'attente SQS, flux Kinesis)

Installation de l'agent

Vous pouvez installer des agents à l'intérieur de vos machines/conteneurs pour envoyer automatiquement les journaux vers CloudWatch.

• Créez un rôle et attachez-le à l'instance avec des autorisations permettant à CloudWatch de collecter des données à partir des instances en plus d'interagir avec le gestionnaire de systèmes AWS SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Téléchargez et installez l'agent sur l'instance EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Vous pouvez le télécharger depuis l'intérieur de l'EC2 ou l'installer automatiquement à l'aide du Gestionnaire de systèmes AWS en sélectionnant le package AWS-ConfigureAWSPackage

• Configurez et démarrez l'agent CloudWatch

Un groupe de journaux a de nombreux flux. Un flux a de nombreux événements. Et à l'intérieur de chaque flux, les événements sont garantis d'être dans l'ordre.

Actions

Énumération

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Références

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/