CloudWatch

CloudWatch raccoglie dati di monitoraggio e operativi sotto forma di log/metriche/eventi fornendo una visione unificata delle risorse, delle applicazioni e dei servizi AWS. Gli eventi di log di CloudWatch hanno un limite di dimensione di 256KB per ogni riga di log. Può impostare allarmi ad alta risoluzione, visualizzare log e metriche affiancati, eseguire azioni automatizzate, risolvere problemi e scoprire informazioni per ottimizzare le applicazioni.

È possibile monitorare ad esempio i log di CloudTrail. Eventi che vengono monitorati:

• Modifiche ai gruppi di sicurezza e alle ACL

• Avvio, arresto, riavvio e terminazione delle istanze EC2

• Modifiche alle politiche di sicurezza all'interno di IAM e S3

• Tentativi di accesso non riusciti alla console di gestione AWS

• Chiamate API che hanno causato un'autorizzazione non riuscita

• Filtri per la ricerca in cloudwatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logs

Consente di aggregare e monitorare i log delle applicazioni e dei sistemi dai servizi AWS (incluso CloudTrail) e dai sistemi/applicazioni (l'agente CloudWatch può essere installato su un host). I log possono essere archiviati indefinitamente (a seconda delle impostazioni del gruppo di log) e possono essere esportati.

Elementi:

Monitoraggio ed eventi di CloudWatch

CloudWatch base aggrega i dati ogni 5 minuti (quello dettagliato lo fa ogni 1 minuto). Dopo l'aggregazione, verifica le soglie degli allarmi nel caso in cui sia necessario attivarne uno. In tal caso, CloudWatch può essere preparato per inviare un evento e eseguire alcune azioni automatiche (funzioni AWS lambda, argomenti SNS, code SQS, flussi Kinesis)

Installazione dell'agente

È possibile installare agenti all'interno delle proprie macchine/contenitori per inviare automaticamente i log a CloudWatch.

• Crea un ruolo e collegalo all'istanza con le autorizzazioni che consentono a CloudWatch di raccogliere dati dalle istanze oltre a interagire con AWS Systems Manager SSM (CloudWatchAgentAdminPolicy e AmazonEC2RoleforSSM)

• Scarica e installa l'agente sull'istanza EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Puoi scaricarlo dall'interno dell'istanza EC2 o installarlo automaticamente utilizzando AWS System Manager selezionando il pacchetto AWS-ConfigureAWSPackage

• Configura e avvia l'agente CloudWatch

Un gruppo di log ha molti flussi. Un flusso ha molti eventi. E all'interno di ogni flusso, gli eventi sono garantiti essere in ordine.

Azioni

Enumerazione

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Riferimenti

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/