Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - CloudWatch Enum

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)

HackTricksをサポートする他の方法:

  • HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!

  • 公式PEASS&HackTricksスワッグを入手する

  • The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける

  • Discordグループ参加する💬(https://discord.gg/hRep4RUj7f)またはtelegramグループに参加するか、Twitter🐦でフォローする@hacktricks_live

  • HackTricks(https://github.com/carlospolop/hacktricks)およびHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

CloudWatch

CloudWatchは、ログ/メトリクス/イベントの形式で監視および運用データを収集し、AWSリソース、アプリケーション、およびサービスの統合ビューを提供します。 CloudWatchログイベントは、各ログ行に256KBのサイズ制限があります。 高解像度のアラームを設定したり、ログメトリクスを並べて表示したり、自動アクションを実行したり、問題をトラブルシューティングしたり、アプリケーションを最適化するための洞察を見つけたりできます。

たとえば、CloudTrailからのログを監視できます。監視されるイベント:

CloudWatchログ

AWSサービス(CloudTrailを含む)およびアプリケーション/システムからのログを集約および監視できます(CloudWatchエージェントをホストにインストールできます)。ログは無期限に保存できます(ロググループの設定による)。

要素

ロググループ

同じ保持、監視、およびアクセス制御設定を共有するログストリームのコレクション

ログストリーム

同じソースを共有するログイベントのシーケンス

サブスクリプションフィルタ

特定のロググループ内のイベントに一致するフィルタパターンを定義し、それらをKinesis Data Firehoseストリーム、Kinesisストリーム、またはLambda関数に送信します

CloudWatchモニタリング&イベント

CloudWatch basicはデータを5分ごとに集約します(detailed1分ごとに行います)。集約後、アラームの閾値をチェックして、トリガーする必要があるかどうかを確認します。 その場合、CloudWatchはイベントを送信し、自動アクション(AWS Lambda関数、SNSトピック、SQSキュー、Kinesisストリーム)を実行する準備ができています。

エージェントのインストール

マシン/コンテナ内にエージェントをインストールして、ログを自動的にCloudWatchに送信できます。

  • ロール作成し、CloudWatchがインスタンスからデータを収集する権限とAWSシステムマネージャSSMとのやり取りを許可する権限を持つインスタンスアタッチします(CloudWatchAgentAdminPolicy&AmazonEC2RoleforSSM)

  • EC2インスタンスにエージェントダウンロードしてインストールします(https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip)。EC2内からダウンロードするか、AWS System Managerを使用してパッケージAWS-ConfigureAWSPackageを選択して自動的にインストールできます

  • CloudWatchエージェントを構成して開始します

ロググループには多くのストリームがあります。ストリームには多くのイベントがあります。そして、各ストリームの中で、イベントは順番に保証されています。

アクション

列挙

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

参考文献

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)

HackTricksをサポートする他の方法:

前へAWS - CloudTrail Enum次へAWS - Config Enum

最終更新