AWS - CloudWatch Enum

htARTE (HackTricks AWS Red Team Expert)에서 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

CloudWatch

CloudWatch는 로그/메트릭/이벤트 형태로 모니터링 및 운영 데이터를 수집하여 AWS 리소스, 애플리케이션 및 서비스의 통합된 뷰를 제공합니다. CloudWatch 로그 이벤트는 각 로그 라인마다 256KB의 크기 제한이 있습니다. 고해상도 알람을 설정하고 로그와 메트릭을 시각화하고 자동 조치를 취하며 문제를 해결하고 애플리케이션을 최적화하기 위한 통찰력을 얻을 수 있습니다.

예를 들어, CloudTrail의 로그를 모니터링할 수 있습니다. 모니터링되는 이벤트:

보안 그룹 및 NACL 변경
EC2 인스턴스 시작, 중지, 재부팅 및 종료
IAM 및 S3 내에서 보안 정책 변경
AWS Management Console에 대한 로그인 실패 시도
인증에 실패한 API 호출
CloudWatch에서 검색할 수 있는 필터: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logs

AWS 서비스(포함된 CloudTrail) 및 앱/시스템(CloudWatch Agent는 호스트에 설치될 수 있음)에서 로그를 집계 및 모니터링할 수 있습니다. 로그는 로그 그룹 설정에 따라 무기한으로 저장될 수 있으며 내보낼 수 있습니다.

요소:

로그 그룹

동일한 보존, 모니터링 및 액세스 제어 설정을 공유하는 로그 스트림의 컬렉션

로그 스트림

동일한 소스를 공유하는 로그 이벤트의 시퀀스

구독 필터

특정 로그 그룹에서 이벤트와 일치하는 필터 패턴을 정의하고, Kinesis Data Firehose 스트림, Kinesis 스트림 또는 Lambda 함수로 보냅니다.

CloudWatch 모니터링 및 이벤트

CloudWatch 기본은 데이터를 5분마다 집계합니다(자세한 모드는 1분마다 집계). 집계 후, 알람의 임계값을 확인하여 트리거해야 하는지 확인합니다. 이 경우, CloudWatch는 이벤트를 보내고 일부 자동 조치를 수행할 수 있습니다(AWS 람다 함수, SNS 토픽, SQS 큐, Kinesis 스트림).

에이전트 설치

기계/컨테이너 내부에 에이전트를 설치하여 로그를 자동으로 CloudWatch로 전송할 수 있습니다.

역할을 생성하고 CloudWatch가 인스턴스에서 데이터를 수집하고 AWS 시스템 관리자 SSM과 상호 작용할 수 있는 권한을 부여하는 인스턴스에 연결합니다(CloudWatchAgentAdminPolicy 및 AmazonEC2RoleforSSM).
EC2 인스턴스에 에이전트를 다운로드하고 설치합니다 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). EC2 내부에서 다운로드하거나 AWS 시스템 관리자를 사용하여 패키지 AWS-ConfigureAWSPackage를 자동으로 설치할 수 있습니다.
CloudWatch 에이전트를 구성하고 시작합니다.

로그 그룹에는 여러 개의 스트림이 있습니다. 스트림에는 여러 개의 이벤트가 있으며 각 스트림 내에서 이벤트는 순서대로 보장됩니다.

동작

열거

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

참고 자료

https://cloudsecdocs.com/aws/services/logging/cloudwatch/

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

前へAWS - CloudTrail Enum 次へAWS - Config Enum

最終更新 2 か月前