CloudWatch

CloudWatch sakuplja nadzorne i operativne podatke u obliku logova/metričkih podataka/događaja pružajući ujedinjen prikaz AWS resursa, aplikacija i usluga. CloudWatch Log Event ima ograničenje veličine od 256KB na svakoj liniji loga. Može postaviti alarme visoke rezolucije, vizualizovati logove i metrike jedno pored drugog, preduzimati automatske akcije, rešavati probleme i otkrivati uvide za optimizaciju aplikacija.

Možete pratiti na primer logove iz CloudTrail-a. Događaji koji se prate:

• Promene u Security Group-ama i NACL-ovima

• Pokretanje, zaustavljanje, restartovanje i gašenje EC2 instanci

• Promene u Security Policy-ima unutar IAM-a i S3

• Neuspeli pokušaji prijave na AWS Management Console

• API pozivi koji su rezultirali neuspelom autorizacijom

• Filteri za pretragu u cloudwatch-u: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logovi

Omogućava agregiranje i praćenje logova iz aplikacija i sistema iz AWS usluga (uključujući CloudTrail) i iz aplikacija/sistema (CloudWatch Agent može biti instaliran na hostu). Logovi mogu biti čuvani neograničeno dugo (u zavisnosti od podešavanja Log Group-a) i mogu biti izvezeni.

Elementi:

CloudWatch Nadgledanje i Događaji

CloudWatch osnovno agregira podatke svakih 5 minuta (detaljno to radi svakih 1 minut). Nakon agregacije, proverava pragove alarma u slučaju da treba da pokrene jedan. U tom slučaju, CloudWatch može biti spreman da pošalje događaj i izvrši neke automatske akcije (AWS lambda funkcije, SNS teme, SQS redovi, Kinesis Stream-ovi)

Instalacija Agent-a

Možete instalirati agente unutar vaših mašina/kontejnera da automatski šalju logove nazad u CloudWatch.

• Kreirajte ulogu i dodelite je instanci sa dozvolama koje omogućavaju CloudWatch-u da sakuplja podatke sa instanci i da interaguje sa AWS sistem menadžerom SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Preuzmite i instalirajte agent na EC2 instancu (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Možete ga preuzeti sa unutar EC2 ili ga automatski instalirati koristeći AWS System Manager i odabir paketa AWS-ConfigureAWSPackage

• Konfigurišite i pokrenite CloudWatch Agent-a

Log grupa ima mnogo stream-ova. Stream ima mnogo događaja. A unutar svakog stream-a, događaji su garantovano poređani.

Akcije

Enumeracija

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Reference

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/