AWS - CloudWatch Enum

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

CloudWatch

CloudWatch inakusanya data ya ufuatiliaji na uendeshaji kwa mfumo wa logs/metrics/events ikitoa mtazamo wa pamoja wa rasilimali za AWS, programu na huduma. Tukio la Log la CloudWatch lina kikomo cha ukubwa wa 256KB kwa kila mstari wa log. Inaweza kuweka vifaa vya kengele vya azimio kubwa, kuonyesha logs na metrics kando kando, kuchukua hatua za moja kwa moja, kutatua matatizo, na kugundua ufahamu wa kuboresha programu.

Unaweza kufuatilia kwa mfano logs kutoka CloudTrail. Matukio yanayofuatiliwa ni pamoja na:

Mabadiliko kwenye Vikundi vya Usalama na NACLs
Kuanza, Kusimamisha, kuanzisha upya na kufuta mifano ya EC2
Mabadiliko kwenye Sera za Usalama ndani ya IAM na S3
Jaribio lisilofanikiwa la kuingia kwenye Konsoli ya Usimamizi ya AWS
Wito wa API uliosababisha idhini isiyofanikiwa
Vichujio vya kutafuta katika cloudwatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

CloudWatch Logs

Inaruhusu kukusanya na kufuatilia logs kutoka kwa programu na mifumo kutoka kwa huduma za AWS (ikiwa ni pamoja na CloudTrail) na kutoka kwa programu/mifumo (CloudWatch Agent inaweza kusakinishwa kwenye mwenyeji). Logs zinaweza kuhifadhiwa milele (kulingana na mipangilio ya Kikundi cha Logi) na zinaweza kusafirishwa.

Vipengele:

Kikundi cha Logi

Mkusanyiko wa mito ya logi ambayo inashiriki mipangilio sawa ya uhifadhi, ufuatiliaji, na udhibiti wa ufikiaji

Mto wa Logi

Mfululizo wa matukio ya logi ambayo yanashiriki chanzo sawa

Vichujio vya Usajili

Inaainisha muundo wa kichujio kinacholingana na matukio katika kikundi cha logi fulani, kisha kuvituma kwenye mtiririko wa Kinesis Data Firehose, mtiririko wa Kinesis, au kazi ya Lambda

Ufuatiliaji na Matukio ya CloudWatch

CloudWatch msingi unakusanya data kila baada ya dakika 5 (ile ya kina hufanya hivyo kila baada ya dakika 1). Baada ya kufanya ukusanyaji, inachunguza vizingiti vya vifaa vya kengele ikiwa inahitaji kuzindua moja. Katika kesi hiyo, CloudWatch inaweza kuwa tayari kutuma tukio na kutekeleza baadhi ya hatua za moja kwa moja (kazi za Lambda za AWS, mada za SNS, foleni za SQS, Mtiririko wa Kinesis)

Usakinishaji wa Agent

Unaweza kusakinisha mawakala ndani ya mashine/kontena yako ili kutuma logs moja kwa moja kwenye CloudWatch.

Unda jukumu na ambatisha kwa mfano na ruhusa inayoruhusu CloudWatch kukusanya data kutoka kwa mifano pamoja na kuingiliana na msimamizi wa mifumo wa AWS SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
Pakua na sakinisha mawakala kwenye mifano ya EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Unaweza kuidownload kutoka ndani ya EC2 au kuaisakinisha moja kwa moja kwa kutumia Mfumo wa AWS Manager kwa kuchagua pakiti ya AWS-ConfigureAWSPackage
Sanidi na anzisha Mawakala wa CloudWatch

Kikundi cha logi kina mito mingi. Mto una matukio mengi. Na ndani ya kila mto, matukio yamehakikishiwa kuwa kwa mpangilio.

Hatua

Uchambuzi wa Kina

# Dashboards
aws cloudwatch list-dashboards
aws cloudwatch get-dashboard --dashboard-name <dashboard_name>

# Alarms
aws cloudwatch describe-alarms
aws cloudwatch describe-alarm-history
aws cloudwatch describe-alarms-for-metric --metric-name <metric_name> --namespace <namespace>
aws cloudwatch describe-alarms-for-metric --metric-name IncomingLogEvents --namespace AWS/Logs

# Anomaly Detections
aws cloudwatch describe-anomaly-detectors
aws cloudwatch describe-insight-rules

# Logs
aws logs tail "<log_group_name>" --follow
aws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# Events enumeration
aws events list-rules
aws events describe-rule --name <name>
aws events list-targets-by-rule --rule <name>
aws events list-archives
aws events describe-archive --archive-name <name>
aws events list-connections
aws events describe-connection --name <name>
aws events list-endpoints
aws events describe-endpoint --name <name>
aws events list-event-sources
aws events describe-event-source --name <name>
aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Marejeo

https://cloudsecdocs.com/aws/services/logging/cloudwatch/

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.

PreviousAWS - CloudTrail Enum NextAWS - Config Enum

Last updated 2 months ago