Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat CloudWatch alarm untuk CloudTrail acara: contoh
<a name="cloudwatch-alarms-for-cloudtrail"></a>

Topik ini menjelaskan cara mengonfigurasi alarm untuk CloudTrail acara, dan menyertakan contoh.

**Topics**
+ [Prasyarat](#cloudwatch-alarms-prerequisites)
+ [Buat filter metrik dan buat alarm](#cloudwatch-alarms-metric-filter-alarm)
+ [Contoh perubahan konfigurasi grup keamanan](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Contoh Konsol Manajemen AWS kegagalan masuk](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Contoh: Perubahan kebijakan IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Mengkonfigurasi notifikasi untuk alarm CloudWatch Log](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Prasyarat
<a name="cloudwatch-alarms-prerequisites"></a>

Sebelum Anda dapat menggunakan contoh dalam topik ini, Anda harus:
+ Buat jejak dengan konsol atau CLI.
+ Buat grup log, yang dapat Anda lakukan sebagai bagian dari membuat jejak. Untuk informasi selengkapnya tentang membuat jejak, lihat[Membuat jejak dengan CloudTrail konsol](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Tentukan atau buat peran IAM yang memberikan CloudTrail izin untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Default `CloudTrail_CloudWatchLogs_Role` melakukan ini untuk Anda.

Untuk informasi selengkapnya, lihat [Mengirim acara ke CloudWatch Log](send-cloudtrail-events-to-cloudwatch-logs.md). Contoh di bagian ini dilakukan di konsol Amazon CloudWatch Logs. Untuk informasi selengkapnya tentang cara membuat filter metrik dan alarm, lihat [Membuat metrik dari peristiwa log menggunakan filter dan Menggunakan CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) [alarm Amazon di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) Pengguna *Amazon CloudWatch *.

## Buat filter metrik dan buat alarm
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Untuk membuat alarm, Anda harus terlebih dahulu membuat filter metrik, dan kemudian mengkonfigurasi alarm berdasarkan filter. Prosedur ditampilkan untuk semua contoh. Untuk informasi selengkapnya tentang sintaks untuk filter metrik dan pola untuk peristiwa CloudTrail log, lihat bagian terkait JSON dari [Filter dan sintaks pola](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) di Panduan Pengguna *Amazon CloudWatch * Logs.

## Contoh perubahan konfigurasi grup keamanan
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat perubahan konfigurasi terjadi pada grup keamanan.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Log**, pilih **Grup log**.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Dari menu **Filter metrik** atau **Tindakan**, pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**SecurityGroupEvents**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**SecurityGroupEventCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Untuk **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **1** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**SecurityGroupEventCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**1**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, pilih **Pemberitahuan**, lalu pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan **SecurityGroupEventCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **Security group configuration changes** nama, dan **Raises alarms if security group configuration changes occur** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Contoh Konsol Manajemen AWS kegagalan masuk
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu ketika ada tiga atau lebih kegagalan Konsol Manajemen AWS masuk selama periode lima menit.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Log**, pilih **Grup log**.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Dari menu **Filter metrik** atau **Tindakan**, pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**ConsoleSignInFailures**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**ConsoleSigninFailureCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Pada halaman **Buat Alarm**, di **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **3** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**ConsoleSigninFailureCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**3**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, untuk **Pemberitahuan**, pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 3 peristiwa perubahan dalam 5 menit dilintasi, dan **ConsoleSigninFailureCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **Console sign-in failures** nama, dan **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Contoh: Perubahan kebijakan IAM
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat panggilan API dilakukan untuk mengubah kebijakan IAM.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pilih **Log** di panel navigasi.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Pilih **Tindakan**, lalu pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**IAMPolicyChanges**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**IAMPolicyEventCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Pada halaman **Buat Alarm**, di **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **1** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**IAMPolicyEventCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**1**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, untuk **Pemberitahuan**, pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan **IAMPolicyEventCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **IAM Policy Changes** nama, dan **Raises alarms if IAM policy changes occur** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Mengkonfigurasi notifikasi untuk alarm CloudWatch Log
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Anda dapat mengonfigurasi CloudWatch Log untuk mengirim pemberitahuan setiap kali alarm dipicu CloudTrail. Melakukannya memungkinkan Anda merespons dengan cepat peristiwa operasional penting yang ditangkap dalam CloudTrail peristiwa dan terdeteksi oleh CloudWatch Log. CloudWatch menggunakan Amazon Simple Notification Service (SNS) untuk mengirim email. Untuk informasi selengkapnya, lihat [Menyiapkan notifikasi Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) di *CloudWatch Panduan Pengguna*.