As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação CloudWatch de alarmes para CloudTrail eventos: exemplos
Este tópico descreve como configurar alarmes para CloudTrail eventos e inclui exemplos.
**Topics**
+ [Pré-requisitos](#cloudwatch-alarms-prerequisites)
+ [Criar um filtro de métrica e um alarme](#cloudwatch-alarms-metric-filter-alarm)
+ [Exemplo: alterações de configuração no grupo de segurança](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Exemplo de Console de gerenciamento da AWS falhas de login](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Exemplo: alterações na política do IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configurando notificações para alarmes de CloudWatch registros](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)
## Pré-requisitos
Antes de usar os exemplos deste tópico, você deve:
+ Criar uma trilha com o console do ou a CLI.
+ Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte [Criando uma trilha com o CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Especifique ou crie uma função do IAM que CloudTrail conceda as permissões para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse stream de registros. O `CloudTrail_CloudWatchLogs_Role` padrão cuida disso para você.
Para obter mais informações, consulte [Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Os exemplos nesta seção são apresentados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros métricos e alarmes, consulte [Criação de métricas a partir de eventos de log usando filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) e Uso de [ CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*.
## Criar um filtro de métrica e um alarme
Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe de filtros métricos e padrões para eventos de CloudTrail log, consulte as seções relacionadas a JSON de [Filtro e sintaxe de padrões no Guia do usuário](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) do *Amazon CloudWatch * Logs.
## Exemplo: alterações de configuração no grupo de segurança
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando ocorrem alterações de configuração em grupos de segurança.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Logs**, escolha **Grupos de logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. No menu **Filtros métricos** ou **Ações**, escolha **Criar filtro métrico**.
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **SecurityGroupEvents**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **SecurityGroupEventCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Em **Especificar métrica e condições**, insira o seguinte.
1. Em **Graph** (Gráfico), a linha é definida em **1** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **SecurityGroupEventCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **1**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, escolha **Notificação** e, em seguida, escolha **Em alarme**, o que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e **SecurityGroupEventCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **Security group configuration changes** para o nome e **Raises alarms if security group configuration changes occur** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Exemplo de Console de gerenciamento da AWS falhas de login
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando há três ou mais falhas de Console de gerenciamento da AWS login durante um período de cinco minutos.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Logs**, escolha **Grupos de logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. No menu **Filtros métricos** ou **Ações**, escolha **Criar filtro métrico**.
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **ConsoleSignInFailures**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **ConsoleSigninFailureCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Na página **Create Alarm** (Criar alarme), em **Specify metric and conditions** (Especificar métrica e condições), faça o seguinte:
1. Em **Graph** (Gráfico), a linha é definida em **3** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **ConsoleSigninFailureCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **3**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, em **Notificação**, escolha **Em alarme**, que indica que a ação é tomada quando o limite de 3 eventos de alteração em 5 minutos é ultrapassado e **ConsoleSigninFailureCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **Console sign-in failures** para o nome e **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Exemplo: alterações na política do IAM
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando uma chamada de API é feita para alterar uma política do IAM.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. Escolha **Actions** (Ações) e **Create metric filter** (Criar filtro de métrica).
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **IAMPolicyChanges**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **IAMPolicyEventCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Na página **Create Alarm** (Criar alarme), em **Specify metric and conditions** (Especificar métrica e condições), faça o seguinte:
1. Em **Graph** (Gráfico), a linha é definida em **1** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **IAMPolicyEventCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **1**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, em **Notificação**, escolha **Em alarme**, que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e **IAMPolicyEventCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **IAM Policy Changes** para o nome e **Raises alarms if IAM policy changes occur** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Configurando notificações para alarmes de CloudWatch registros
Você pode configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos capturados em CloudTrail eventos e detectados pelo CloudWatch Logs. CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte [Configuração de notificações do Amazon SNS no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) do *CloudWatch usuário*.