如何获取有关 CloudTrailAuthorizationFailures 警报的更多信息

Question

简短回答：
必须找到具有与警报名称匹配的指标过滤器集的 CloudWatch 日志组。

长答案
让我获得所需信息的观察顺序和步骤如下：

电子邮件不包含事件 ID。
使用 AWS 控制台查看 CloudTrail，无法根据错误代码进行查找。浏览页面时，似乎没有任何错误代码表明未经授权的访问。
找不到与电子邮件中收到的时间相关的 CloudTrail Insights。
电子邮件中有一条警报链接。不知道 CloudWatch 自定义指标“AuthorizationFailureCount”来自哪里，也没有可点击的内容来检查它映射到哪个 AWS 服务。
在 CloudWatch 下找到一个带有指标筛选器的日志组。单击AuthorizationFailuresMetricFilter筛选器会显示一些信息，包括 #4 中的指标是如何创建的。
在控制台中运行“测试模式”不会对某些日志流产生结果，但会对其他日志流产生结果。结果包括具有eventId和sharedEventID属性的事件 JSON。
在 CloudTrail 下找不到任何 ID（或共享 ID）与上述事件相匹配的事件。

因此，我现阶段的猜测是，在这个日志组中发现的事件是与引发警报的指标相关的事件的详尽列表。

如果警报视图中有东西将其与任何相关日志组联系起来，整个过程就会简单得多，但事实并非如此。步骤 #5 是偶然发现的，与 #4 没有任何逻辑联系。

Answer 1

简短回答：
必须找到具有与警报名称匹配的指标过滤器集的 CloudWatch 日志组。

长答案
让我获得所需信息的观察顺序和步骤如下：

电子邮件不包含事件 ID。
使用 AWS 控制台查看 CloudTrail，无法根据错误代码进行查找。浏览页面时，似乎没有任何错误代码表明未经授权的访问。
找不到与电子邮件中收到的时间相关的 CloudTrail Insights。
电子邮件中有一条警报链接。不知道 CloudWatch 自定义指标“AuthorizationFailureCount”来自哪里，也没有可点击的内容来检查它映射到哪个 AWS 服务。
在 CloudWatch 下找到一个带有指标筛选器的日志组。单击AuthorizationFailuresMetricFilter筛选器会显示一些信息，包括 #4 中的指标是如何创建的。
在控制台中运行“测试模式”不会对某些日志流产生结果，但会对其他日志流产生结果。结果包括具有eventId和sharedEventID属性的事件 JSON。
在 CloudTrail 下找不到任何 ID（或共享 ID）与上述事件相匹配的事件。

因此，我现阶段的猜测是，在这个日志组中发现的事件是与引发警报的指标相关的事件的详尽列表。

如果警报视图中有东西将其与任何相关日志组联系起来，整个过程就会简单得多，但事实并非如此。步骤 #5 是偶然发现的，与 #4 没有任何逻辑联系。

相关内容