Analisando erros de ação de serviço da AWS
O CloudTrail é um serviço que permite a governança, a conformidade, a auditoria operacional e a auditoria de risco da sua conta da AWS. Qualquer utilizador, função ou serviço que tente com êxito ou sem êxito atuar como um serviço na AWS irá gerar um registo contendo informações sobre esse evento. Pretende utilizar erros nesses registos não só para alertas, mas também para a procura de segurança proactiva.
Como utilizar o software Splunk para este caso de utilização
-
Execute a seguinte pesquisa. Pode optimizá-lo especificando um índice e ajustando o intervalo de tempo
sourcetype=aws:cloudtrail |stats count BY errorCode |sort - count
-
Depois de encontrar os erros que pretende investigar, execute a seguinte pesquisa:
sourcetype=aws:cloudtrail errorCode=<error name> |table awsregion eventName userName src_ip userAgent errorMessage
Explicação de pesquisa
| Pesquisa Splunk | Explicação |
|---|---|
| sourcetype=aws:cloudtrail | Pesquise apenas logs do AWS CloudTrail. |
| |contagem de estatísticas POR código de erro | Calcule um total de contagem para cada código de erro. |
| |ordenar - contagem | Ordenar com o que ocorre com mais frequência primeiro. |
| Código de erro = <error name> | Pesquise mais informações sobre um erro específico. |
| |tabela awsregion eventName Nome de usuário src_ip UserAgent ErrorMessage | Exiba os resultados numa tabela com colunas na ordem mostrada. |
Próximos passos
Este recurso adicional do Splunk pode ajudá-lo a compreender e implementar estas recomendações: