Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos
<a name="cloudwatch-alarms-for-cloudtrail"></a>

En este tema se describe cómo configurar las alarmas de CloudTrail los eventos e incluye ejemplos.

**Topics**
+ [Requisitos previos](#cloudwatch-alarms-prerequisites)
+ [Creación de un filtro de métricas y de una alarma](#cloudwatch-alarms-metric-filter-alarm)
+ [Ejemplo de cambios de configuración del grupo de seguridad](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Ejemplo de errores Consola de administración de AWS de inicio de sesión](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Ejemplo: cambios en política de IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configurar las notificaciones para las alarmas CloudWatch de Logs](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Requisitos previos
<a name="cloudwatch-alarms-prerequisites"></a>

Para poder utilizar los ejemplos en este tema, debe:
+ Creación de un registro de seguimiento con la consola o CLI.
+ Creación de un grupo de registros como parte de la creación de un registro de seguimiento. Para obtener más información acerca de la creación de un registro de seguimiento, consulte [Crear un sendero con la CloudTrail consola](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Especifique o cree una función de IAM que conceda CloudTrail los permisos para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro. El valor predeterminado `CloudTrail_CloudWatchLogs_Role` se encarga de ello por usted.

Para obtener más información, consulte [Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md). Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear filtros y alarmas de métricas, consulte [Creación de métricas a partir de eventos de registro mediante filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) y [Uso de CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.

## Creación de un filtro de métricas y de una alarma
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de CloudTrail registro, consulte las secciones relacionadas con JSON de la [sintaxis de filtros y patrones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) en la Guía del *usuario de Amazon CloudWatch Logs*.

## Ejemplo de cambios de configuración del grupo de seguridad
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan cambios de configuración en los grupos de seguridad.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, en **Registros**, seleccione **Grupos de registros**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. En el menú **Filtros de métrica** o **Acciones**, seleccione **Crear filtro de métrica**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **SecurityGroupEvents**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **SecurityGroupEventCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En **Especificar métrica y condiciones**, introduzca lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **1** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **SecurityGroupEventCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **1**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, elija **Notificación** y, a continuación, **en alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se **SecurityGroupEventCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **Security group configuration changes** para el nombre y **Raises alarms if security group configuration changes occur** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Ejemplo de errores Consola de administración de AWS de inicio de sesión
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan tres o más errores de Consola de administración de AWS inicio de sesión durante un período de cinco minutos.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, en **Registros**, seleccione **Grupos de registros**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. En el menú **Filtros de métrica** o **Acciones**, seleccione **Crear filtro de métrica**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **ConsoleSignInFailures**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **ConsoleSigninFailureCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En la página **Create Alarm (Crear alarma)**, vaya a **Specify metric and conditions (Especificar métrica y condiciones)** e ingrese lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **3** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **ConsoleSigninFailureCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **3**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, en **Notificación**, selecciona **En alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 3 cambios en 5 minutos y se **ConsoleSigninFailureCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **Console sign-in failures** para el nombre y **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Ejemplo: cambios en política de IAM
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se realice una llamada a la API para cambiar una política de IAM.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, elija **Logs (Registros)**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. Elija **Actions (Acciones)** y, a continuación, seleccione **Create metric filter (Crear filtro de métrica)**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **IAMPolicyChanges**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **IAMPolicyEventCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En la página **Create Alarm (Crear alarma)**, vaya a **Specify metric and conditions (Especificar métrica y condiciones)** e ingrese lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **1** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **IAMPolicyEventCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **1**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, en **Notificación**, selecciona **En alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se **IAMPolicyEventCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **IAM Policy Changes** para el nombre y **Raises alarms if IAM policy changes occur** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Configurar las notificaciones para las alarmas CloudWatch de Logs
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Puede configurar CloudWatch los registros para que envíen una notificación cada vez que se active una alarma CloudTrail. Esto le permite responder rápidamente a los eventos operativos críticos capturados en los CloudTrail eventos y detectados por CloudWatch los registros. CloudWatch utiliza Amazon Simple Notification Service (SNS) para enviar correos electrónicos. Para obtener más información, consulte [Configuración de las notificaciones de Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) en la Guía del *CloudWatch usuario*.