0

我有几个用于 cloudtrails 日志的 cloudwatch 过滤器,例如:

{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed = "No") }

每个过滤器都会触发警报,我会在邮箱上收到一条 SNS 通知,告诉我类似A user has logged in withtout MFA

我想收到来自 cloudwatch 的触发此警报的日志行,因此我可以通过解析日志立即知道哪个用户有故障,并触发一个机器人,要求用户修复此问题,而无需去cloudwatch ,手动检查并自己联系用户。

我可以制作一个以某种方式自动执行此操作的程序,但我想首先确保没有合适的 AWS 方法来执行此操作。

有没有办法自动接收邮件中的日志,或者通过任何其他自动方式?

非常感谢

4

1 回答 1

0

你为什么不使用$.userIdentity

$.userIdentity获得以下属性:

  • type
  • principalId
  • arn
  • accountId
  • userName

有了arn用户,您几乎可以做所有事情:-)

于 2017-06-21T10:10:09.790 回答