我有一个AWS Log文件,记录登录成功和失败。我想创建一个警报,在发生来自同一IP地址或同一电子邮件地址的高登录失败事件时触发警报。
2015-11-08T17:41:29 login-fail 422 test@test.com 85.255.233.189
2015-11-08T17:59:58 login-fail 422 test@test.com 85.255.233.189
2015-11-08T18:17:27 login-success 201 test@test.com 85.255.233.189
计算登录失败次数的过滤器很简单: -
[datetime, result=login-fail, status, email, ip]
但是,当给定时间段内的电子邮件或IP地址相同时,是否有一种方法可以增强过滤器以匹配?
最终,我想创建一个警报,当检测到异常活动时,它会自动更新VPC网络ACL以阻止攻击IP地址,并阻止Web服务器接收任何顽皮的流量。
欢迎任何建议或其他方法。