我为cloudtrails日志提供了几个cloudwatch过滤器,例如:
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed = "No") }
每个过滤器触发一个警报,我在邮箱上收到SNS通知,告诉我A user has logged in withtout MFA
但我想收到的是来自cloudwatch的触发此警报的日志行,因此我可以通过解析日志立即知道哪个用户有问题,并触发一个会询问用户可以修复此问题,无需转到cloudwatch,手动检查并自行联系用户。
我可以创建一个以某种方式自动执行此操作的程序,但我想首先确保没有适当的AWS方法来执行此操作。
有没有办法通过邮件或任何其他自动方式自动接收日志?
非常感谢
答案 0 :(得分:0)
为什么不使用$.userIdentity?
$.userIdentity获得以下属性:
type principalId arn accountId userName 使用arn用户,您几乎可以做任何事情: - )