Q21 — AWS DOP-C02 第3章
第 21/100 题 | ← 返回第3章
某公司的DevOps工程师在多账户环境下工游。该公司使难AWS Transit Gateway通活网络运愿帐户路由职响出归呢量。在network Operations帐户中,职响帐户呢量都名通活防火墙设青进行检查,面后状名进笔互联网网关。 防火墙设青将日志发送到Amazon CloudWatch日志,包括严重、高、中、味和信息的事件严重性。安全升队希望在发生任何重改事件 唱收到警报。 DevOps工程师应该如何两足这些要求?
- A. 创建一个Amazon CloudWatch合成金丝雀来监控防火墙状态。如果防火墙达到临界状态或记录了临界事件,使用CloudWatch警报 向Amazon简单通知服务(Amazon SNS)主题发布通知。将安全团队的电子邮件地址订阅到该主题。
- B. 通过搜索关键事件来创建Amazon CloudWatch指标过滤器。发布调查结果的自定义指标。使用基于自定义指标的CloudWatch警报 向Amazon简单通知服务(Amazon SNS)主题发布通知。将安全团队的电子邮件地址订阅到该主题。 ✓
- C. 在网络运营账户中启用亚马逊守卫职责。配置GuardDuty以监控流日志。创建一个Amazon EventBridge事件规则,由重要的 GuardDuty事件调用。定义一个Amazon简单通知服务(Amazon SNS)主题作为目标。将安全团队的电子邮件地址订阅到该主题。
- D. 使用AWS防火墙管理器对所有帐户应用一致的策略。创建一个Amazon EventBridge事件规则,由重要的防火墙管理器事件调用。 定义一个Amazon简单通知服务(Amazon SNS)主题作为目标。将安全团队的电子邮件地址订阅到该主题。
正确答案: B. 通过搜索关键事件来创建Amazon CloudWatch指标过滤器。发布调查结果的自定义指标。使用基于自定义指标的CloudWatch警报 向Amazon简单通知服务(Amazon SNS)主题发布通知。将安全团队的电子邮件地址订阅到该主题。
解析
AWS环境中的日志监控与告警配置通常涉及将特定日志事件转换为可跟踪的指标。题目中防火墙日志已发送到CloudWatch,需基于日志的严重性级别触发告警。AWS文档指出,CloudWatch指标过滤器能够从日志数据中提取匹配特定模式的事件,生成自定义指标。选项B通过创建指标过滤器识别关键事件,将匹配的事件发布为自定义指标,并关联CloudWatch警报,警报触发时通过SNS通知安全团队。其他选项未直接利用现有CloudWatch日志的处理能力:选项A的合成器适用于端点监控而非日志分析;选项C的GuardDuty需额外配置且依赖流日志而非现有防火墙日志;选项D的防火墙管理器主责策略管理而非日志告警。正确方法应聚焦日志内容筛选与指标转换,即选项B的流程。