EC2セキュリティアップデートのAWSCloudWatchメトリック
EC2(Ubuntu)インスタンスで保留中のセキュリティアップデートを追跡するAWS CloudWatchメトリックスを作成することは可能ですか?アイデアは、セキュリティパッチを必要としているEC2インスタンスの概要をすばやく把握することです。このためのメトリクスを作成することで、ログインして個々のインスタンスの保留中のセキュリティパッチを確認する代わりに、CloudWatchダッシュボードに追加して概要をすばやく確認できます。
インスタンスは aws-mon-scripts インストールされ、ディスク使用量やメモリ使用率などのメトリックをすでに転送している必要があります。だからおそらくこれは行く方法ですか?
明確にするために、必要なメトリックは、EC2インスタンスにログインするときにプロンプトが表示される利用可能なセキュリティパッチの量に特に基づいています。例えば:
102 packages can be updated.
7 updates are security updates.
put-metrics-data エンドポイントを使用して、カスタムメトリクスをCloudWatchに発行できます。これは、次のようにCLIで使用できます。
aws cloudwatch put-metric-data --namespace "Security Updates" --metric-data file://tmp/security_updates.json
これを機能させるには、更新の数を次のような形式でjsonファイルに保存するbashスクリプトを作成する必要があります。
[
{
"MetricName": "Security Updates",
"Timestamp": "Wednesday, June 12, 2013 8:28:20 PM",
"Value": 5,
"Unit": "Count"
}
]
スクリプトをトリガーして利用可能なセキュリティアップデートの数を収集するcronジョブと、データポイントをCloudWatchに公開する別のcronジョブを設定します。
サービスソリューションとしてお探しの場合は、 Amazon Inspector と統合されている CloudWatch もチェックしてください。