Utilisation de fichiers CloudTrail journaux - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de fichiers CloudTrail journaux

Vous pouvez effectuer des tâches plus avancées avec vos CloudTrail fichiers.

  • Créer plusieurs journaux de suivi par région.

  • Surveillez les fichiers CloudTrail journaux en les envoyant à CloudWatch Logs.

  • Partager des fichiers journaux entre les comptes.

  • Utilisez la bibliothèque AWS CloudTrail de traitement pour écrire des applications de traitement des journaux en Java.

  • Validez vos fichiers journaux pour vérifier qu'ils n'ont pas changé après leur livraison CloudTrail.

Lorsqu'un événement se produit dans votre compte, CloudTrail évalue si l'événement correspond aux paramètres de vos sentiers. Seuls les événements correspondant à vos paramètres de suivi sont transmis à votre compartiment Amazon S3 et à votre groupe de CloudWatch journaux Amazon Logs.

Vous pouvez configurer plusieurs journaux d’activité différemment pour que ceux-ci traitent et journalisent uniquement les événements que vous spécifiez. Par exemple, un journal d'activité peut journaliser les événements de données et de gestion en lecture seule, de sorte que tous les événements en lecture seule soient livrés à un compartiment S3. Un autre journal d'activité peut journaliser uniquement les événements de gestion et de données en écriture seule, de sorte que tous les événements en écriture seule soient livrés à un compartiment S3 distinct.

Vous pouvez également configurer vos journaux d’activité pour que l’un des suivis livre tous les événements de gestion dans un compartiment S3 et qu’un autre suivi livre tous les événements de données dans un autre compartiment S3.

Vous pouvez configurer vos journaux d’activité pour journaliser les éléments suivants :

  • Événements de données : ces événements fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom d’opérations de plans de données.

  • Événements de gestion : les événements de gestion fournissent une visibilité sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom d’opérations de plan de contrôle. Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour plus d’informations, consultez Événements non liés à l'API capturés par CloudTrail.

  • Événements Insights : les événements Insights capturent l’activité inhabituelle qui est détectée dans votre compte. Si les événements Insights sont activés et que vous CloudTrail détectez une activité inhabituelle, les événements Insights sont enregistrés dans le compartiment S3 de destination pour votre parcours, mais dans un dossier différent. Vous pouvez également voir le type d'événement Insights et la période de l'incident lorsque vous consultez les événements Insights sur la CloudTrail console. Contrairement aux autres types d'événements capturés lors d'un CloudTrail suivi, les événements Insights sont enregistrés uniquement lorsque des modifications de l'utilisation de l'API de votre compte sont CloudTrail détectées et qu'elles diffèrent considérablement des modèles d'utilisation habituels du compte.

    Les événements Insights sont générés uniquement pour les API de gestion. Pour plus d’informations, consultez Journalisation des événements Insights.

Note

CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le Contrat de niveau de service (SLA)AWS CloudTrail.

Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.

Rubriques