Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment CloudTrail fonctionne
Vous avez automatiquement accès à l'historique des CloudTrail événements lorsque vous créez votre Compte AWS. L'Historique des événements fournit un enregistrement consultable, interrogeable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés d'une Région AWS.
Pour un enregistrement continu des événements de vos 90 Compte AWS derniers jours, créez un magasin de données sur les événements de Trail ou CloudTrail Lake.
Rubriques
CloudTrail Historique de l'événement
Vous pouvez facilement consulter les événements de gestion des 90 derniers jours dans la CloudTrail console en accédant à la page Historique des événements. Vous pouvez également consulter l'historique des événements en exécutant la commande aws cloudtrail
lookup-events ou l'opération d'API LookupEvents. Vous pouvez effectuer des recherches d’événement dans Event history (Historique des événements) en filtrant les événements via un seul attribut. Pour plus d’informations, consultez Utilisation de l'historique des CloudTrail événements.
L'Historique des événements n'est pas connecté aux journaux de suivi ou aux entrepôts de données d'événement présents dans votre compte et n'est pas affecté par les modifications de configuration que vous apportez à vos journaux de suivi et entrepôts de données d'événement.
L'affichage de la CloudTrail page d'historique des événements ou l'exécution de la lookup-events commande sont gratuits.
CloudTrail Magasins de données sur les lacs et les événements
Vous pouvez créer un magasin de données d'événements pour enregistrer les CloudTrail événements (événements de gestion, événements de données), les événements CloudTrail Insights, les AWS Audit Manager preuves, les éléments de AWS Config configuration ou les événements extérieurs à AWS.
Les magasins de données d'événements peuvent enregistrer des événements provenant du compte actuel Région AWS ou de tous Régions AWS les événements de votre AWS compte. Les magasins de données d'événements que vous utilisez pour enregistrer des événements d'intégration provenant de l'extérieur AWS doivent être destinés à une seule région ; ils ne peuvent pas être des magasins de données d'événements multirégionaux.
Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un magasin de données d'événements d'organisation qui enregistre tous les événements pour tous les AWS comptes de cette organisation. Les magasins de données d’événement d’organisation peuvent s’appliquer à l’ensemble des régions AWS ou à la région actuelle. Les entrepôts de données d'événement d'organisation doivent être créés à l'aide du compte de gestion ou du compte de l'administrateur délégué et, lorsqu'il est spécifié qu'ils s'appliquent à une organisation, ils sont automatiquement appliqués à tous les comptes membres de l'organisation. Les comptes membres ne peuvent pas afficher le magasin de données d’événement d’organisation, ni le modifier ou le supprimer. Les banques de données d'événements de l'organisation ne peuvent pas être utilisées pour collecter des événements provenant de l'extérieur de AWS. Pour plus d’informations, consultez Comprendre les banques de données sur les événements d'une organisation.
Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés par CloudTrail. Lorsque vous configurez un magasin de données d'événements, vous pouvez choisir d'utiliser le vôtre AWS KMS key. L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée. Pour plus d’informations, consultez Chiffrement des fichiers CloudTrail journaux à l'aide de AWS KMS clés (SSE-KMS).
Le tableau suivant fournit des informations sur les tâches que vous pouvez effectuer sur les banques de données d'événements.
| Tâche | Description |
|---|---|
|
Vous pouvez utiliser les tableaux de bord CloudTrail Lake pour visualiser les événements dans les magasins de données d'événements qui collectent des événements de gestion, des événements de données S3 ou des événements Insights. |
|
|
Configurez votre banque de données d'événements pour consigner les événements en lecture seule, en écriture seule ou tous les événements de gestion. Par défaut, les données relatives aux événements stockent les événements de gestion des journaux. |
|
|
Configurez votre banque de données d'événements pour enregistrer les événements de données. Vous pouvez utiliser des sélecteurs d'événements avancés pour filtrer les |
|
Configurez vos entrepôts de données d'événement pour journaliser les événements Insights afin de vous aider à identifier les activités inhabituelles associées aux appels d'API de gestion et à y répondre. Pour plus d’informations, consultez Journalisation des événements Insights. Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail |
|
Vous pouvez copier les événements du parcours dans un magasin de données d'événements nouveau ou existant pour créer un point-in-time instantané des événements enregistrés dans le parcours. |
|
Activer la fédération sur un magasin de données d'événements |
Vous pouvez fédérer un magasin de données d'événements pour voir les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et exécuter des requêtes SQL sur les données d'événements à l'aide d'Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. |
Arrêter ou démarrer l'ingestion d'événements dans un magasin de données d'événements |
Vous pouvez arrêter et démarrer l'ingestion d'événements dans les magasins de données d'événements qui collectent CloudTrail des événements de gestion et de données, ou des éléments AWS Config de configuration. |
Créez une intégration avec une source d'événements en dehors de AWS |
Vous pouvez utiliser les intégrations CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs. Pour plus d'informations sur les partenaires d'intégration disponibles, consultez AWS CloudTrail Lake Integrations. |
Afficher des exemples de requêtes Lake dans la CloudTrail console |
La CloudTrail console fournit un certain nombre d'exemples de requêtes qui peuvent vous aider à commencer à écrire vos propres requêtes. |
Les requêtes in CloudTrail sont créées en SQL. Vous pouvez créer une requête dans l'onglet CloudTrail Lake Editor en écrivant la requête en SQL à partir de zéro, ou en ouvrant une requête enregistrée ou un exemple de requête et en la modifiant. |
|
Enregistrer les résultats de la requête dans un compartiment S3 |
Lorsque vous exécutez une requête, vous pouvez enregistrer les résultats de la requête dans un compartiment S3. |
Vous pouvez télécharger un fichier CSV contenant les résultats de vos requêtes CloudTrail Lake enregistrés. |
|
Vous pouvez utiliser CloudTrail la validation de l'intégrité des résultats de requête pour déterminer si les résultats de la requête ont été modifiés, supprimés ou inchangés après CloudTrail leur transmission au compartiment S3. |
Pour plus d'informations sur CloudTrail Lake, consultezTravailler avec AWS CloudTrail Lake.
CloudTrail Les stockages et requêtes de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Lorsque vous exécutez des requêtes dans Lake, vous payez en fonction de la quantité de données analysées. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification
CloudTrail sentiers
Un journal de suivi est une configuration qui permet la transmission d’événements à un compartiment Amazon S3 que vous spécifiez. Vous pouvez également diffuser et analyser des événements dans un journal avec Amazon CloudWatch Logs et Amazon EventBridge.
Les sentiers peuvent enregistrer les événements CloudTrail de gestion, les événements liés aux données et les événements Insights.
Vous pouvez créer deux types de sentiers pour un Compte AWS : les sentiers multirégionaux et les sentiers à région unique.
- Sentiers multirégionaux
-
Lorsque vous créez un journal multirégional, enregistrez CloudTrail les événements dans l'ensemble Régions AWS de la AWS partition sur laquelle vous travaillez et délivre les fichiers journaux d' CloudTrail événements dans un compartiment S3 que vous spécifiez. Si un Région AWS est ajouté après avoir créé un parcours multirégional, cette nouvelle région est automatiquement incluse et les événements de cette région sont enregistrés. La création d'un journal de suivi multi-régions est une bonne pratique recommandée, car vous pouvez journaliser l'activité dans toutes les régions dans votre compte. Tous les sentiers que vous créez à l'aide de la CloudTrail console sont multirégionaux. Vous pouvez convertir un parcours à région unique en un parcours multirégional à l'aide du. AWS CLI Pour plus d’informations, consultez Créer un journal de suivi dans la console et Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions.
- Sentiers d'une seule région
-
Lorsque vous créez un parcours d'une seule région, CloudTrail enregistre les événements de cette région uniquement. Il fournit ensuite les fichiers journaux d' CloudTrail événements à un compartiment Amazon S3 que vous spécifiez. Vous ne pouvez créer un journal de suivi à région unique qu'à l'aide de l' AWS CLI. Si vous créez des pistes uniques supplémentaires, vous pouvez faire en sorte que ces pistes fournissent des fichiers journaux d' CloudTrail événements dans le même compartiment S3 ou dans des compartiments séparés. Il s'agit de l'option par défaut lorsque vous créez un parcours à l'aide de l'API AWS CLI ou de l' CloudTrail API. Pour plus d’informations, consultez Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.
Note
Pour les deux types de journaux de suivi, vous pouvez spécifier un compartiment Amazon S3 de n'importe quelle région.
Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un journal d'organisation qui enregistre tous les événements pour tous les AWS comptes de cette organisation. Les parcours d'organisation peuvent s'appliquer à toutes les AWS régions ou à la région actuelle. Les journaux de suivi d'une organisation doivent être créés en utilisant le compte de gestion et, s'il est spécifié qu'ils s'appliquent à une organisation, ils sont automatiquement appliqués à tous les comptes membres de l'organisation. Les comptes membres peuvent consulter l'historique de l'organisation, mais ne peuvent ni le modifier ni le supprimer. Par défaut, les comptes membres n'ont pas accès aux fichiers journaux d'un journal de suivi d'organisation dans le compartiment Amazon S3.
Par défaut, lorsque vous créez un journal dans la CloudTrail console, vos fichiers journaux d'événements sont chiffrés à l'aide d'une clé KMS. Si vous choisissez de ne pas activer le chiffrement SSE-KMS, vos journaux d'événements sont chiffrés à l'aide du chiffrement côté serveur (SSE) Amazon S3. Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le souhaitez. Vous pouvez également définir des règles de cycle de vie d'Amazon S3 pour archiver ou supprimer les fichiers journaux automatiquement. Si vous souhaitez recevoir des notifications lors de la transmission et de la validation des fichiers journaux, vous pouvez configurer des notifications Amazon SNS.
CloudTrail publie des fichiers journaux plusieurs fois par heure, environ toutes les 5 minutes. Ces fichiers journaux contiennent les appels d'API provenant des services du compte qui les prennent en charge CloudTrail. Pour plus d’informations, consultez CloudTrail services et intégrations pris en charge.
Note
CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le Contrat de niveau de service (SLA)AWS CloudTrail
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.
CloudTrail capture les actions effectuées directement par l'utilisateur ou pour le compte de l'utilisateur par un AWS service. Par exemple, un AWS CloudFormation CreateStack appel peut entraîner des appels d'API supplémentaires vers Amazon EC2, Amazon RDS, Amazon EBS ou d'autres services tels que requis par le modèle. AWS CloudFormation Ce comportement est normal et attendu. Vous pouvez déterminer si l'action a été entreprise par un AWS service grâce au invokedby champ figurant dans l' CloudTrailévénement.
Le tableau suivant fournit des informations sur les tâches que vous pouvez effectuer sur les sentiers.
| Tâche | Description |
|---|---|
|
Configurez vos parcours pour enregistrer les événements en lecture seule, en écriture seule ou tous les événements de gestion. |
|
|
Vous pouvez utiliser des sélecteurs d'événements avancés pour créer des sélecteurs précis afin de n'enregistrer que les événements de données qui vous intéressent. Lorsque vous utilisez des sélecteurs d'événements avancés, vous pouvez filtrer le |
|
|
Configurez vos journaux de suivi pour journaliser les événements Insights afin de vous aider à identifier les activités inhabituelles associées aux appels d’API de gestion et à y répondre. Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail |
|
|
Après avoir activé CloudTrail Insights on a trail, vous pouvez consulter jusqu'à 90 jours d'événements Insights à l'aide de la CloudTrail console ou du AWS CLI. |
|
|
Après avoir activé CloudTrail Insights on a trail, vous pouvez télécharger un fichier CSV ou JSON contenant les événements Insights des 90 derniers jours pour votre trail. |
|
|
Vous pouvez copier les événements de randonnée existants dans un magasin de données d'événements CloudTrail Lake pour créer un point-in-time instantané des événements enregistrés sur le sentier. |
|
|
Abonnez-vous à une rubrique pour recevoir des notifications concernant la livraison de fichiers journaux dans votre compartiment. Amazon SNS peut vous avertir de diverses manières, y compris par programmation à l’aide d’Amazon Simple Queue Service. NoteSi vous souhaitez recevoir des notifications SNS relatives aux livraisons de fichiers journaux de toutes les régions, spécifiez une seule rubrique SNS pour votre journal de suivi. Si vous souhaitez traiter tous les événements par programmation, consultez Utilisation de la bibliothèque CloudTrail de traitement. |
|
|
Recherchez et téléchargez vos fichiers journaux depuis le compartiment S3. |
|
|
Vous pouvez configurer votre journal pour envoyer des événements à CloudWatch Logs. Vous pouvez ensuite utiliser CloudWatch les journaux pour surveiller votre compte afin de détecter des appels et des événements d'API spécifiques. NoteSi vous configurez un suivi qui s'applique à toutes les régions pour envoyer des événements à un groupe de CloudWatch journaux, CloudTrail envoie les événements de toutes les régions à un seul groupe de journaux. |
|
|
Le chiffrement des fichiers journaux offre une couche de sécurité supplémentaire pour vos fichiers journaux. |
|
|
La validation de l'intégrité des fichiers journaux vous permet de vérifier que les fichiers journaux sont restés inchangés depuis leur CloudTrail livraison. |
|
|
Vous pouvez partager des fichiers journaux entre les comptes. |
|
|
Vous pouvez agréger les fichiers journaux provenant de plusieurs comptes dans un seul compartiment. |
|
|
Analysez vos CloudTrail résultats à l'aide d'une solution partenaire qui s'intègre à CloudTrail. Les solutions partenaires offrent une large gamme de fonctionnalités, telles que le journal de suivi des modifications, la résolution de problèmes et l'analyse de sécurité. |
Vous pouvez envoyer une copie de vos événements de gestion en cours à votre compartiment S3 gratuitement CloudTrail en créant un journal. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification
CloudTrail Événements Insights
AWS CloudTrail Insights aide AWS les utilisateurs à identifier les activités inhabituelles associées aux appels d'API et aux taux d'erreur des API et à y répondre en analysant en permanence les événements CloudTrail de gestion. CloudTrail Insights analyse vos modèles habituels de volume d'appels d'API et de taux d'erreur d'API, également appelés référence, et génère des événements Insights lorsque le volume d'appels ou les taux d'erreur sont en dehors des modèles normaux. Les événements Insights sur le volume d’appels d’API sont générés pour les API de gestion write, et les événements Insights sur le taux d’erreur de l’API sont générés pour les API de gestion read et write.
Par défaut, les magasins de données de CloudTrail parcours et d'événements n'enregistrent pas les événements Insights. Vous devez configurer votre banque de données de parcours ou d'événements pour consigner les événements Insights. Pour plus d’informations, consultez Enregistrement des événements Insights à l'aide du AWS Management Console et Enregistrement des événements Insights à l'aide du AWS Command Line Interface.
Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail
Affichage des événements Insights pour les sentiers et les magasins de données sur les événements
CloudTrail prend en charge les événements Insights à la fois pour les sentiers et les magasins de données d'événements, mais il existe certaines différences dans la façon dont vous visualisez et accédez aux événements Insights.
Affichage des événements Insights pour les journaux de suivi
Si les événements Insights sont activés sur un parcours et que vous CloudTrail détectez une activité inhabituelle, les événements Insights sont enregistrés dans un dossier ou un préfixe différent du compartiment S3 de destination de votre parcours. Vous pouvez également voir le type d'aperçu et la période de l'incident lorsque vous consultez les événements Insights sur la CloudTrail console. Pour plus d’informations, consultez Afficher CloudTrail les événements Insights pour les sentiers avec la console.
Une fois que vous avez activé CloudTrail Insights pour la première fois sur un trail, le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 36 heures, si une activité inhabituelle est détectée.
Affichage des événements Insights pour les entrepôts de données d'événement
Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui enregistre les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion. Pour plus d’informations, consultez Créez un magasin de données d'événements pour les événements Insights à l'aide de la console.
Une fois que vous avez activé CloudTrail Insights pour la première fois dans le magasin de données d'événements source, la transmission du premier événement Insights CloudTrail au magasin de données d'événements de destination peut prendre jusqu'à 7 jours, si une activité inhabituelle est détectée.
Si CloudTrail Insights est activé sur un magasin de données d'événements source et que vous CloudTrail détectez une activité inhabituelle, CloudTrail transmet les événements Insights à votre magasin de données d'événements de destination. Vous pouvez ensuite interroger votre banque de données d'événements de destination pour obtenir des informations sur vos événements Insights et éventuellement enregistrer les résultats de la requête dans un compartiment S3. Pour plus d’informations, consultez Création ou modification d'une requête à l'aide de la CloudTrail console et Afficher des exemples de requêtes avec la CloudTrail console.
Vous pouvez consulter le tableau de bord Insights Events pour visualiser les événements Insights dans votre banque de données d'événements de destination. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .
CloudTrail chaînes
CloudTrail prend en charge deux types de canaux :
- Canaux pour les intégrations de CloudTrail Lake avec des sources d'événements extérieures à AWS
-
CloudTrail Lake utilise des canaux pour transmettre des événements provenant de AWS l'extérieur à CloudTrail Lake par des partenaires externes qui travaillent avec CloudTrail ou depuis vos propres sources. Lorsque vous créez un canal, vous sélectionnez un ou plusieurs magasins de données d’événement pour stocker les événements provenant de la source du canal. Vous pouvez modifier les stockages de données d'événement de destination d'un canal selon vos besoins, à condition qu'ils soient configurés pour journaliser les événements d'activité. Lorsque vous créez un canal pour les événements d'un partenaire externe, vous fournissez un ARN de canal au partenaire ou à l'application source. La politique de ressources attachée au canal permet à la source de transmettre des événements via celui-ci. Pour plus d'informations, veuillez consulter les sections Créez une intégration avec une source d'événements en dehors de AWS et
CreateChannel(français non garanti) de la Référence d'API AWS CloudTrail . - Canaux liés à un service
-
AWS les services peuvent créer un canal lié au service pour recevoir des CloudTrail événements en votre nom. Le AWS service qui crée le canal lié au service configure les sélecteurs d'événements avancés pour le canal et indique si le canal s'applique à toutes les régions ou à la région actuelle.
Vous pouvez utiliser la CloudTrail console ou AWS CLIpour afficher des informations sur les canaux CloudTrail liés à un service créés par. Services AWS
