Afficher les événements CloudTrail Insights pour les journaux de suivi dans la console CloudTrail - AWS CloudTrail
Filtrage des événements InsightsAffichage des détails des événements InsightsZoomer, panoramiquer et télécharger un graphiqueModifier les paramètres de période du graphiqueTéléchargement d'événements Insights

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher les événements CloudTrail Insights pour les journaux de suivi dans la console CloudTrail

Après avoir activé les événements CloudTrail Insights sur un journal d'activité, lorsque CloudTrail détecte une activité inhabituelle de l'API ou de taux d’erreur, CloudTrail génère les événements Insights et les affiche dans les pages Dashboard (Tableau de bord) et Insights dans la AWS Management Console. Vous pouvez afficher les événements Insights dans la console et résoudre les problèmes liés à l'activité inhabituelle. Les événements Insights des 90 derniers jours sont affichés dans la console. Vous pouvez également télécharger les événements Insights à l'aide de la console AWS CloudTrail. Vous pouvez rechercher des événements par programmation à l'aide des kits SDK AWS ou de AWS Command Line Interface. Pour plus d'informations sur les événements CloudTrail Insights, consultez Journalisation des événements Insights dans ce guide.

Note

Pour enregistrer les événements Insights sur le volume d'appels des API, le journal doit enregistrer les événements de gestion write. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal de suivi doit enregistrer les événements de gestion read ou write.

Une fois les événements Insights journalisés, les événements sont affichés sur la page Insights pendant 90 jours. Vous ne pouvez pas supprimer manuellement des événements de la page Insights. Étant donné que vous devez créer un journal d'activité avant de pouvoir activer CloudTrail Insights, vous pouvez afficher les événements Insights qui y sont consignés dans la mesure où vous les stockez dans le compartiment S3 configuré dans vos paramètres de journal d'activité.

Surveillez vos journaux d'activité et recevez une notification lorsqu'une activité d'événements Insights spécifiques se produit avec Amazon CloudWatch Logs. Pour plus d'informations, consultez Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatch Logs.

Pour afficher les événements Insights

Les événements CloudTrail Insights doivent être activés sur votre journal d'activité pour qu'il puisse afficher les événements Insights dans la console. Prévoyez jusqu'à 36 heures avant que CloudTrail fournisse les premiers événements Insights, si une activité inhabituelle est détectée.

  1. Connectez-vous à AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/home/.

  2. Dans le volet de navigation, choisissez Dashboard (Tableau de bord) pour voir les cinq événements Insights les plus récents ou Insights pour voir tous les événements Insights journalisés dans votre compte au cours des 90 derniers jours.

    Sur la page Insights, vous pouvez filtrer les événements Insights par critères, dont la source de l'API d'événement, le nom et l'ID de l'événement, mais aussi limiter les événements affichés à ceux correspondant à une plage de temps spécifique. Pour plus d'informations sur le filtrage des événements Insights, consultez Filtrage des événements Insights.

Filtrage des événements Insights

L'affichage par défaut des événements dans Insights présente les événements dans l'ordre chronologique inverse. Les événements Insights les plus récents, triés par heure de début de l'événement, figurent en premier. La liste suivante décrit les attributs disponibles. Vous pouvez filtrer les trois premiers attributs :Nom de l'événement, Source de l'événement, et ID de l’événement.

Filtre de la liste d'événements CloudTrail Insights.
Nom de l’événement

Le nom de l'événement, généralement l'API AWS sur laquelle des niveaux inhabituels d'activité ont été enregistrés.

Type Insight

Type d'événement CloudTrail Insights, qui est soit le Taux d'appels d'API, soit le Taux d'erreur de l'API. Le type Insight relatif aux Taux d'appels d'API analyse les appels des API de gestion en écriture seule qui sont agrégés par minute par rapport à un volume d'appels des API de référence. Le type Insight relatif aux Taux d'erreur de l'API analyse les appels des API de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API.

Source de l'événement

Le service AWS auquel la demande a été envoyée, comme iam.amazonaws.com ou s3.amazonaws.com. Vous pouvez faire défiler la liste des sources d'événements après avoir choisi le filtre Event source (Source de l'événement).

ID de l’événement

L'ID de l'événement Insights. Les ID de l’événement ne sont pas affichés dans le tableau de la page Insights, mais ils constituent un attribut sur lequel vous pouvez filtrer des événements Insights. Les ID de l’événement des événements de gestion qui sont analysés pour générer des événements Insights sont différents des ID de l’événement des événements Insights.

Heure de début de l'événement

L'heure de début de l'événement Insights, mesuré sous la forme de la première minute au cours de laquelle une activité d'API inhabituelle a été enregistrée. Cet attribut est affiché dans la table Insights, mais vous ne pouvez pas filtrer l'heure de début de l'événement dans la console.

Moyenne de référence

Modèle normal de taux d'appels d'API ou d'activité de taux d'erreur. La référence est calculée sur les sept jours précédant le démarrage d'un événement Insights. Bien que la valeur de la durée de référence (la période que CloudTrail analyse pour l'activité normale sur les API) soit d'environ sept jours, CloudTrail arrondit la durée de référence à un jour entier, de sorte que la durée de référence exacte puisse varier.

Moyenne Insight

Le nombre moyen d'appels vers une API, ou le nombre moyen d'une erreur spécifique renvoyée lors d'appels à une API, qui a déclenché l'événement Insights. La moyenne de CloudTrail Insights de l'événement de démarrage est le taux des occurrences ayant déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux des occurrences pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.

Variation du taux

Différence entre la valeur de Moyenne de référence et Moyenne Insight, mesurée en pourcentage. Par exemple, si la moyenne de référence d'une erreur AccessDenied est de 1,0, et la moyenne Insight est de 3,0, la variation du taux est de 300 %. Une variation du taux pour une moyenne Insight qui dépasse une moyenne de référence affiche une flèche vers le haut à côté de la valeur. Si l'événement Insights a été journalisé parce que l'activité est inférieure à la moyenne de référence, Variation du taux affiche une flèche vers le bas à côté du pourcentage.

Si aucun événement n'est journalisé pour l'attribut ou l'heure que vous avez choisi, la liste des résultats est vide. Vous pouvez appliquer un seul filtre d'attributs, en plus de la plage de temps. Si vous choisissez un autre filtre d'attribut, la plage de temps que vous avez spécifiée est conservée.

Les étapes suivantes expliquent comment filtrer sur les attributs.

Pour filtrer par attribut

  1. Pour filtrer les résultats selon un attribut, sélectionnez Rechercher un attribut dans le menu déroulant, puis tapez ou sélectionnez une valeur dans la zone Enter a lookup value (Saisir la valeur à rechercher).

  2. Pour supprimer un filtre d'attributs, cliquez sur la croix à droite de la zone de filtre d'attributs.

Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.

Pour filtrer selon une date et une heure de début et de fin

  1. Pour restreindre la plage de temps pour les événements que vous voulez voir, choisissez une plage de temps dans la barre de temps en haut de la table. Les plages de temps prédéfinies incluent 30 minutes, 1 heure, 3 heures ou 12 heures. Pour spécifier une plage de temps personnalisée, choisissez Custom (Personnaliser).

  2. Choisissez l'un des onglets suivants.

    • Absolute (Absolu)- Vous permet de choisir une heure spécifique. Passez à l'étape suivante.

    • Relatif à l'événement sélectionné- Sélectionné par défaut. Vous permet de choisir une période par rapport à l'heure de début d'un événement Insights. Passez à l'étape 4.

  3. Pour définir une plage de temps Absolute (Absolu) , effectuez les opérations suivantes.

    1. Dans l'onglet Absolute (Absolu), choisissez le jour où vous souhaitez que la plage de temps démarre. Entrez une heure de début le jour sélectionné. Pour saisir une date manuellement, tapez la date dans le format yyyy/mm/dd. Les heures de début et de fin utilisent le format horaire de 24 heures, et les valeurs doivent être au format hh:mm:ss. Par exemple, pour indiquer que l'heure de début est 18 h 30, entrez 18:30:00.

    2. Choisissez une date de fin pour la plage sur le calendrier, ou spécifiez une date et une heure de fin sous le calendrier. Choisissez Apply (Appliquer).

  4. Pour définir une plage de temps Relative à l'événement sélectionné, procédez comme suit.

    1. Choisissez une période prédéfinie par rapport à l'heure de début des événements Insights. Les valeurs prédéfinies sont disponibles en minutes, heures, jours ou semaines. La période relative maximale est de 12 semaines.

    2. Si nécessaire, personnalisez la valeur prédéfinie dans les cases situées sous les paramètres prédéfinis. Choisissez Clear (Effacer) pour réinitialiser vos modifications si nécessaire. Lorsque vous avez défini l'heure relative que vous souhaitez, choisissez Apply (Appliquer).

  5. Dans To (À), choisissez le jour et spécifiez l'heure de la fin de la plage de temps. Choisissez Appliquer.

  6. Pour supprimer un filtre de plage de temps, cliquez sur l'icône de calendrier à droite de la zone Time range (Plage de temps), puis choisissez Remove (Supprimer).

Affichage des détails des événements Insights

  1. Choisissez un événement Insights dans la liste des résultats pour en afficher les détails. La page des détails d'un événement Insights présente un graphique de la chronologie d'activité inhabituelle.

    Une page de détails CloudTrail Insights montrant une activité d'API inhabituelle journalisée en tant qu'événement Insights.

  2. Passez la souris sur les bandes en surbrillance pour afficher l'heure de début et la durée de chaque événement Insights dans le graphique.

    Statistiques d'événement Insights affichées après le passage de la souris sur un événement Insights.

    Les informations suivantes sont présentées dans les Informations supplémentaires zone du graphique :

    • Insight type (Type Insight). Il peut s'agir du taux d'appel d'API ou du taux d'erreur de l'API.

    • Déclencheur. Ceci est un lien vers l'onglet CloudTrail events (Événements CloudTrail), qui répertorie les événements de gestion analysés par pour déterminer qu'une activité inhabituelle s'est produite.

    • Appels d'API par minute

      • Baseline average (Moyenne de référence) : le taux typique d'occurrences par minute sur l'API sur laquelle l'événement Insights a été journalisé, tel que mesuré approximativement au cours des sept jours précédents, dans une région spécifique de votre compte.

      • Insights average (Moyenne Insights) : le taux des occurrences par minute à cette API ayant déclenché l'événement Insights. La moyenne de CloudTrail Insights de l'événement de démarrage est le taux d'appels ou d’erreurs par minute vers l'API ayant déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux d'appels d'API ou d’erreurs par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.

    • Source de l'événement Point de terminaison de service AWS sur lequel le nombre inhabituel d'appels API ou d'erreurs a été journalisé. Dans l'image précédente, la source est ec2.amazonaws.com, qui constitue le point de terminaison de service pour Amazon EC2.

    • ID de l’événement.

      • ID de l’événement de démarrage- ID de l'événement Insights journalisé au début d'une activité inhabituelle.

      • ID de l’événement de fin- ID de l'événement Insights journalisé à la fin d'une activité inhabituelle.

      • ID de l’événement partagé- Dans les événements Insights, l’ ID de l’événement partagé est un GUID généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. ID de l’événement partagé est commun entre l'événement Insights de début et de fin, et aide à créer une corrélation entre les deux événements pour identifier de manière unique l'activité inhabituelle.

  3. Choisir l'onglet Attributions pour afficher des informations sur les identités utilisateur, les agents utilisateur et les évènements Insights de taux d’appel API, des codes d'erreur en corrélation avec une activité inhabituelle et de base. Un maximum de cinq identités d'utilisateur, de cinq agents utilisateur et de cinq codes d'erreur sont affichés dans les tableaux de l'onglet Attributions, trié par une moyenne du nombre d'activités, dans l'ordre décroissant du plus haut au plus bas. Pour plus d’informations sur l'onglet Attributions, consultez Onglet Attributions et CloudTrail Insights élément insightDetails dans ce guide.

  4. Dans l'onglet CloudTrail events (Événements CloudTrail), affichez les événements associés analysés par CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjà appliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. L'onglet CloudTrail events (Événements CloudTrail) affiche les événements de gestion liés à l'API objet qui se sont produits entre l'heure de début (moins une minute) et l'heure de fin (plus une minute) de l'événement Insights.

    Lorsque vous sélectionnez d'autres événements Insights dans le graphique, les événements affichés dans le tableau CloudTrail events (Événements CloudTrail) changent. Ces événements vous aident à effectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons de l'activité inhabituelle de l'API.

    Pour afficher tous les événements CloudTrail qui ont été journalisés pendant la durée de l'événement Insights, et pas seulement ceux de l'API associée, désactivez le filtre.

  5. Cliquez sur l'onglet Insights event record (Enregistrement d'événement Insights) pour afficher les événements Insights de début et de fin au format JSON.

  6. Le choix de la Event source (Source d'événement) liée vous renvoie à la page Insights, filtrée en fonction de cette source d'événement.

Zoomer, panoramiquer et télécharger un graphique

Vous pouvez zoomer, panoramiquer et réinitialiser les axes du graphique sur la page de détails de l'événement Insights à l'aide d'une barre d'outils située dans le coin supérieur droit.

Barres d'outils de commande pour télécharger au format PNG, zoomer en avant et en arrière, panoramiquer et réinitialiser des axes.

De gauche à droite, les boutons de commande de la barre d'outils de graphique permettent d'effectuer les opérations suivantes :

  • Download plot as a PNG (Télécharger un diagramme au format PNG) - Téléchargez l'image graphique affichée sur la page des détails et enregistrez-la au format PNG.

  • Zoom - Faites glisser la souris pour sélectionner une zone du graphique que vous souhaitez agrandir et voir plus en détail.

  • Pan (Panoramiquer) - Déplacez le graphique pour voir les dates ou les heures adjacentes.

  • Reset axes (Réinitialiser les axes) - Replacez les axes du graphique dans leur position d'origine, en supprimant les paramètres de zoom et de panoramique.

Modifier les paramètres de période du graphique

Vous pouvez modifier la période de temps, la durée sélectionnée des événements affichés dans l'axe x, qui s'affiche dans le graphique, en choisissant un paramètre dans le coin supérieur droit du graphique.

Contrôle de la période de temps pour un événement Insights.

La période par défaut affichée dans le graphique dépend de la durée de l'événement Insights sélectionné.

Durée de l'événement Insights Période par défaut

Moins de 4 heures

3h (trois heures)

Entre 4 et 12 heures

12h(12 heures)

Entre 12 et 24 heures

1d (un jour)

Entre 24 et 72 heures

3d (trois jours)

Plus de 72 heures

1w (une semaine)

Vous pouvez choisir des préréglages de cinq minutes, 30 minutes, une heure, trois heures, 12 heures ou Custom (Personnaliser). L'image suivante montre les périodes relatives à l'événement sélectionné que vous pouvez choisir dans les paramètres Custom (Personnaliser). Les périodes relatives sont des périodes approximatives entourant le début et la fin de l'événement Insights sélectionné qui s'affiche sur la page de détails d'un événement Insights.

Configuration personnalisée de période pour un graphique Insights, Période relative

Pour personnaliser un préréglage sélectionné, spécifiez un nombre et une unité de temps dans les zones situées sous les préréglages.

Pour spécifier une plage de dates et d'heures exactes, choisissez l'onglet Absolute (Absolu). Si vous définissez une plage de dates et d'heures absolues, les heures de début et de fin seront requises. Pour plus d’informations sur comment définir l'heure, consultez Filtrage des événements Insights dans cette rubrique.

Configuration personnalisée de période pour un graphique Insights, période Absolute (Absolu).

Téléchargement d'événements Insights

Vous pouvez télécharger l'historique des événements Insights enregistrés en tant que fichier au format JSON ou CSV. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que vous téléchargez.

Note

Les fichiers d'historique des événements CloudTrail sont des fichiers de données qui contiennent des informations (comme les noms de ressources) pouvant être configurées par des utilisateurs individuels. Certaines données peuvent éventuellement être interprétées comme des commandes dans des programmes utilisés pour lire et analyser ces données (injection CSV). Par exemple, lorsque des événements CloudTrail sont exportés vers CSV et importés dans un tableur, ce dernier peut vous avertir de problèmes de sécurité. Comme bonne pratique relative à la sécurité, désactivez les liens ou les macros des fichiers d'historique des événements téléchargés.

  1. Spécifiez le filtre et la plage de temps pour les événements que vous souhaitez télécharger. Par exemple, vous pouvez spécifier le nom d'événement, StartInstances, et indiquer une plage de temps pour les trois derniers jours d'activité.

  2. Choisissez Download events (Télécharger les événements), puis choisissez Download CSV (Télécharger au format CSV) ou Download JSON ((Télécharger au format JSON). Vous êtes invité à choisir un emplacement pour enregistrer le fichier.

    Note

    Le téléchargement pourrait prendre un certain temps. Pour des résultats plus rapides, utilisez un filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant de commencer le processus de téléchargement.

  3. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avez spécifiés.

  4. Pour annuler votre téléchargement, choisissez Cancel download (Annuler le téléchargement). Si vous annulez un téléchargement avant qu'il ne soit terminé, un fichier CSV ou JSON se trouvant sur votre ordinateur local pourrait contenir seulement une partie de vos événements.