Attributs d'événement

Chaque entrée de journal doit inclure des informations suffisamment détaillées pour le suivi et l'analyse. Vous pouvez journaliser des données de contenu complètes, mais il est plus efficace de journaliser un extrait ou des propriétés récapitulatives. Les journaux d'application doivent enregistrer les facteurs quand, où, qui, quoi et quel/quelle de chaque événement. Leurs propriétés seront différentes en fonction de l'architecture, de la classe d'application et du système ou périphérique hôte.

Lorsque vous journalisez des horodatages, utilisez le temps universel coordonné (UTC) et les formats de date et d'heure internationalement reconnus de la norme ISO 8601 (site Web de l'ISO).

Note

Envisagez d'utiliser un service de synchronisation de l'heure réseau pour garantir l'exactitude des horodatages. Amazon propose le Service de synchronisation temporelle d'Amazon, qui est utilisé par de nombreux AWS services, notamment Amazon Elastic Compute Cloud (Amazon EC2). Le Service de synchronisation temporelle d'Amazon utilise une flotte d'horloges de référence atomiques et connectées à des satellites, dans chaque Région AWS pour fournir des mesures temporelles précises selon la norme internationale UTC via le NTP (Network Time Protocol). Pour plus d'informations, veuillez consulter Keeping Time with Amazon Time Sync Service (billet de blog AWS).

Les attributs d'événements suivants sont généralement inclus dans les journaux.

Catégorie d'attribut	Attribut d'événement	Description
Lorsque	Date et heure de journalisation	Enregistrez la date et l'heure auxquelles l'événement a été ajouté au journal.
	Date et heure de l'événement	Enregistrez la date et l'heure auxquelles l'événement s'est produit. Elles peuvent être différentes de l'enregistrement de journalisation, par exemple lorsque la journalisation est retardée parce que l'application cliente est hébergée sur un appareil distant connecté périodiquement ou par intermittence.
	Identifiant de l'événement	Journalisez un nom d'utilisateur, un numéro de compte ou un autre attribut unique garantissant que l'événement peut toujours être identifié.
Où	Identifiant de l'application	Journalisez le nom et la version de l'application.
	Adresse de l'application	Journalisez le cluster ou le nom d'hôte, l'adresse IPv4 ou IPv6 du serveur, le numéro de port, l'identité du poste de travail et l'identifiant du périphérique local.
	Service	Journalisez le nom du service et le protocole.
	Géolocalisation	Journalisez les emplacements géographiques de l'utilisateur.
	Fenêtre, formulaire ou page	Journalisez l'URL du point d'entrée, la méthode HTTP d'une application Web ou le nom de la boîte de dialogue dans laquelle l'action a été effectuée.
	Emplacement du code	Journalisez le nom du script ou du module.
Qui (utilisateur humain ou machine)	Adresse source	Journalisez l'identifiant de l'appareil, l'adresse IP, l'identifiant de la tour de radiofréquence (RF) ou le numéro de téléphone portable de l'utilisateur.
	Identité de l'utilisateur	Si l'utilisateur est authentifié ou connu, journalisez la valeur de la clé primaire de la table de base de données utilisateur, le nom d'utilisateur ou le numéro de licence.
	Classification des types de données	Journalisez le type d'utilisateur, tel que public, authentifié, CMS, moteur de recherche, testeur de pénétration autorisé ou moniteur de disponibilité. Pour plus d'informations sur les moniteurs de disponibilité, veuillez consulter Précautions et exclusions dans ce guide.
	En-têtes HTTP de requête ou agent utilisateur HTTP	(Applications Web uniquement) Journalisez les informations d'en-tête de requête HTTP, y compris la chaîne agent-utilisateur HTTP, car ces valeurs affectent les informations que le client envoie au serveur.
Quoi	Type d'événement	Journalisez si l'événement est informatif, s'il s'agit d'un avertissement ou d'une erreur.
	Gravité de l'événement	Classez la gravité de l'événement, par exemple élevée, moyenne ou faible.
	Indicateur d'événement de sécurité	Si le journal contient des données non liées à des événements de sécurité, créez un indicateur pour les événements liés à la sécurité afin de vous aider à les identifier.
	Description de l'événement	(Facultatif) Incluez une brève description de l'événement.
	Action ou intention	Journalisez l'objectif initial de la demande, tel que la connexion, l'actualisation de l'ID de session, la déconnexion ou la mise à jour d'un profil.
	Réponse de l'utilisateur ou de l'application	Journalisez la réponse de l'utilisateur ou de l'application à l'événement, telle qu'un code d'état, des messages textuels personnalisés, l'arrêt de la session ou des alertes de l'administrateur.
	État du résultat	Journalisez la réussite éventuelle de l'action, par exemple réussite, échec ou reportée.
	Motif du résultat	Journalisez le motif pour lequel l'état s'est présenté. Par exemple, une demande de connexion peut échouer, car l'utilisateur n'est pas authentifié dans la base de données.
	Détails étendus	Journalisez toutes les informations supplémentaires associées à l'événement, telles qu'une trace de pile, des messages d'erreur système, des informations de débogage et le corps de la requête HTTP.
	Code d'état de la réponse HTTP	(Applications Web uniquement) Journalisez le code d'état de la réponse HTTP renvoyé à l'utilisateur, tel que `200` ou `301`. Pour plus d'informations, consultez Niveaux de journalisation dans ce guide.
Quel/Quelle	Ressources touchées	Journalisez les ressources qui ont été utilisées.
	Objet	Journalisez les composants ou autres objets concernés, tels qu'un compte utilisateur, une ressource de données, un fichier, une URL ou un ID de session.
	Nom de la ressource	Journalisez les noms des ressources concernées.
	Étiquettes de ressources	Journalisez les balises attribuées aux ressources concernées. Pour plus d'informations sur les balises, veuillez consulter Tagging AWS resources dans la Référence générale AWS.
Autre	Confiance analytique	Journalisez la confiance du service de journalisation dans la détection des événements, par exemple l'attribution d'une note faible, moyenne ou élevée ou une valeur numérique.
	Classifications internes	Journalisez toutes les classifications internes pour vérifier le respect des normes ou de la conformité.
	Classifications externes	Journalisez toutes les classifications externes pour vérifier le respect des normes ou de la conformité, telles que le protocole SCAP (Security Content Automation Protocol) du NIST.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Types d'événements

Bonnes pratiques