Comment puis-je utiliser CloudTrail pour vérifier quelles actions et quels appels d'API se sont produits dans mon compte AWS ?

Date de la dernière mise à jour : 23/08/2019

Comment puis-je vérifier quelles actions se sont produites sur mon compte AWS, telles que les connexions à la console ou la résiliation d'une instance ?

Brève description

Vous pouvez utiliser les données AWS CloudTrail pour afficher et suivre les appels d'API effectués sur votre compte à l'aide des éléments suivants :

  • Historique des événements dans la console CloudTrail
  • Amazon CloudWatch Logs
  • Requêtes Amazon Athena
  • Fichiers journaux Amazon Simple Storage Service (Amazon S3) archivés

Remarque : les journaux de tous les services AWS ne sont pas forcément enregistrés et disponibles avec CloudTrail. Pour obtenir la liste des services AWS intégrés à CloudTrail, consultez la section Rubriques des services AWS pour CloudTrail.

Résolution

Historique des événements dans la console CloudTrail

Vous pouvez afficher l'intégralité des intégrations et services pris en charge ainsi que les types d'événements (création, modification, suppression et activités non mutables) datant de moins de 90 jours. Vous n'avez pas besoin de configurer une piste d'audit pour utiliser l'historique des événements. Pour obtenir des instructions, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

En tant que solution alternative à la recherche d'événements dans la console CloudWatch, vous pouvez utiliser la commande de l'interface de ligne de commande AWS (CLI AWS) filter-log-events. Vous pouvez également utiliser des filtres de métrique pour rechercher et faire correspondre des termes, des expressions ou des valeurs dans vos journaux d'événements, puis les transformer en des métriques et alarmes CloudWatch. Pour plus d'informations, consultez la section Syntaxe de filtre et de modèle.

Remarque : si vous utilisez l'interface de ligne de commande AWS et que vous prévoyez d'utiliser la commande filter-log-events à grande échelle (par exemple, pour une automatisation ou un script), il est recommandé d'utiliser des filtres d'abonnement CloudWatch Logs, car la commande filter-log-events possède des limites d'API. Les filtres d'abonnement n'ont pas ces limites et les filtres d'abonnement offrent la possibilité de traiter de grandes quantités de données de journaux en temps réel. Pour plus d'informations sur la commande filter-log-events et ses limites, consultez la section Limites de CloudWatch Logs.

Amazon CloudWatch Logs

Avec CloudWatch Logs, vous pouvez rechercher des opérations qui modifient l'état d'une ressource, comme StopInstances, ainsi que les opérations qui ne modifient pas cet état, comme DescribeInstances. Ces instructions supposent que vous avez déjà créé une piste d'audit et que vous l'avez configurée de manière à envoyer des événements à CloudWatch Logs.

Tenez compte des éléments suivants :

  • Vous devez explicitement configurer CloudTrail pour envoyer des événements à CloudWatch Logs, même si vous avez déjà créé une piste d'audit.
  • Cette méthode fonctionne pour les événements futurs : vous ne pouvez pas consulter l'activité antérieure à la configuration des journaux.
  • Il peut y avoir plusieurs flux de journaux, en fonction de la taille et du volume des événements. Pour effectuer une recherche dans l'ensemble des flux, sélectionnez Search Log Group (Rechercher un groupe de journaux) avant de sélectionner un flux individuel.
  • Étant donné que la taille des événements de CloudWatch Logs est limitée à 256 Ko, CloudTrail n'envoie pas d'événements dont la taille est supérieure à 256 Ko à CloudWatch Logs.

Pour obtenir des instructions, consultez la section Affichage des données de journal envoyées à CloudWatch Logs.

Requêtes Athena

Vous pouvez effectuer une recherche parmi une vaste collection de journaux CloudTrail à l'aide d'Athena pour exécuter une requête. Pour plus d'informations, consultez la section Comment créer automatiquement des tables dans Amazon Athena pour effectuer des recherches dans les journaux AWS CloudTrail ?

Fichiers journaux archivés Amazon S3

Vous pouvez afficher tous les événements enregistrés par CloudTrail dans les fichiers journaux Amazon S3. De même, vous pouvez analyser manuellement les fichiers journaux du compartiment S3 à l'aide de la bibliothèque de traitement CloudTrail ou de l'interface de ligne de commande AWS, ou vous pouvez envoyer les journaux à des partenaires AWS CloudTrail.

Remarque : vous devez disposer d'une piste d'audit activée pour vous connecter à un compartiment S3.