Comment utiliser CloudTrail pour passer en revue les appels et les actions d'API qui ont eu lieu dans mon compte AWS ?

Date de la dernière mise à jour : 11/01/2022

Comment passer en revue les actions qui se sont produites dans mon compte AWS, telles que les connexions à la console ou la résiliation d'une instance ?

Brève description

Vous pouvez utiliser les données AWS CloudTrail pour afficher et suivre les appels d'API effectués sur votre compte à l'aide des éléments suivants:

Remarque : les journaux de tous les services AWS ne sont pas forcément enregistrés et disponibles sur CloudTrail. Pour obtenir la liste des services AWS intégrés à CloudTrail, consultez Rubriques des services AWS pour CloudTrail.

Résolution

Remarque : si des erreurs s'affichent lors de l'exécution de commandes AWS Command Line Interface (AWS CLI), assurez-vous que vous utilisez la version la plus récente d'AWS CLI.

Historique des événements CloudTrail

Examen de l'historique des événements CloudTrail à l'aide de la console CloudTrail

Vous pouvez afficher l'ensemble des intégrations et services pris en charge, ainsi que les types d'événements (créer, modifier, supprimer et activités non mutables) datant de moins de 90 jours. Vous n'avez pas besoin de configurer un journal d'activité pour utiliser l'historique des événements CloudTrail.

Pour obtenir des instructions, consultez Affichage des événements CloudTrail dans la console CloudTrail.

Examen de l'historique des événements CloudTrail à l'aide d'AWS CLI

Remarque : pour rechercher des événements à l'aide d'AWS CLI, vous devez avoir créé et configuré un journal d'activité pour vous connecter à CloudWatch Logs. Pour plus d'informations, consultez Création d'un journal d'activité. Vous pouvez également consulter Envoyer des événements à CloudWatch Logs.

Utilisez la commande filter-log-events pour appliquer des filtres de métriques afin de rechercher des termes, des phrases et des valeurs spécifiques dans vos événements du journal. Vous pouvez ensuite les transformer en métriques et en alarmes CloudWatch.

Pour plus d'informations, consultez Syntaxe de filtre et de modèle.

Remarque : pour utiliser la commande filter-log-events à grande échelle (par exemple pour l'automatisation ou un script), il est recommandé d'utiliser les filtres d'abonnement CloudWatch Logs. Cela est dû au fait que l'action d'API filter-log-events a des limites d'API. Les filtres d'abonnement n'ont pas de telles limites. Les filtres d'abonnement permettent également de traiter de grandes quantités de données de journaux en temps réel. Pour plus d'informations, consultez Quotas CloudWatch Logs.

CloudTrail Lake

CloudTrail Lake vous permet d'agréger, de stocker de manière immuable et d'exécuter des requêtes SQL sur vos événements. Vous pouvez même stocker des données dans CloudTrail Lake pendant une période maximale de 7 ans, soit 2 555 jours.

Pour plus d'informations, consultez Utilisation d'AWS CloudTrail Lake.

Amazon CloudWatch Logs

Remarque : pour utiliser CloudWatch Logs, vous devez avoir créé et configuré un journal d'activité pour vous connecter à CloudWatch Logs. Pour plus d'informations, consultez Création d'un journal d'activité. Vous pouvez également consulter Envoyer des événements à CloudWatch Logs.

Vous pouvez utiliser CloudWatch Logs pour rechercher des opérations qui modifient l'état d'une ressource (par exemple StopInstances). Vous pouvez aussi utiliser CloudWatch Logs pour rechercher des opérations qui ne modifient pas l'état d'une ressource (par exemple DescribeInstances). Pour obtenir des instructions, consultez Afficher les données de journaux envoyées à CloudWatch Logs.

Gardez à l'esprit les points suivants :

  • Vous devez explicitement configurer CloudTrail pour envoyer des événements à CloudWatch Logs, même si vous avez déjà créé un journal d'audit.
  • Vous ne pouvez pas consulter les activités antérieures à la configuration des journaux.
  • Il peut exister plusieurs flux de journaux, selon la taille et le volume des événements. Pour effectuer une recherche dans l'ensemble des flux, choisissez Search Log Group (Rechercher dans le groupe de journaux) avant de sélectionner un flux individuel.
  • Étant donné que la taille des événements de CloudWatch Logs est limitée à 256 Ko, CloudTrail n'envoie pas d'événements dont la taille est supérieure à 256 Ko à CloudWatch Logs.

Requêtes Amazon Athena

Vous pouvez utiliser Amazon Athena pour afficher les événements de données et de gestion CloudTrail stockés dans votre compartiment Amazon S3.

Pour plus d'informations, consultez Comment créer automatiquement des tables dans Amazon Athena pour effectuer des recherches dans les journaux d'activité AWS CloudTrail ? Vous pouvez également consulter Création de la table des journaux CloudTrail dans Athena à l'aide du partitionnement manuel.

Fichiers journaux archivés Amazon S3

Remarque : pour afficher les fichiers journaux archivés Amazon S3, vous devez avoir créé et configuré un journal d'activité pour vous connecter à un compartiment S3. Pour plus d'informations, consultez Création d'un journal d'activité.

Vous pouvez consulter tous les événements consignés par CloudTrail dans les fichiers journaux Amazon S3. De même, vous pouvez analyser manuellement les fichiers journaux du compartiment S3 à l'aide de la bibliothèque de traitement CloudTrail ou d'AWS CLI, ou vous pouvez envoyer les journaux à des partenaires AWS CloudTrail.

Pour obtenir des instructions, consultez Événements CloudTrail Amazon S3.

Remarque : vous devez disposer d'un journal d'activité activé afin de vous connecter à un compartiment S3.