Je dois passer en revue les actions ayant eu lieu dans mon compte AWS telles que les connexions à la console ou la mise hors service d'une instance.

AWS CloudTrail vous permet d'afficher et d'assurer le suivi des appels d'API effectués pour votre compte.

Les données de CloudTrail sont accessibles à partir d'AWS Management Console, de l'interface de ligne de commande AWS, de Windows PowerShell et directement par le bais des API.

Historique d'activités de l'API dans la console Amazon CloudWatch

Dans le volet d'historique des activités de l'API de la console Amazon CloudWatch, vous pouvez afficher les opérations qui modifient l'état d'une ressource (créer, modifier ou supprimer) ayant eu lieu au cours des 7 derniers jours, par exemple la création d'un utilisateur IAM, la mise hors service d'une instance EC2 et les connexions à la console. Les actions d'API statiques ou datant de plus de 7 jours ne sont pas affichées, mais elles sont disponibles dans le compartiment S3 CloudTrail configuré. Cette option est disponible après la création d'un suivi dans la console AWS CloudTrail.

CloudWatch Logs

CloudWatch Logs vous permet de rechercher des opérations qui changent l'état d'une ressource telles que StopInstance, ainsi que les opérations qui n'en modifient pas l'état telles que DescribeInstances. Pour plus d'informations sur la configuration de CloudWatch Logs, consultez la page Envoi d'événements de CloudTrail à CloudWatch Logs. Une fois les journaux configurés, accédez à la console Amazon CloudWatch, choisissez Logs dans le volet de gauche, puis sélectionnez le nom du groupe de journaux configuré (le nom par défaut est CloudTrail/DefaultLogGroup). Gardez à l'esprit les points suivants :

  • Vous devez configurer de manière explicite CloudTrail afin d'envoyer les journaux vers CloudWatch Logs, même si le suivi est déjà activé.
  • Il peut exister plusieurs flux de journaux, selon la taille et le volume d'événements. Pour effectuer une recherche dans l'ensemble des flux, choisissez le bouton Search Log Group avant de sélectionner un flux individuel.
  • Dans la mesure où une limitation de la taille des événements de 256 Ko est imposée dans CloudWatch Logs, CloudTrail n'envoie pas d'événements dépassant 256 Ko vers CloudWatch Logs.

Fichiers journaux archivés dans S3

Vous pouvez consulter tous les événements capturés par CloudTrail dans les fichiers journaux Amazon S3. Il est possible d'analyser manuellement les fichiers journaux du compartiment S3 à l'aide de la bibliothèque de traitement CloudTrail, de l'interface de ligne de commande ou en transmettant les journaux à un partenaire d'AWS CloudTrail.

Remarque : Au lieu de rechercher des événements à partir de la console CloudWatch, vous pouvez utiliser la commande filter-log-events de l'interface de ligne de commande AWS. Vous pouvez également avoir recours aux filtres de métriques pour rechercher des termes, des expressions ou des valeurs dans vos journaux d'événements et les faire correspondre.

CloudTrail, CloudWatch, CloudWatch Logs, audit, journaux, rechercher, événements


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 27/09/2016

Date de mise à jour : 11/10/2016