Comment utiliser CloudTrail pour passer en revue les appels et les actions d'API qui ont eu lieu dans mon compte AWS ?

Dernière mise à jour : 18/12/2020

Comment passer en revue les actions qui se sont produites dans mon compte AWS, telles que les connexions à la console ou l'arrêt d'une instance ?

Brève description

Vous pouvez utiliser les données AWS CloudTrail pour afficher et suivre les appels API effectués sur votre compte à l'aide des éléments suivants:

  • Historique des événements dans la console CloudTrail.
  • Amazon CloudWatch Logs
  • Requêtes Amazon Athena
  • Fichiers journaux Amazon Simple Storage Service (Amazon S3) archivés

Remarque : les journaux de tous les services AWS ne sont pas forcément enregistrés et disponibles avec CloudTrail. Pour obtenir une liste des services AWS intégrés à CloudTrail, consultez Rubriques du service AWS pour CloudTrail.

Résolution

Remarque : si vous recevez des erreurs lors de l'exécution de commandes à partir de l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Historique des événements dans la console CloudTrail

Vous pouvez afficher l'intégralité des intégrations et services pris en charge ainsi que les types d'événements (création, modification, suppression et activités non mutables) datant de moins de 90 jours. Vous n'avez pas besoin de configurer une piste d'audit pour utiliser l'historique des événements. Pour obtenir des instructions, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Pour rechercher des événements dans la console CloudWatch, vous pouvez également utiliser la commande de l'AWS CLI filter-log-events. Vous pouvez également utiliser des filtres de métrique pour rechercher et faire correspondre des termes, des expressions ou des valeurs dans vos journaux d'événements. puis les transformer en des métriques et alarmes CloudWatch. Pour plus d'informations, consultez la section Syntaxe de filtre et de modèle.

Remarque : si vous utilisez l'interface de ligne de commande AWS et que vous prévoyez d'utiliser la commande filter-log-events à grande échelle (par exemple, pour une automatisation ou un script), il est recommandé d'utiliser des filtres d'abonnement CloudWatch Logs, car la commande filter-log-events possède des limites d'API. Les filtres d'abonnement n'ont pas ces limites et les filtres d'abonnement offrent la possibilité de traiter de grandes quantités de données de journaux en temps réel. Pour plus d'informations sur la commande filter-log-events et ses limites, consultez la section Limites de CloudWatch Logs.

Amazon CloudWatch Logs

Avec CloudWatch Logs, vous pouvez rechercher des opérations qui modifient l'état d'une ressource, comme StopInstances, ainsi que les opérations qui ne modifient pas cet état, comme DescribeInstances. Ces instructions supposent que vous avez déjà créé une piste d'audit et que vous l'avez configurée de manière à envoyer des événements à CloudWatch Logs.

Tenez compte des éléments suivants :

  • Vous devez explicitement configurer CloudTrail pour envoyer des événements à CloudWatch Logs, même si vous avez déjà créé une piste d'audit.
  • Cette méthode fonctionne pour les événements futurs : vous ne pouvez pas consulter l'activité antérieure à la configuration des journaux.
  • Il peut exister plusieurs flux de journaux, selon la taille et le volume des événements. Pour effectuer une recherche dans l'ensemble des flux, choisissez Search Log Group (Rechercher dans le groupe de journaux) avant de sélectionner un flux individuel.
  • Étant donné que la taille des événements de CloudWatch Logs est limitée à 256 Ko, CloudTrail n'envoie pas d'événements dont la taille est supérieure à 256 Ko à CloudWatch Logs.

Pour obtenir des instructions, consultez la section Affichage des données de journal envoyées à CloudWatch Logs.

Requêtes Amazon Athena

Amazon Athena vous permet d'interroger puis d'analyser automatiquement un grand nombre de fichiers journaux CloudTrail à partir d'un compartiment Amazon S3. Pour plus d'informations, consultez Comment créer automatiquement des tables dans Amazon Athena pour rechercher dans les journaux AWS CloudTrail ?

Fichiers journaux archivés Amazon S3

Vous pouvez afficher tous les événements enregistrés par CloudTrail dans les fichiers journaux Amazon S3. De même, vous pouvez analyser manuellement les fichiers journaux du compartiment S3 à l'aide de la bibliothèque de traitement CloudTrail ou de l'interface de ligne de commande AWS, ou vous pouvez envoyer les journaux à des partenaires AWS CloudTrail.

Remarque : vous devez disposer d'une piste d'audit activée pour vous connecter à un compartiment S3.