J'ai activé la journalisation de niveau objet pour mon compartiment Amazon S3. Où puis-je trouver les événements dans l'historique des événements CloudTrail ?

Date de la dernière mise à jour : 26/09/2019

J'ai suivi les instructions pour activer la journalisation de niveau objet pour un compartiment S3 avec des événements de données AWS CloudTrail. J'ai bien trouvé le journal de niveau objet dans mon compartiment Amazon Simple Storage Service (Amazon S3). Par contre, je ne trouve pas l'action d'API de niveau objet dans l'historique des événements CloudTrail.

Brève description

CloudTrail journalise des actions de niveau compartiment en tant qu'événements de gestion par défaut. Vous pouvez également configurer une piste d'audit pour la journalisation des événements de données pour un compartiment Amazon S3. CloudTrail n'alimente pas l'historique des événements CloudTrail avec des événements de données. En outre, toutes les actions au niveau du compartiment ne sont pas renseignées dans l'historique des événements CloudTrail.

Remarque : les journaux sont combinés aux événements CloudTrail si d'autres sources de données sont configurées pour le même compartiment S3 que votre piste d'audit.

Pour plus d'informations, consultez Journalisation des appels d'API Amazon S3 à l'aide d'AWS CloudTrail.

Résolution

Utilisez les modèles de filtre de journaux Amazon CloudWatch et AWS Athena pour interroger les journaux CloudTrail.

Utilisation des modèles de filtre de journaux CloudWatch pour afficher l'activité au niveau du compartiment

1.    Suivez les étapes 1 à 4 dans Recherche dans des données de journaux au moyen de modèles de filtres.

2.    Dans « Filter » (Filtre), collez l'exemple de syntaxe suivant, puis validez avec la touche « entrer » (Entrée) de votre machine :

{$.eventName = “DeleteBucket”}

Les données des journaux CloudTrail filtrent l'appel d'API de niveau compartiment DeleteBucket.

Utilisation d'Athena pour interroger les journaux CloudTrail

1.    Ouvrez la console Athena, puis choisissez Query Editor (Éditeur de requête).

2.    Choisissez « Run advanced queries in Amazon Athena » (Exécuter des requêtes avancées dans Amazon Athena).

3.    Entrez une requête similaire à la suivante, puis choisissez « Run query » (Interroger).

Remarque : remplacez example-cloudtrail-log par votre journal CloudTrail.

SELECT *
FROM example-cloudtrail-log
WHERE eventname = 'GetBucketAcl’;

Cet exemple de requête filtre l'appel d'API GetBucketAcl de compartiment S3.

Pour plus d'informations, consultez Analyse de la sécurité, de la conformité et de l'activité opérationnelle à l'aide d'AWS CloudTrail et d'Amazon Athena.