Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudTrail concepts
Cette section résume les concepts de base liés à. CloudTrail
Concepts :
CloudTrail événements
Un événement dans CloudTrail est l'enregistrement d'une activité sur un AWS compte. Cette activité peut être une action entreprise par une identité IAM ou un service contrôlable par. CloudTrail CloudTrailles événements fournissent un historique de l'activité des comptes API et non-API effectuée via les AWS Management Console outils de ligne de commande et d'autres AWS services. AWS SDKs
CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.
CloudTrail enregistre quatre types d'événements :
-
Événements liés à l'activité du réseau
Note
Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.
Tous les types d'événements utilisent un format de journal CloudTrail JSON.
Par défaut, les journaux de suivi et les entrepôts de données d'événement consignent les événements de gestion, mais pas les événements de données ou les événements Insights.
Pour plus d'informations sur le mode Services AWS d'intégration avec CloudTrail, consultezAWS sujets de service pour CloudTrail.
Événements de gestion
Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.
Les événements de gestion sont notamment les suivants :
-
Configuration de la sécurité (par exemple, les opérations d' AWS Identity and Access Management
AttachRolePolicy
API). -
Enregistrement des appareils (par exemple, opérations EC2
CreateDefaultVpc
d'API Amazon). -
Configuration des règles pour les données de routage (par exemple, les opérations EC2
CreateSubnet
d'API Amazon). -
Configuration de la journalisation (par exemple, les opérations d' AWS CloudTrail
CreateTrail
API).
Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLogin
événement. Pour de plus amples informations, veuillez consulter APIÉvénements non capturés par CloudTrail.
Par défaut, les données relatives aux événements relatifs aux CloudTrail sentiers et aux CloudTrail lacs stockent les événements de gestion des journaux. Pour plus d'informations sur la journalisation des événements de gestion, consultezJournalisation des événements de gestion.
Événements de données
Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.
Les événements de données incluent notamment :
-
Activité de l'API au niveau des objets Amazon S3 (par exemple,
GetObject
DeleteObject
, et opérations d'PutObject
API) sur des objets dans des compartiments S3. -
AWS Lambda activité d'exécution de fonctions (l'
Invoke
API). -
CloudTrail
PutAuditEvents
activité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS. -
Opérations d'API
Publish
etPublishBatch
d'Amazon SNS sur des rubriques.
Le tableau suivant indique les types de ressources disponibles pour les sentiers et les magasins de données sur les événements. La colonne Type de ressource (console) indique la sélection appropriée dans la console. La colonne de valeur resources.type indique la resources.type
valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre magasin de données de suivi ou d'événement à l'aide du ou. AWS CLI CloudTrail APIs
Pour les traces, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types de ressources indiqués dans les lignes restantes.
Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.
Service AWS | Description | Type de ressource (console) | valeur resources.type |
---|---|---|---|
Amazon DynamoDB | Activité de l'API au niveau des éléments Amazon DynamoDB sur les tables (par exemple NotePour les tables ayant les flux activés, le champ |
DynamoDB |
|
AWS Lambda | AWS Lambda activité d'exécution de fonctions (l' |
Lambda | AWS::Lambda::Function |
Amazon S3 | Activité d'API au niveau des objets Amazon S3 (par exemple, |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig Activité de l'API pour les opérations de configuration telles que les appels vers |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS AppSync | AWS AppSync Activité de l'API sur AppSync GraphQL APIs. |
AppSync GraphQL | AWS::AppSync::GraphQL |
AWS Échange de données B2B | Activité de l’API d’échange de données B2B pour les opérations du transformateur telles que les appels vers |
Échange de données B2B | AWS::B2BI::Transformer |
AWS Backup | AWS Backup Activité de l'API Search Data sur les tâches de recherche. |
AWS Backup Données de recherche APIs | AWS::Backup::SearchJob |
Amazon Bedrock | Activité de l’API Amazon Bedrock sur un alias d’agent. | Alias d’agent Bedrock | AWS::Bedrock::AgentAlias |
Amazon Bedrock | Activité de l'API Amazon Bedrock lors d'appels asynchrones. | Invocation asynchrone de Bedrock | AWS::Bedrock::AsyncInvoke |
Amazon Bedrock | Activité de l'API Amazon Bedrock sur un alias de flux. | Alias de Bedrock Flow | AWS::Bedrock::FlowAlias |
Amazon Bedrock | Activité de l'API Amazon Bedrock sur les rambardes. | Rambarde Bedrock | AWS::Bedrock::Guardrail |
Amazon Bedrock | Activité de l'API Amazon Bedrock sur les agents en ligne. | Agent en ligne Bedrock Invoke | AWS::Bedrock::InlineAgent |
Amazon Bedrock | Activité de l’API Amazon Bedrock sur une base de connaissances. | Base de connaissances Bedrock | AWS::Bedrock::KnowledgeBase |
Amazon Bedrock | Activité de l'API Amazon Bedrock sur les modèles. | Modèle Bedrock | AWS::Bedrock::Model |
Amazon Bedrock | Activité de l'API Amazon Bedrock sur demande. | Prompt Bedrock | AWS::Bedrock::PromptVersion |
Amazon CloudFront | CloudFront Activité de l'API sur un KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map Activité de l'API sur un espace de noms. | AWS Cloud Map espace de nom |
|
AWS Cloud Map | AWS Cloud Map Activité de l'API sur un service. | AWS Cloud Map web |
|
AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
Amazon CloudWatch | Activité de CloudWatch l'API Amazon sur les métriques. |
CloudWatch métrique | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | Activité de l'API Amazon CloudWatch RUM sur les moniteurs d'applications. |
Moniteur de l'application RUM | AWS::RUM::AppMonitor |
Amazon CodeGuru Profiler | CodeGuru Activité de l'API Profiler sur les groupes de profilage. | CodeGuru Groupe de profilage | AWS::CodeGuruProfiler::ProfilingGroup |
Amazon CodeWhisperer | Activité de CodeWhisperer l'API Amazon lors d'une personnalisation. | CodeWhisperer personnalisation | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | Activité de CodeWhisperer l'API Amazon sur un profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Activité de l'API Amazon Cognito sur les réserves d'identités Amazon Cognito. |
Réserves d’identités Cognito | AWS::Cognito::IdentityPool |
AWS Data Exchange | AWS Data Exchange Activité de l'API sur les actifs. |
Actif Data Exchange |
|
AWS Deadline Cloud | Deadline CloudActivité de l'API sur les flottes. |
Deadline Cloud flotte |
|
AWS Deadline Cloud | Deadline CloudActivité de l'API sur les jobs. |
Deadline Cloud travail |
|
AWS Deadline Cloud | Deadline CloudActivité de l'API sur les files d'attente. |
Deadline Cloud queue |
|
AWS Deadline Cloud | Deadline CloudActivité de l'API sur les travailleurs. |
Deadline Cloud travailleur |
|
Amazon DynamoDB | Activité de l'API Amazon DynamoDB sur les flux. |
DynamoDB Streams | AWS::DynamoDB::Stream |
AWS Messagerie SMS à l'utilisateur final | AWS Activité de l'API de messagerie SMS de l'utilisateur final sur les identités d'origine. | Identité d'origine des SMS Voice | AWS::SMSVoice::OriginationIdentity |
AWS Messagerie SMS à l'utilisateur final | AWS Activité de l'API SMS de messagerie de l'utilisateur final sur les messages. | SMS (message vocal) | AWS::SMSVoice::Message |
AWS Messagerie sociale destinée aux utilisateurs finaux | AWS Activité de l'API sociale de messagerie de l'utilisateur final sur le numéro de téléphone IDs. | Numéro de téléphone de messagerie sociale | AWS::SocialMessaging::PhoneNumberId |
AWS Messagerie sociale destinée aux utilisateurs finaux | AWS Activité de l'API sociale de messagerie utilisateur final sur Waba IDs. | Messagerie sociale Waba ID | AWS::SocialMessaging::WabaId |
Amazon Elastic Block Store | Amazon EBS direct APIs | AWS::EC2::Snapshot |
|
Amazon EMR | Activité de l'API Amazon EMR sur un espace de travail de journalisation à écriture anticipée. | Espace de travail de journalisation à écriture anticipée EMR | AWS::EMRWAL::Workspace |
Amazon FinSpace | Activité de l'API Amazon FinSpace sur les environnements. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Activité de l'API sur les tables créées par Lake Formation. |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | Activité de GuardDuty l'API Amazon pour un détecteur. |
GuardDuty détecteur | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging Activité de l'API sur les magasins de données. |
MedicalImaging magasin de données | AWS::MedicalImaging::Datastore |
AWS IoT | Certificat IoT | AWS::IoT::Certificate |
|
AWS IoT | Un truc lié à l'IoT | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | Activité de l'API Greengrass depuis un appareil principal de Greengrass sur une version de composant. NoteGreengrass n'enregistre pas les cas de refus d'accès. |
Version du composant IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | Activité de l'API Greengrass depuis un appareil principal de Greengrass lors d'un déploiement. NoteGreengrass n'enregistre pas les cas de refus d'accès. |
Déploiement de Greengrass pour l'IoT | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | SiteWise Actif IoT | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | Activité de SiteWise l'API IoT sur les séries chronologiques. |
Séries SiteWise chronologiques sur l'IoT | AWS::IoTSiteWise::TimeSeries |
AWS IoT SiteWise Assistante | Activité de l'API Sitewise Assistant sur les conversations. |
Conversation avec Sitewise Assistant | AWS::SitewiseAssistant::Conversation |
AWS IoT TwinMaker | Activité de TwinMaker l'API IoT sur une entité. |
TwinMaker Entité IoT | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | Activité de TwinMaker l'API IoT sur un espace de travail. |
Espace de TwinMaker travail IoT | AWS::IoTTwinMaker::Workspace |
Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra) | Activité de l'API de classement intelligent Amazon Kendra sur les plans d'exécution de réévaluation. |
Classement Kendra | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (pour Apache Cassandra) | Activité de l'API Amazon Keyspaces sur une table. | Table Cassandra | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Activité de l'API Kinesis Data Streams sur les flux. | Kinesis Stream | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Activité de l'API Kinesis Data Streams sur les utilisateurs des streams. | Consommateur Kinesis Stream | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Activité de l'API Kinesis Video Streams sur les flux vidéo, tels que les appels GetMedia vers PutMedia et. |
Flux vidéo Kinesis | AWS::KinesisVideo::Stream |
Cartes de localisation Amazon | Activité de l'API Amazon Location Maps. | Cartes géographiques | AWS::GeoMaps::Provider |
Amazon Location Places | Activité de l'API Amazon Location Places. | Géolocalisations | AWS::GeoPlaces::Provider |
Itinéraires de localisation Amazon | Activité de l'API Amazon Location Routes. | Itinéraires géographiques | AWS::GeoRoutes::Provider |
Amazon Machine Learning | Activité de l'API Machine Learning sur les modèles ML. | Apprentissage automatique MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | Activité de l'API Amazon Managed Blockchain sur un réseau. |
Réseau Managed Blockchain | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Appels Amazon Managed Blockchain JSON-RPC sur les nœuds Ethereum, tels que |
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Managed Workflows for Apache Airflow | Activité de l'API Amazon MWAA sur les environnements. |
Apache Airflow géré | AWS::MWAA::Environment |
Graphe Amazon Neptune | Les activités de l’API de données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune. |
Graphe Neptune | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | Activité de l'API Amazon One Enterprise sur un UKey. |
Amazon One UKey | AWS::One::UKey |
Amazon One Enterprise | Activité de l'API Amazon One Enterprise sur les utilisateurs. |
Utilisateur d'Amazon One | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography Activité de l'API sur les alias. | Alias de cryptographie de paiement | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography Activité de l'API sur les clés. | Clé de cryptographie de paiement | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Connecteur pour l'activité de l'API Active Directory. |
AWS Private CA Connecteur pour Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Connecteur pour l'activité de l'API SCEP. |
AWS Private CA Connecteur pour SCEP | AWS::PCAConnectorSCEP::Connector |
Applications Amazon Q | Activité de l'API de données sur Amazon Q Apps. |
Applications Amazon Q | AWS::QApps::QApp |
Applications Amazon Q | Activité de l'API de données sur les sessions de l'application Amazon Q. |
Session de l'application Amazon Q | AWS::QApps::QAppSession |
Amazon Q Business | Activité de l’API Amazon Q Business sur une application. |
Application Amazon Q Business | AWS::QBusiness::Application |
Amazon Q Business | Activité de l’API Amazon Q Business sur une source de données. |
Source de données Amazon Q Business | AWS::QBusiness::DataSource |
Amazon Q Business | Activité de l’API Amazon Q Business sur un index. |
Indice Amazon Q Business | AWS::QBusiness::Index |
Amazon Q Business | Activité de l’API Amazon Q Business dans le cadre d’une expérience Web. |
Expérience Web Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon Q Developer | Activité de l'API Amazon Q Developer sur une intégration. |
Q Intégration aux développeurs | AWS::QDeveloper::Integration |
Amazon Q Developer | Activité de l'API Amazon Q Developer sur les enquêtes opérationnelles. |
AIOps Groupe d'enquête | AWS::AIOps::InvestigationGroup |
Amazon RDS | Activité de l'API Amazon RDS sur un cluster de base de données. |
API de données RDS - Cluster de bases de données | AWS::RDS::DBCluster |
Explorateur de ressources AWS | Activité de l'API Resource Explorer sur les vues gérées. |
Explorateur de ressources AWS vue gérée | AWS::ResourceExplorer2::ManagedView |
Explorateur de ressources AWS | Activité de l'API Resource Explorer sur les vues. |
Explorateur de ressources AWS vue | AWS::ResourceExplorer2::View |
Amazon S3 | Activité de l'API Amazon S3 sur les points d'accès. |
Points d’accès S3 | AWS::S3::AccessPoint |
Amazon S3 | Activité de l'API au niveau de l'objet Amazon S3 (par exemple, |
S3 Express | AWS::S3Express::Object |
Amazon S3 | Activité de l'API des points d'accès Amazon S3 Object Lambda, comme les appels vers |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Tables Amazon S3 | Activité de l'API Amazon S3 sur les tables. |
Tableau S3 | AWS::S3Tables::Table |
Tables Amazon S3 | Activité de l'API Amazon S3 sur les compartiments de table. |
seau de table S3 | AWS::S3Tables::TableBucket |
Amazon S3 sur Outposts | Activité de l'API au niveau de l'objet Amazon S3 on Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker AI | InvokeEndpointWithResponseStream Activité d'Amazon SageMaker AI sur les terminaux. |
SageMaker Point de terminaison IA | AWS::SageMaker::Endpoint |
Amazon SageMaker AI | Activité de l'API Amazon SageMaker AI sur les magasins de fonctionnalités. |
SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
Amazon SageMaker AI | Activité de l'API Amazon SageMaker AI sur les composants des essais expérimentaux. |
SageMaker Composant d'essai expérimental sur les métriques de l'IA | AWS::SageMaker::ExperimentTrialComponent |
AWS Signer | Activité de l'API du signataire sur les tâches de signature. |
Job de signature de signataire | AWS::Signer::SigningJob |
AWS Signer | Activité de l'API des signataires sur les profils de signature. |
Profil de signature du signataire | AWS::Signer::SigningProfile |
Amazon SimpleDB | Activité de l'API Amazon SimpleDB sur les domaines. |
Domaine SimpleDB | AWS::SDB::Domain |
Amazon SNS | Opérations d'API |
Point de terminaison de la plateforme SNS | AWS::SNS::PlatformEndpoint |
Amazon SNS | Opérations d'API |
Rubrique SNS | AWS::SNS::Topic |
Amazon SQS | Activité de l’API Amazon SQS sur les messages. |
SQS | AWS::SQS::Queue |
AWS Step Functions | Activité de l'API Step Functions sur les activités. |
Step Functions | AWS::StepFunctions::Activity |
AWS Step Functions | Activité de l'API Step Functions sur les machines à états. |
Machine d’état Step Functions | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain Activité de l'API sur une instance. |
Chaîne d'approvisionnement | AWS::SCN::Instance |
Amazon SWF | Domaine SWF | AWS::SWF::Domain |
|
AWS Systems Manager | Activité de l'API Systems Manager sur les canaux de contrôle. | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | Activité de l'API Systems Manager sur les nœuds gérés. | Nœud géré par Systems Manager | AWS::SSM::ManagedNode |
Amazon Timestream | Activité de l'API Query d'Amazon Timestream sur des bases de données. |
Base de données Timestream | AWS::Timestream::Database |
Amazon Timestream | Activité de l'API Amazon Timestream sur les points de terminaison régionaux. | Point de terminaison régional Timestream | AWS::Timestream::RegionalEndpoint |
Amazon Timestream | Activité de l'API Query d'Amazon Timestream sur des tables. |
Table Timestream | AWS::Timestream::Table |
Amazon Verified Permissions | Activité de l'API Amazon Verified Permissions sur un magasin de politiques. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces Activité de l'API Thin Client sur un appareil. | Appareil client léger | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | WorkSpaces Activité de l'API Thin Client dans un environnement. | Client léger d’environnement | AWS::ThinClient::Environment |
AWS X-Ray | X-Ray Trace | AWS::XRay::Trace |
Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements liés aux données, vous devez ajouter explicitement chaque type de ressource pour lequel vous souhaitez collecter l'activité. Pour plus d'informations sur la journalisation des événements de données, veuillez consulter Journalisation des événements de données.
Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, consultez la section AWS CloudTrail Tarification
Événements liés à l'activité du réseau
Note
Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.
CloudTrail les événements d'activité réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Les événements d'activité réseau fournissent une visibilité sur les opérations sur les ressources effectuées au sein d'un VPC.
Vous pouvez enregistrer les événements liés à l'activité réseau pour les services suivants :
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Les événements liés à l'activité réseau ne sont pas enregistrés par défaut lorsque vous créez un magasin de données de suivi ou d'événement. Pour enregistrer les événements liés à l'activité du CloudTrail réseau, vous devez définir explicitement la source d'événements pour laquelle vous souhaitez collecter l'activité. Pour de plus amples informations, veuillez consulter Enregistrement des événements liés à l'activité du réseau.
Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité du réseau. Pour les CloudTrail tarifs, consultez la section AWS CloudTrail Tarification
Événements Insights
CloudTrail Les événements Insights capturent le taux d'appels d'API ou les taux d'erreur inhabituels de votre AWS compte en analysant les activités CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que l’API associée, le code d’erreur, l’heure de l’incident et les statistiques, ce qui vous aide à comprendre et à agir par rapport à l’activité inhabituelle. Contrairement aux autres types d'événements enregistrés dans un CloudTrail magasin de données de suivi ou d'événements, les événements Insights sont enregistrés uniquement lorsque des modifications sont CloudTrail détectées dans l'utilisation de l'API de votre compte ou dans la journalisation du taux d'erreur qui diffèrent considérablement des modèles d'utilisation habituels du compte. Pour de plus amples informations, veuillez consulter Travailler avec CloudTrail Insights.
Voici des exemples d’activité susceptibles de générer des événements Insights :
-
Votre compte ne consigne généralement pas plus de 20 appels d'API
deleteBucket
Amazon S3 par minute, mais commence à consigner une moyenne de 100 appels d'APIdeleteBucket
par minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle. -
Votre compte enregistre généralement 20 appels par minute vers l' EC2
AuthorizeSecurityGroupIngress
API Amazon, mais il commence à n'en enregistrer aucunAuthorizeSecurityGroupIngress
. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle. -
En règle générale, votre compte se connecte à moins d'une erreur
AccessDeniedException
sur une période de sept jours sur AWS Identity and Access Management l’API,DeleteInstanceProfile
. Votre compte commence à journaliser en moyenne 12 erreursAccessDeniedException
par minute surDeleteInstanceProfile
l’appel API. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.
Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.
Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement les événements Insights sur un magasin de données de parcours ou d'événements nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Création d'un parcours à l'aide de la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créez un magasin de données d'événements pour les événements Insights avec la console.
Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, consultez AWS CloudTrail Pricing
Historique des événements
CloudTrail l'historique des événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours d'événements de CloudTrail gestion dans un. Région AWS Vous pouvez utiliser cet historique pour obtenir de la visibilité sur les actions effectuées sur votre AWS compte dans AWS Management Console les AWS SDKs outils de ligne de commande et dans d'autres AWS services. Vous pouvez personnaliser l'affichage de l'historique des événements dans la CloudTrail console en sélectionnant les colonnes à afficher. Pour de plus amples informations, veuillez consulter Utilisation de l'historique des CloudTrail événements.
Journaux de suivi
Un suivi est une configuration qui permet de transmettre des CloudTrail événements à un compartiment S3, avec une livraison facultative à CloudWatch Logs et Amazon EventBridge. Vous pouvez utiliser un suivi pour choisir les CloudTrail événements que vous souhaitez diffuser, crypter vos fichiers journaux d' CloudTrail événements à l'aide d'une AWS KMS clé et configurer les notifications Amazon SNS pour la livraison des fichiers journaux. Pour plus d'informations sur la création et la gestion d'un journal de suivi, consultez Création d'un parcours pour votre Compte AWS.
Sentiers multirégionaux et monorégionaux
Vous pouvez créer des sentiers multirégionaux ou monorégionaux pour votre. Compte AWS
- Sentiers multirégionaux
-
Lorsque vous créez un journal multirégional, enregistrez CloudTrail les événements dans l'ensemble Régions AWS de la AWS partition sur laquelle vous travaillez et délivre les fichiers journaux d' CloudTrail événements dans un compartiment S3 que vous spécifiez. Si un Région AWS est ajouté après avoir créé un parcours multirégional, cette nouvelle région est automatiquement incluse et les événements de cette région sont enregistrés. La création d'un journal de suivi multi-régions est une bonne pratique recommandée, car vous pouvez journaliser l'activité dans toutes les régions dans votre compte. Tous les sentiers que vous créez à l'aide de la CloudTrail console sont multirégionaux. Vous pouvez convertir un parcours à région unique en un parcours multirégional à l'aide du. AWS CLI Pour plus d’informations, consultez Création d'un parcours à l'aide de la console et Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions.
- Sentiers d'une seule région
-
Lorsque vous créez un parcours d'une seule région, CloudTrail enregistre les événements de cette région uniquement. Il fournit ensuite les fichiers journaux d' CloudTrail événements à un compartiment Amazon S3 que vous spécifiez. Vous ne pouvez créer un journal de suivi à région unique qu'à l'aide de l' AWS CLI. Si vous créez des pistes uniques supplémentaires, vous pouvez faire en sorte que ces pistes fournissent des fichiers journaux d' CloudTrail événements dans le même compartiment S3 ou dans des compartiments séparés. Il s'agit de l'option par défaut lorsque vous créez un parcours à l'aide de l'API AWS CLI ou de l' CloudTrail API. Pour de plus amples informations, veuillez consulter Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.
Note
Pour les deux types de journaux de suivi, vous pouvez spécifier un compartiment Amazon S3 de n'importe quelle région.
Un sentier multirégional présente les avantages suivants :
-
Les paramètres de configuration du sentier s'appliquent de manière cohérente à tous Régions AWS.
-
Vous recevez les CloudTrail événements de tous Régions AWS dans un seul compartiment Amazon S3 et, éventuellement, dans un groupe de CloudWatch journaux Logs.
-
Vous gérez la configuration des sentiers pour tous Régions AWS à partir d'un seul endroit.
Lorsque vous appliquez une piste à toutes les AWS régions, CloudTrail utilisez la piste que vous créez dans une région particulière pour créer des pistes avec des configurations identiques dans toutes les autres régions de la AWS partition dans laquelle vous travaillez.
Cela a les effets suivants :
-
CloudTrail fournit des fichiers journaux pour l'activité du compte provenant de toutes les AWS régions vers le compartiment Amazon S3 unique que vous spécifiez et, éventuellement, vers un groupe de CloudWatch journaux de journaux.
-
Si vous avez configuré une rubrique Amazon SNS pour le suivi, les notifications SNS concernant les livraisons de fichiers journaux dans toutes les AWS régions sont envoyées à cette rubrique SNS unique.
Qu'il s'agisse d'un parcours multirégional ou mono-régional, les événements envoyés à Amazon EventBridge sont reçus dans le bus d'événements de chaque région, plutôt que dans un seul bus d'événements.
Plusieurs journaux de suivi par région
Si vous avez des groupes d'utilisateurs différents mais associés, comme des développeurs, du personnel de sécurité et des auditeurs informatiques, vous pouvez créer plusieurs journaux de suivi par région. Cela permet à chaque groupe de recevoir son propre exemplaire des fichiers journaux.
CloudTrail prend en charge cinq sentiers par région. Un sentier multirégional compte pour un sentier par région.
Voici un exemple de région comportant cinq sentiers :
-
Vous créez deux journaux de suivi dans la région USA Ouest (Californie du Nord) qui s'appliquent uniquement à cette région.
-
Vous créez deux autres sentiers multirégionaux dans la région de l'ouest des États-Unis (Californie du Nord).
-
Vous créez un autre parcours multirégional dans la région Asie-Pacifique (Sydney). Ce journal de suivi existe aussi comme journal de suivi dans la région USA Ouest (Californie du Nord).
Vous pouvez consulter la liste des sentiers Région AWS dans une page des sentiers de la CloudTrail console. Pour de plus amples informations, veuillez consulter Mettre à jour un parcours avec la CloudTrail console. Pour les CloudTrail tarifs, consultez la section AWS CloudTrail
Tarification
Sentiers d'organisation
Un suivi d'organisation est une configuration qui permet de transférer les CloudTrail événements du compte de gestion et de tous les comptes membres d'une AWS Organizations organisation vers le même compartiment Amazon S3, CloudWatch les mêmes journaux et Amazon EventBridge. La création d’un journal de suivi d’organisation vous permet de définir une stratégie de journalisation des événements uniforme pour votre organisation.
Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements associés aux comptes activés Régions AWS dans chaque compte membre de l'organisation. Pour enregistrer les événements dans toutes les AWS partitions de votre organisation, créez un journal d'organisation multirégional dans chaque partition. Vous pouvez créer un journal d'organisation à région unique ou multirégionale à l'aide du. AWS CLI Si vous créez un sentier à région unique, vous enregistrez l'activité uniquement dans le sentier Région AWS (également appelé région d'origine).
Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations relatives à l'activation et à la désactivation des régions dans le Guide de AWS Account Management référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.
Lorsque vous créez un historique d'organisation, une copie du journal portant le nom que vous lui donnez est créée dans les comptes des membres appartenant à votre organisation.
-
Si le parcours de l'organisation est destiné à une seule région et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur chaque compte membre.
-
Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier est une région optionnelle, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.
-
Si le parcours de l'organisation est multirégional et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.
-
Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.
Note
CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :
-
une politique de compartiment Amazon S3 incorrecte
-
une politique de rubrique Amazon SNS incorrecte
-
impossibilité de livrer à un groupe de CloudWatch journaux Logs
-
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un parcours d'organisation en consultant la page de détails du parcours sur la CloudTrail console ou en exécutant le AWS CLI get-trail-statuscommande.
Les utilisateurs autorisés CloudTrail à accéder aux comptes membres pourront consulter le parcours de l'organisation (y compris l'ARN du journal) lorsqu'ils se connectent à la CloudTrail console depuis leur AWS
compte ou lorsqu'ils exécutent des AWS CLI commandes telles que describe-trails
(bien que les comptes membres doivent utiliser l'ARN pour le suivi de l'organisation, et non le nom, lorsqu'ils utilisent le AWS CLI). Toutefois, les utilisateurs des comptes membres ne disposeront pas des autorisations suffisantes pour supprimer les traces de l'organisation, activer ou désactiver la connexion, modifier les types d'événements enregistrés ou modifier de quelque manière que ce soit les traces de l'organisation. Pour plus d’informations sur AWS Organizations, consultez Terminologie et concepts Organizations. Pour plus d'informations sur la création et l'utilisation de journaux de suivi de l'organisation, consultez Création d'un journal de suivi pour une organisation.
CloudTrail Magasins de données sur les lacs et les événements
CloudTrail Lake vous permet d'exécuter des requêtes SQL précises sur vos événements et de consigner les événements provenant de sources extérieures AWS, notamment de vos propres applications et de partenaires intégrés à ces derniers. CloudTrail Il n'est pas nécessaire de configurer un sentier dans votre compte pour utiliser CloudTrail Lake.
Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Vous pouvez enregistrer les requêtes Lake pour une utilisation ultérieure et afficher les résultats des requêtes pendant sept jours au maximum. Vous pouvez également enregistrer les résultats des requêtes dans un compartiment S3. CloudTrail Lake peut également stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements, ou les événements provenant de plusieurs régions et comptes. CloudTrail Lake fait partie d'une solution d'audit qui vous aide à effectuer des enquêtes de sécurité et à résoudre des problèmes. Pour plus d’informations, consultez Travailler avec AWS CloudTrail Lake et CloudTrail Concepts et terminologie relatifs aux lacs.
CloudTrail Perspectives
CloudTrail Insights aide AWS les utilisateurs à identifier et à répondre aux volumes inhabituels d'appels d'API ou aux erreurs enregistrées lors des appels d'API en analysant en permanence les événements CloudTrail de gestion. Un événement Insights est un registre de niveaux inhabituels de l’activité de l’API de gestion write
ou niveaux inhabituels d’erreurs renvoyés lors de l’activité de l’API de gestion. Par défaut, les magasins de données de parcours et d'événements n'enregistrent pas les événements CloudTrail Insights. Dans la console, vous pouvez choisir de journaliser les événements Insights lorsque vous créez ou mettez à jour un journal de suivi ou un entrepôt de données d'événement. Lorsque vous utilisez l' CloudTrail API, vous pouvez enregistrer les événements Insights en modifiant les paramètres d'un magasin de données de suivi ou d'événement existant à l'aide de l'PutInsightSelectors
API. Des frais supplémentaires s'appliquent pour la journalisation CloudTrail des événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, veuillez consulter les sections Travailler avec CloudTrail Insights et Tarification d'AWS CloudTrail
Balises
Une balise est une clé définie par le client et une valeur facultative qui peuvent être attribuées à AWS des ressources, telles que les CloudTrail parcours, les magasins de données d'événements et les canaux, les compartiments S3 utilisés pour stocker les fichiers CloudTrail journaux, les AWS Organizations organisations et les unités organisationnelles, etc. En ajoutant les mêmes balises aux sentiers et aux compartiments S3 que vous utilisez pour stocker les fichiers journaux des sentiers, vous pouvez faciliter la gestion, la recherche et le filtrage de ces ressources. AWS Resource Groups Vous pouvez mettre en œuvre des stratégies d'étiquette pour vous aider à trouver et gérer vos ressources uniformément, efficacement et facilement. Pour plus d'informations, consultez la section Meilleures pratiques en matière de balisage AWS des ressources.
AWS Security Token Service et CloudTrail
AWS Security Token Service (AWS STS) est un service doté d'un point de terminaison global et prenant également en charge les points de terminaison spécifiques à une région. Un point de terminaison est une URL qui constitue le point d’entrée des demandes de service Web. Par exemple, https://cloudtrail.us-west-2.amazonaws.com
est le point d'entrée régional du AWS CloudTrail service dans l'ouest des États-Unis (Oregon). Les points de terminaison régionaux aident à réduire la latence dans vos applications.
Lorsque vous utilisez un point de AWS STS terminaison spécifique à une région, le parcours de cette région fournit uniquement les AWS STS événements qui se produisent dans cette région. Par exemple, si vous utilisez le point de terminaison sts.us-west-2.amazonaws.com
, le journal de suivi de la région us-west-2 fournit uniquement les événements AWS STS provenant de la région us-west-2. Pour plus d'informations sur les points de terminaison AWS STS régionaux, consultez la section Activation et désactivation AWS STS dans une AWS région dans le guide de l'utilisateur IAM.
Pour une liste complète des points de terminaison AWS régionaux, voir AWS Régions et points de terminaison dans le. Références générales AWS Pour plus de détails sur les événements de points de terminaison AWS STS mondiaux, consultez Événements de services mondiaux.
Événements de services mondiaux
Important
Depuis le 22 novembre 2021, la façon dont les sentiers capturent les événements liés au service mondial AWS CloudTrail a changé. Désormais, les événements créés par Amazon CloudFront AWS STS sont enregistrés dans la région dans laquelle ils ont été créés, la région USA Est (Virginie du Nord), us-east-1. AWS Identity and Access Management Cela rend le CloudTrail traitement de ces services cohérent avec celui des autres services AWS mondiaux. Pour continuer à recevoir les événements de service global en dehors des USA Est (Virginie du Nord), veillez à convertir les journaux de suivi à région unique utilisant des événements de services mondiaux en dehors des USA Est (Virginie du Nord) en journaux de suivi multi-régions. Pour plus d’informations sur la capture des événements de services mondiaux, consultez Activation et désactivation de la journalisation des événements de services mondiaux plus loin dans cette section.
En revanche, l'historique des événements de la CloudTrail console et la aws cloudtrail lookup-events commande afficheront ces événements Région AWS là où ils se sont produits.
Pour la plupart des services, les événements sont enregistrés dans la région où l’action s’est produite. Pour les services internationaux tels que AWS Identity and Access Management (IAM) et Amazon AWS STS CloudFront, les événements sont organisés sur tous les parcours qui incluent des services mondiaux.
Pour la plupart des services mondiaux, les événements sont journalisés comme s'ils se produisaient dans la région USA Est (Virginie du Nord), mais certains événements de service mondiaux sont journalisés comme s'ils se produisaient dans d'autres régions, comme la région USA Est (Ohio) ou la région USA Ouest (Oregon).
Pour éviter de recevoir des doublons d'événements de services globaux, n'oubliez pas les points suivants :
-
Les événements de service globaux sont transmis par défaut aux pistes créées à l'aide de la CloudTrail console. Les événements sont livrés au compartiment pour le journal de suivi.
-
Si vous avez plusieurs journaux de suivi sur une seule région, pensez à configurer vos journaux de suivi de manière à ce que les événements de services mondiaux soient diffusés dans un seul des journaux de suivi. Pour plus d'informations, consultez Activation et désactivation de la journalisation des événements de services mondiaux.
-
Si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à une région unique au lieu de s'appliquer à toutes les régions, la journalisation des événements de services mondiaux est désactivée automatiquement pour ce journal de suivi. De la même manière, si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à toutes les régions au lieu de s'appliquer à une région unique, la journalisation des événements de services mondiaux est activée automatiquement pour ce journal de suivi.
Pour plus d'informations sur la modification de la journalisation des événements de services mondiaux pour un journal de suivi, consultez Activation et désactivation de la journalisation des événements de services mondiaux.
Exemple :
-
Vous créez un parcours dans la CloudTrail console. Par défaut, ce journal de suivi consigne les événements de services mondiaux.
-
Vous avez plusieurs journaux de suivi à région unique.
-
Vous n'avez pas besoin d'inclure les services globaux pour les suivis à une région unique. Les événements de services mondiaux sont fournis pour le premier journal de suivi. Pour de plus amples informations, veuillez consulter Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.
Note
Lorsque vous créez ou mettez à jour un parcours à l'aide de l' CloudTrail API AWS CLI AWS SDKs, ou, vous pouvez spécifier s'il convient d'inclure ou d'exclure les événements de service globaux pour les sentiers. Vous ne pouvez pas configurer la journalisation globale des événements de service depuis la CloudTrail console.