Créez un magasin de données d'événements à l'aide du AWS CLI - AWS CloudTrail
Créez un magasin de données d'événements pour les événements de données S3 à l'aide du AWS CLICréez un magasin de données d'événements pour les événements liés à l'activité KMS du réseau à l'aide du AWS CLICréez un magasin de données d'événements pour les éléments AWS Config de configuration avec le AWS CLICréez un magasin de données sur les événements d'organisation pour la gestion des événements avec le AWS CLICréez des banques de données d'événements pour les événements Insights à l'aide du AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un magasin de données d'événements à l'aide du AWS CLI

Cette section décrit comment utiliser la create-event-data-storecommande pour créer un magasin de données d'événements et fournit des exemples des différents types de magasins de données d'événements que vous pouvez créer.

Lorsque vous créez un magasin de données d’événement, le seul paramètre requis est --name, qui est utilisé pour identifier le magasin de données d’événement. Vous pouvez configurer des paramètres facultatifs supplémentaires, notamment :

  • --advanced-event-selectors : Spécifie le type d’événements à inclure dans le magasin de données d’événement. Par défaut, les magasins de données d’événement journalisent tous les événements de gestion. Pour plus d'informations sur les sélecteurs d'événements avancés, reportez-vous AdvancedEventSelectorà la section CloudTrail API Référence.

  • --kms-key-id- Spécifie l'ID de KMS clé à utiliser pour chiffrer les événements délivrés par CloudTrail. La valeur peut être un nom d'alias préfixé paralias/, une valeur entièrement spécifiée ARN à un alias, une clé entièrement spécifiée ARN ou un identifiant unique global.

  • --multi-region-enabled- Crée un magasin de données d'événements multirégional qui enregistre les événements pour tous les utilisateurs Régions AWS de votre compte. Par défaut, --multi-region-enabled est défini, même si le paramètre n’est pas ajouté.

  • --organization-enabled : Permet à un magasin de données d’événement de collecter des événements pour tous les comptes d’une organisation. Le magasin de données d’événement n’est pas activé par défaut pour tous les comptes d’une organisation .

  • --billing-mode : Détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour le magasin de données d’événement.

    Les valeurs possibles sont les suivantes :

    • EXTENDABLE_RETENTION_PRICING : Ce mode de facturation est généralement recommandé si vous ingérez moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 3 653 jours (environ 10 ans). La période de conservation par défaut pour ce mode de facturation est de 366 jours.

    • FIXED_RETENTION_PRICING : Ce mode de facturation est recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 2 557 jours (environ 7 ans). La période de conservation par défaut pour ce mode de facturation est de 2 557 jours.

    La valeur par défaut est EXTENDABLE_RETENTION_PRICING.

  • --retention-period : Le nombre de jours pendant lesquels les événements doivent être conservés dans le magasin de données d’événement. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode.

  • --start-ingestion : Le paramètre --start-ingestion démarre l’ingestion d’événement sur le magasin de données d’événement lors de sa création. Ce paramètre est défini même s’il n’est pas ajouté.

    Spécifiez le paramètre --no-start-ingestion si vous ne souhaitez pas que le magasin de données d’événement ingère des événements en direct. Par exemple, vous souhaiterez peut-être définir ce paramètre si vous copiez des événements dans le magasin de données d’événement et que vous prévoyez de n’utiliser les données d’événement que pour analyser des événements passés. Le paramètre --no-start-ingestion n’est valide que lorsque le paramètre eventCategory est défini sur Management, Data ou ConfigurationItem.

Les exemples suivants montrent comment créer différents types de magasins de données d’événement.

Créez un magasin de données d'événements pour les événements de données S3 à l'aide du AWS CLI

La create-event-data-store commande example AWS Command Line Interface (AWS CLI) suivante crée un magasin de données d'événements nommé my-event-data-store qui sélectionne tous les événements de données Amazon S3 et est chiffré à l'aide d'une KMS clé.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

Voici un exemple de réponse.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Créez un magasin de données d'événements pour les événements liés à l'activité KMS du réseau à l'aide du AWS CLI

Note

Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.

L'exemple suivant montre comment créer un magasin de données d'événements pour inclure les événements d'activité VpceAccessDenied réseau pour AWS KMS. Cet exemple définit le errorCode champ comme étant égal aux VpceAccessDenied événements et le eventSource champ comme égal àkms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

La commande renvoie l’exemple de résultat suivant.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Pour plus d'informations sur les événements liés à l'activité du réseau, consultezEnregistrement des événements liés à l'activité du réseau.

Créez un magasin de données d'événements pour les éléments AWS Config de configuration avec le AWS CLI

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements nommé config-items-eds qui sélectionne des éléments AWS Config de configuration. Pour collecter des éléments de configuration, spécifiez que le champ eventCategory est égal à ConfigurationItem dans les sélecteurs d’événements avancés.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Voici un exemple de réponse.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Créez un magasin de données sur les événements d'organisation pour la gestion des événements avec le AWS CLI

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements d'organisation qui collecte tous les événements de gestion et définit le --billing-mode paramètre surFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

Voici un exemple de réponse.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Créez des banques de données d'événements pour les événements Insights à l'aide du AWS CLI

Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui collecte les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion.

Cette procédure explique comment créer les entrepôts de données d'événement de destination et d'origine, puis activer les événements Insights.

  1. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement de destination qui collecte les événements Insights. La valeur pour eventCategory doit être Insight. Remplacez retention-period-days par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode.

    Si vous êtes connecté avec le compte de gestion d'une AWS Organizations organisation, incluez le --organization-enabled paramètre si vous souhaitez donner à votre administrateur délégué l'accès au magasin de données d'événements.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Voici un exemple de réponse.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Vous utiliserez le ARN (ou le suffixe d'identification duARN) de la réponse comme valeur du --insights-destination paramètre à l'étape 3.

  2. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement source qui journalise les événements de gestion. Par défaut, les entrepôts de données d'événement journalisent les événements de gestion et aucun événement de données. Il n'est pas nécessaire de spécifier les sélecteurs d'événements avancés si vous souhaitez journaliser tous les événements de gestion. Remplacez retention-period-days par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode. Si vous créez un magasin de données d’événement d’organisation, incluez le paramètre --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Voici un exemple de réponse.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Vous utiliserez le ARN (ou le suffixe d'identification duARN) de la réponse comme valeur du --event-data-store paramètre à l'étape 3.

  3. Exécutez la commande put-insight-selectors pour activer les événements Insights. Les valeurs du sélecteur Insights peuvent être ApiCallRateInsight, ApiErrorRateInsight, ou les deux. Pour le --event-data-store paramètre, spécifiez le ARN (ou le suffixe d'ID duARN) du magasin de données d'événements source qui enregistre les événements de gestion et activera Insights. Pour le --insights-destination paramètre, spécifiez le ARN (ou le suffixe d'ID duARN) du magasin de données d'événements de destination qui enregistrera les événements Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Le résultat suivant montre le sélecteur d'événements Insights configuré pour l'entrepôt de données d'événement.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Une fois que vous avez activé CloudTrail Insights pour la première fois sur un magasin de données d'événements, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.

    CloudTrail Insights analyse les événements de gestion qui se produisent dans une seule région, et non à l'échelle mondiale. Un événement CloudTrail Insights est généré dans la même région que les événements de gestion connexes.

    Dans le cas d'un magasin de données sur les événements d'une organisation, il CloudTrail analyse les événements de gestion du compte de chaque membre au lieu d'analyser l'agrégation de tous les événements de gestion de l'organisation.

Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.