Configuration de la surveillance des CloudWatch journaux avec la console Configuration de la surveillance des CloudWatch journaux avec le AWS CLI Limitation

Envoyer des événements à CloudWatch Logs

Lorsque vous configurez votre parcours pour envoyer des événements à CloudWatch Logs, il CloudTrail envoie uniquement les événements correspondant à vos paramètres de suivi. Par exemple, si vous configurez votre journal pour qu'il enregistre uniquement les événements liés aux données, il envoie les événements de données uniquement à votre groupe de CloudWatch journaux Logs. CloudTrail prend en charge l'envoi de données, d'informations et d'événements de gestion vers CloudWatch Logs. Pour plus d’informations, consultez Utilisation de fichiers CloudTrail journaux.

Note

Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail CreateTrail ou de UpdateTrail l'API.

Pour envoyer des événements à un groupe de CloudWatch journaux Logs :

Vérifiez que vous disposez des autorisations suffisantes pour créer ou spécifier un rôle IAM. Pour plus d’informations, consultez Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console.
Si vous configurez le groupe de CloudWatch journaux à l'aide du AWS CLI, assurez-vous de disposer des autorisations suffisantes pour créer un flux de CloudWatch journaux journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Pour plus d’informations, consultez Création d'un document de politique.
Créez un journal d'activité ou sélectionnez un journal d'activité existant. Pour plus d'informations, consultez Création et mise à jour d'un journal d'activité à l'aide de la console.
Créez un groupe de journaux ou indiquez-en un existant.
Spécifiez un rôle IAM. Si vous modifiez un rôle IAM existant pour un journal d'activité de l'organisation, vous devez mettre à jour manuellement la politique de façon à autoriser la journalisation du journal d'activité de l'organisation. Pour plus d'informations, consultez cet exemple de politique et Création d'un journal de suivi pour une organisation.
Attachez une politique de rôle ou utilisez la politique par défaut.

Table des matières

Configuration de la surveillance des CloudWatch journaux avec la console

Vous pouvez utiliser le AWS Management Console pour configurer votre journal afin d'envoyer des événements aux CloudWatch journaux à des fins de surveillance.

Création d'un groupe de journaux ou spécification d'un groupe de journaux existant

CloudTrail utilise un groupe de CloudWatch journaux comme point de terminaison de livraison pour les événements du journal. Vous pouvez créer un groupe de journaux ou spécifier un groupe existant.

Pour créer ou spécifier un groupe de journaux pour un suivi existant

Assurez-vous de vous connecter avec un utilisateur ou un rôle administratif disposant des autorisations suffisantes pour configurer l'intégration CloudWatch des journaux. Pour plus d’informations, consultez Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console.

Note
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail CreateTrail ou de UpdateTrail l'API.
Ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.
Choisissez le nom du journal d'activité. Si vous sélectionnez un suivi qui s'applique à toutes les régions, vous serez redirigé vers la région où le journal de suivi a été créé. Vous pouvez créer un groupe de journaux ou choisir un groupe de journaux existant dans la même région que le suivi.

Note
Un journal qui s'applique à toutes les régions envoie les fichiers journaux de toutes les régions au groupe de CloudWatch journaux journaux que vous spécifiez.
Dans CloudWatch Logs, sélectionnez Modifier.
Pour CloudWatch Logs, choisissez Enabled.
Dans Nom du groupe de journaux, choisissez Nouveau pour créer un nouveau groupe de journaux, ou Existant pour utiliser un groupe existant. Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom. Pour plus d'informations sur la dénomination, veuillez consulter CloudWatch dénomination des groupes de journaux et des flux de journaux pour CloudTrail.
Si vous choisissez Existant, choisissez un groupe de journaux dans la liste déroulante.
Dans Nom du rôle, choisissez Nouveau pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir Existant pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez Document de politique. Pour plus d'informations sur ce rôle, consultez Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.

Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.
Sélectionnez Enregistrer les modifications.

Spécification d’un rôle IAM

Vous pouvez spécifier un rôle CloudTrail à assumer pour transmettre les événements au flux de log.

Pour spécifier un rôle

Par défaut, le CloudTrail_CloudWatchLogs_Role est spécifié pour vous. La politique de rôle par défaut dispose des autorisations requises pour créer un flux de CloudWatch journaux dans un groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux.

Note
Si vous souhaitez utiliser ce rôle pour un groupe de journaux d'un journal d'activité d'organisation, vous devez modifier manuellement la politique après la création du rôle. Pour plus d'informations, consultez cet exemple de politique et Création d'un journal de suivi pour une organisation.
1. Pour vérifier le rôle, accédez à la AWS Identity and Access Management console à l'adresse https://console.aws.amazon.com/iam/.
2. Choisissez Rôles, puis choisissez le CloudTrail_ CloudWatchLogs _Role.
3. Dans l'onglet Autorisations, développez la politique pour afficher son contenu.
Vous pouvez spécifier un autre rôle, mais vous devez associer la politique de rôle requise au rôle existant si vous souhaitez l'utiliser pour envoyer des événements à CloudWatch Logs. Pour plus d’informations, consultez Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.

Affichage des événements dans la CloudWatch console

Après avoir configuré votre journal pour envoyer des événements à votre groupe de CloudWatch journaux Logs, vous pouvez consulter les événements dans la CloudWatch console. CloudTrail transmet généralement les événements à votre groupe de log dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le Contrat de niveau de service (SLA)AWS CloudTrail.

Pour afficher les événements dans la CloudWatch console

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le panneau de navigation de gauche, sous Journaux, choisissez Groupes de journaux.
Choisissez le groupe de journaux que vous avez spécifié pour votre journal d’activité.
Choisissez le flux de journaux que vous souhaitez afficher.
Pour afficher les détails de l’événement consigné par votre journal d’activité, choisissez un événement.

Note

La colonne Heure (UTC) de la CloudWatch console indique la date à laquelle l'événement a été transmis à votre groupe de journaux. Pour connaître l'heure réelle à laquelle l'événement a été enregistré CloudTrail, consultez le eventTime champ.

Configuration de la surveillance des CloudWatch journaux avec le AWS CLI

Vous pouvez utiliser le AWS CLI pour configurer l'envoi CloudTrail d'événements aux CloudWatch journaux à des fins de surveillance.

Création d’un groupe de journaux

Si vous n'avez pas de groupe de CloudWatch journaux existant, créez-en un en tant que point de terminaison de diffusion pour les événements de journal à l'aide de la create-log-group commande CloudWatch Logs.
```
aws logs create-log-group --log-group-name name
```
L’exemple suivant crée un groupe de journaux nommé CloudTrail/logs :
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
Récupérez l’Amazon Resource Name (ARN) du groupe de journaux.
```
aws logs describe-log-groups
```

Création d'un rôle

Créez un rôle lui CloudTrail permettant d'envoyer des événements au groupe de CloudWatch journaux Logs. La commande create-role IAM prend deux paramètres : un nom de rôle et un chemin d'accès vers un document de politique d'endossement de rôle au format JSON. Le document de politique que vous utilisez donne AssumeRole des autorisations à CloudTrail. La commande create-role crée le rôle avec les autorisations requises.

Pour créer le fichier JSON qui contiendra le document de politique, ouvrez un éditeur de texte et enregistrez le contenu de la politique suivante dans un fichier nommé assume_role_policy_document.json.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Exécutez la commande suivante pour créer le rôle avec AssumeRole des autorisations pour CloudTrail.


aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Lorsque la commande est terminée, prenez note de l’ARN du rôle dans la sortie.

Création d'un document de politique

Créez le document de politique de rôle suivant pour CloudTrail. Ce document accorde CloudTrail les autorisations requises pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux.


{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]
    }
  ]
}

Enregistrez le document de politique dans un fichier nommé role-policy-document.json.

Si vous créez une politique qui peut être utilisée pour les journaux d'activité de l'organisation, vous devrez la configurer légèrement différemment. Par exemple, la politique suivante accorde CloudTrail les autorisations requises pour créer un flux de journaux dans le groupe de CloudWatch journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux, à la fois pour les traces du AWS compte 111111111111 et pour les pistes d'organisation créées dans le compte 111111111111 qui sont appliquées à l'organisation avec l'ID o-exampleorgid : AWS Organizations


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Pour plus d'informations sur les journaux d'activité d'organisation, consultez Création d'un journal de suivi pour une organisation.

Exécutez la commande suivante pour appliquer la politique au rôle.


aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Mise à jour du journal d'activité

Mettez à jour le journal avec les informations relatives au groupe de journaux et au rôle à l'aide de la CloudTrail update-trail commande.


aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Pour plus d'informations sur les AWS CLI commandes, consultez la référence de ligne de AWS CloudTrail commande.

Limitation

CloudWatch Les journaux autorisent EventBridge chacun une taille d'événement maximale de 256 Ko. Bien que la taille maximale de la plupart des événements de service soit de 256 Ko, certains services comportent tout de même des événements plus importants. CloudTrail n'envoie pas ces événements à CloudWatch Logs ou EventBridge.

À CloudTrail partir de la version 1.05, la taille maximale des événements est de 256 Ko. Cela permet d'empêcher l'exploitation par des acteurs malveillants et de permettre à d'autres AWS services, tels que CloudWatch Logs et EventBridge.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs

Création d' CloudWatch alarmes pour CloudTrail des événements : exemples