Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Afficher les événements de gestion récents à l'aide du AWS CLI
Vous pouvez consulter les événements CloudTrail de gestion des 90 derniers jours pour le moment à l' Région AWS aide de la **aws cloudtrail lookup-events** commande. La **aws cloudtrail lookup-events** commande affiche les événements Région AWS là où ils se sont produits.
La recherche prend en charge les attributs suivants pour les événements de gestion :
+ AWS clé d'accès
+ ID de l’événement
+ Nom de l’événement
+ Source de l’événement
+ Lecture seule
+ Nom de la ressource
+ Type de ressource
+ Nom utilisateur
Tous les autres attributs sont facultatifs.
La commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html) contient les options suivantes :
+ `--max-items`**— Le nombre total d'éléments à renvoyer dans la sortie de la commande. Si le nombre total d’éléments disponibles est supérieur à la valeur spécifiée, un jeton `NextToken` est fourni dans la sortie de la commande. Pour reprendre la pagination, fournissez la valeur de `NextToken` dans l'argument starting-token d'une commande suivante. N'utilisez pas l'élément de réponse `NextToken` directement en dehors de l' AWS CLI.
+ `--start-time`**— Spécifie que seuls les événements survenus après ou à l'heure spécifiée sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
+ `--lookup-attributes`**— Contient une liste d'attributs de recherche. Actuellement, la liste ne peut contenir qu'un seul élément.
+ `--generate-cli-skeleton`**— Imprime un squelette JSON sur une sortie standard sans envoyer de demande d'API. S'il est fourni sans valeur ou sans valeur, imprime un exemple d'entrée JSON qui peut être utilisé comme argument pour `--cli-input-json`. De même, si une entrée yaml est fournie, elle imprimera un exemple d'entrée YAML pouvant être utilisé avec `--cli-input-yaml`. Si la valeur en sortie est fournie, elle valide les entrées de commande et renvoie un exemple de sortie JSON pour cette commande. Le squelette JSON généré n'est pas stable entre les versions du AWS CLI et il n'existe aucune garantie de rétrocompatibilité dans le squelette JSON généré.
+ `--cli-input-json`**— Lit les arguments à partir de la chaîne JSON fournie. La chaîne JSON suit le format fourni par le paramètre `--generate-cli-skeleton`. Si d'autres arguments sont fournis sur la ligne de commande, ces valeurs remplaceront les valeurs fournies par JSON. Il n'est pas possible de transmettre des valeurs binaires arbitraires en utilisant une valeur fournie par JSON, car la chaîne sera interprétée littéralement. Cela ne peut pas être spécifié en même temps que le paramètre `--cli-input-yaml`.
Pour obtenir des informations générales sur l'utilisation de l'interface de ligne de AWS commande, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Conditions préalables](#aws-cli-prerequisites-for-aws-cloudtrail)
+ [Obtenir de l’aide de la ligne de commande](#getting-command-line-help)
+ [Recherche d’événements](#looking-up-events-with-the-aws-cli)
+ [Spécifier le nombre d’événements à renvoyer](#specify-the-number-of-events-to-return)
+ [Recherche d’événements par plage de temps](#look-up-events-by-time-range)
+ [Recherche d’événements par attribut](#look-up-events-by-attributes)
+ [Exemples de recherche d’attribut](#attribute-lookup-example)
+ [Spécifier la page de résultats suivante](#specify-next-page-of-lookup-results)
+ [Extraction de l’entrée JSON d’un fichier](#json-input-from-file)
+ [Champs de résultat de la recherche](#view-cloudtrail-events-cli-output-fields)
## Conditions préalables
+ Pour exécuter AWS CLI des commandes, vous devez installer le AWS CLI. Pour plus d'informations, voir [Commencer avec le AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assurez-vous que votre AWS CLI version est supérieure à 1.6.6. Pour vérifier la version de la CLI, exécutez **aws --version** sur la ligne de commande.
+ Pour définir le compte et Région AWS le format de sortie par défaut pour une AWS CLI session, utilisez la **aws configure** commande. Pour plus d'informations, voir [Configuration de l'interface de ligne de AWS commande](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
**Note**
Les CloudTrail AWS CLI commandes distinguent les majuscules et minuscules.
## Obtenir de l’aide de la ligne de commande
Pour voir l’aide de la ligne de commande pour `lookup-events`, tapez la commande suivante :
```
aws cloudtrail lookup-events help
```
## Recherche d’événements
**Important**
Le taux de demandes de recherche est limité à deux par seconde, par compte et par région. Si cette limite est dépassée, une erreur de régulation se produit.
Pour voir les dix derniers événements, tapez la commande suivante :
```
aws cloudtrail lookup-events --max-items 10
```
Un événement renvoyé ressemble à l’exemple fictif suivant, qui a été mis en forme pour faciliter la lecture :
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=",
"Events": [
{
"EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972",
"Username": "root",
"EventTime": 1424476529.0,
"CloudTrailEvent": "{
\"eventVersion\":\"1.02\",
\"userIdentity\":{
\"type\":\"Root\",
\"principalId\":\"111122223333\",
\"arn\":\"arn:aws:iam::111122223333:root\",
\"accountId\":\"111122223333\"},
\"eventTime\":\"2015-02-20T23:55:29Z\",
\"eventSource\":\"signin.amazonaws.com\",
\"eventName\":\"ConsoleLogin\",
\"awsRegion\":\"us-east-2\",
\"sourceIPAddress\":\"203.0.113.4\",
\"userAgent\":\"Mozilla/5.0\",
\"requestParameters\":null,
\"responseElements\":{\"ConsoleLogin\":\"Success\"},
\"additionalEventData\":{
\"MobileVersion\":\"No\",
\"LoginTo\":\"https://console.aws.amazon.com/console/home",
\"MFAUsed\":\"No\"},
\"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\",
\"eventType\":\"AwsApiCall\",
\"recipientAccountId\":\"111122223333\"}",
"EventName": "ConsoleLogin",
"Resources": []
}
]
}
```
Pour une explication des champs liés à la recherche dans la sortie, consultez la section [Champs de résultat de la recherche](#view-cloudtrail-events-cli-output-fields) ultérieurement dans ce document. Pour une explication des champs de l' CloudTrail événement, voir[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
## Spécifier le nombre d’événements à renvoyer
Pour spécifier le nombre d’événements à renvoyer, tapez la commande suivante :
```
aws cloudtrail lookup-events --max-items
```
Les valeurs possibles vont de 1 à 50. L'exemple suivant renvoie un événement.
```
aws cloudtrail lookup-events --max-items 1
```
## Recherche d’événements par plage de temps
Les événements survenus au cours des 90 derniers jours sont disponibles pour la recherche. Pour spécifier une plage de temps, tapez la commande suivante :
```
aws cloudtrail lookup-events --start-time --end-time
```
`--start-time ` spécifie, in UTC, que seuls les événements qui se produisent au moment indiqué ou après sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
`--end-time ` spécifie, en UTC, que seuls les événements qui se produisent au moment indiqué ou avant sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés en UTC.
## Recherche d’événements par attribut
Pour filtrer selon un attribut, tapez la commande suivante :
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=,AttributeValue=
```
Vous ne pouvez spécifier qu'une seule key/value paire d'attributs pour chaque **lookup-events** commande. Les valeurs suivantes sont valides pour `AttributeKey`. Les noms de valeur sont sensibles à la casse.
+ `AccessKeyId`
+ `EventId`
+ `EventName`
+ `EventSource`
+ `ReadOnly`
+ `ResourceName`
+ `ResourceType`
+ `Username`
La longueur maximale du `AttributeValue` est de 2 000 caractères. Les caractères suivants (« `_` », « ` ` », « `,` », « `\\n` ») comptent pour deux caractères dans la limite de 2000 caractères.
### Exemples de recherche d’attribut
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `AccessKeyId` est `AKIAIOSFODNN7EXAMPLE`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
```
L'exemple de commande suivant renvoie l'événement pour le `EventId` CloudTrail spécifié.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `EventName` est `RunInstances`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
```
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `EventSource` est `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
```
L’exemple de commande suivant renvoie des événements d’écriture. Elle exclut les événements de lecteur, tels que `GetBucketLocation` et `DescribeStream`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
```
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `ResourceName` est `CloudTrail_CloudWatchLogs_Role`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
```
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `ResourceType` est `AWS::S3::Bucket`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
```
L’exemple de commande suivant renvoie les événements dans lesquels la valeur de `Username` est `root`.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```
## Spécifier la page de résultats suivante
Pour obtenir la page de résultats suivante à partir d’une commande `lookup-events`, tapez la commande suivante :
```
aws cloudtrail lookup-events --next-token=
```
où la valeur pour ** est extraite du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez `--next-token` dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante :
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit :
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
```
## Extraction de l’entrée JSON d’un fichier
AWS CLI Pour certains AWS services, `--generate-cli-skeleton` deux paramètres peuvent être utilisés pour générer un modèle JSON que vous pouvez modifier et utiliser comme entrée pour le `--cli-input-json` paramètre. `--cli-input-json` Cette section décrit comment utiliser ces paramètres avec `aws cloudtrail lookup-events`. Pour des informations plus générales, voir [AWS CLI squelettes et fichiers d'entrée](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Pour rechercher CloudTrail des événements en obtenant une entrée JSON à partir d'un fichier**
1. Créer un modèle d’entrée à utiliser avec `lookup-events` en redirigeant la sortie de `--generate-cli-skeleton` vers un fichier, comme dans l’exemple suivant.
```
aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt
```
Le fichier modèle généré (dans ce cas, LookupEvents .txt) ressemble à ceci :
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L’entrée JSON doit contenir uniquement des valeurs qui sont spécifiées.
**Important**
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Pour utiliser le fichier modifié en entrée, utilisez la syntaxe `--cli-input-json file://`**, comme dans l'exemple suivant :
```
aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
```
**Note**
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que `--cli-input-json`.
## Champs de résultat de la recherche
**Événements**
Liste des événements de recherche basée sur l’attribut de recherche et la plage de temps qui ont été spécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque entrée contient des informations sur la demande de recherche et inclut une représentation sous forme de chaîne de l' CloudTrail événement récupéré.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.
**CloudTrailEvent**
Chaîne JSON qui contient une représentation d’objet de l’événement renvoyé. Pour plus d’informations sur chacun des éléments renvoyés, consultez [Contenu du corps d’un enregistrement](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Chaîne qui contient le GUID de l’événement retourné.
**EventName**
Chaîne qui contient le nom de l’événement renvoyé.
**EventSource**
Le AWS service auquel la demande a été adressée.
**EventTime**
Date et heure, au format de temps UNIX, de l’événement.
**Ressources**
Liste de ressources référencées par l’événement qui a été renvoyé. Chaque entrée de ressource spécifie un type de ressource et un nom de ressource.
**ResourceName**
Chaîne qui contient le nom de la ressource référencée par l’événement.
**ResourceType**
Chaîne qui contient le type d’une ressource référencée par l’événement. Lorsque le type de ressource ne peut pas être déterminé, la valeur null est renvoyée.
**Username**
Chaîne qui contient le nom d’utilisateur du compte pour l’événement renvoyé.
**NextToken**
Chaîne pour obtenir la page de résultats suivante d’une commande `lookup-events` précédente. Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d’origine. Si aucune entrée `NextToken` n’apparaît dans la sortie, cela signifie qu’il n’y a aucun résultat à renvoyer.