**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Journaliser les appels d’API en tant qu’événements AWS CloudTrail
Amazon EKS est intégré à AWS CloudTrail. CloudTrail est un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un service AWS dans Amazon EKS. CloudTrail capture tous les appels d'API pour Amazon EKS en tant qu'événements. Cela inclut les appels de la console Amazon EKS et les appels de code aux opérations de l'API Amazon EKS.
Si vous créez un journal d'activité, vous pouvez activer la livraison continue d'événements CloudTrail à un compartiment Amazon S3, y compris des événements pour Amazon S3. Cela inclut les événements pour Amazon EKS. Si vous ne configurez pas de piste, vous pouvez toujours afficher les événements les plus récents dans la console CloudTrail dans **Historique des événements**. Grâce aux informations collectées par CloudTrail, vous pouvez déterminer plusieurs détails sur une demande. Par exemple, vous pouvez déterminer quand la demande a été envoyée à Amazon EKS, l'adresse IP à partir de laquelle la demande a été effectuée et qui a effectué la demande.
Pour en savoir plus sur CloudTrail, consultez le [Guide de l’utilisateur AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Voir les références utiles pour AWS CloudTrail](service-name-info-in-cloudtrail.md)
+ [Analyser les entrées du fichier journal AWS CloudTrail](understanding-service-name-entries.md)
+ [Afficher les métriques pour les groupes Amazon EC2 Auto Scaling](enable-asg-metrics.md)
# Voir les références utiles pour AWS CloudTrail
Lorsque vous créez votre compte AWS, CloudTrail est également activé dans votre compte AWS. Lorsqu'une activité se produit dans Amazon EKS, cette activité est enregistrée dans un événement CloudTrail avec d'autres événements de service AWS dans **Event history** (Historique des événements). Vous pouvez afficher, rechercher et télécharger les événements récents dans votre compte AWS. Pour plus d'informations, consultez [Affichage des événements avec l'historique des événements CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour enregistrer en continu des événements de votre compte AWS, y compris les événements pour Amazon EKS, créez un journal d'activité. Un *journal d'activité* permet à CloudTrail d'envoyer des fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS. Le journal d'activité consigne les événements de toutes les Régions dans la partition AWSAWS et transfère les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d’autres services AWS pour analyser plus en détail les données d’événement collectées dans les journaux CloudTrail et agir en conséquence. Pour plus d'informations, veuillez consulter les ressources suivantes.
+ [Présentation de la création d’un journal de suivi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Intégrations et services pris en charge par CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers journaux CloudTrail de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [Réception de fichiers journaux CloudTrail de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les actions Amazon EKS sont consignées par CloudTrail et documentées dans la [référence d'API Amazon EKS](https://docs.aws.amazon.com/eks/latest/APIReference/). Par exemple, les appels aux sections [CreateCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html), [ListClusters](https://docs.aws.amazon.com/eks/latest/APIReference/API_ListClusters.html) et [DeleteCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_DeleteCluster.html) génèrent des entrées dans les fichiers journaux CloudTrail.
Chaque événement ou entrée de journal contient des détails sur le type d'identité IAM ayant effectué la demande, ainsi que les informations d'identification qui ont été utilisées. Si des informations d'identification temporaires ont été utilisées, l'entrée montre comment ces informations d'identification ont été obtenues.
Pour plus d’informations, consultez l’[élément userIdentity CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Analyser les entrées du fichier journal AWS CloudTrail
Un journal de suivi est une configuration qui permet d’envoyer des événements sous forme de fichiers journaux à un compartiment Amazon S3 de votre choix. Les fichiers journaux CloudTrail peuvent contenir une ou plusieurs entrées. Un événement représente une demande émise par une source et comprend des informations sur l'action demandée. Cela comprend des informations comme la date et l'heure de l'action et les paramètres de demande qui ont été utilisés. Les fichiers journaux CloudTrail ne constituent pas une série ordonnée retraçant les appels d’API publics. Ils ne suivent aucun ordre précis.
L'exemple suivant montre une entrée de journal CloudTrail qui illustre l'[action `CreateCluster`](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/username",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "username"
},
"eventTime": "2018-05-28T19:16:43Z",
"eventSource": "eks.amazonaws.com",
"eventName": "CreateCluster",
"awsRegion": "region-code",
"sourceIPAddress": "205.251.233.178",
"userAgent": "PostmanRuntime/6.4.0",
"requestParameters": {
"resourcesVpcConfig": {
"subnetIds": [
"subnet-a670c2df",
"subnet-4f8c5004"
]
},
"roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
"clusterName": "test"
},
"responseElements": {
"cluster": {
"clusterName": "test",
"status": "CREATING",
"createdAt": 1527535003.208,
"certificateAuthority": {},
"arn": "arn:aws:eks:region-code:111122223333:cluster/test",
"roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
"version": "1.10",
"resourcesVpcConfig": {
"securityGroupIds": [],
"vpcId": "vpc-21277358",
"subnetIds": [
"subnet-a670c2df",
"subnet-4f8c5004"
]
}
}
},
"requestID": "a7a0735d-62ab-11e8-9f79-81ce5b2b7d37",
"eventID": "eab22523-174a-499c-9dd6-91e7be3ff8e3",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
## Entrées de journal des rôles liés à un service Amazon EKS
Les rôles liés à un service Amazon EKS effectuent des appels d'API vers les ressources AWS. Des entrées de journal CloudTrail avec `username: AWSServiceRoleForAmazonEKS` et `username: AWSServiceRoleForAmazonEKSNodegroup` apparaissent pour des appels effectués par les rôles liés à un service Amazon EKS. Pour plus d'informations sur Amazon EKS et les rôles liés aux services, consultez [Utilisation des rôles liés à un service pour Amazon EKS](using-service-linked-roles.md).
L’exemple suivant montre une entrée du journal CloudTrail qui illustre une action [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html) effectuée par le rôle lié à un service `AWSServiceRoleForAmazonEKSNodegroup`, noté dans le `sessionContext`.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3WHGPEZ7SJ2CW55C5:EKS",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAmazonEKSNodegroup/EKS",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA3WHGPEZ7SJ2CW55C5",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/eks-nodegroup.amazonaws.com/AWSServiceRoleForAmazonEKSNodegroup",
"accountId": "111122223333",
"userName": "AWSServiceRoleForAmazonEKSNodegroup"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-02-26T00:56:33Z"
}
},
"invokedBy": "eks-nodegroup.amazonaws.com"
},
"eventTime": "2020-02-26T00:56:34Z",
"eventSource": "iam.amazonaws.com",
"eventName": "DeleteInstanceProfile",
"awsRegion": "region-code",
"sourceIPAddress": "eks-nodegroup.amazonaws.com",
"userAgent": "eks-nodegroup.amazonaws.com",
"requestParameters": {
"instanceProfileName": "eks-11111111-2222-3333-4444-abcdef123456"
},
"responseElements": null,
"requestID": "11111111-2222-3333-4444-abcdef123456",
"eventID": "11111111-2222-3333-4444-abcdef123456",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Afficher les métriques pour les groupes Amazon EC2 Auto Scaling
Les groupes de nœuds gérés Amazon EKS disposent par défaut des métriques du groupe Amazon EC2 Auto Scaling, sans frais supplémentaires. Le groupe Auto Scaling envoie des données échantillonnées à Amazon CloudWatch toutes les minutes. Ces métriques peuvent être affinées par le nom des groupes Auto Scaling. Ils vous offrent une visibilité continue sur l’historique du groupe Auto Scaling qui alimente vos groupes de nœuds gérés, comme les changements de taille du groupe au fil du temps. Les métriques du groupe Auto Scaling sont disponibles dans [Amazon CloudWatch](https://aws.amazon.com/cloudwatch) ou dans la console Auto Scaling. Pour plus d’informations, consultez la section [Surveiller les métriques CloudWatch pour vos groupes et instances Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html).
Grâce à la collecte des métriques du groupe Auto Scaling, vous pouvez surveiller la mise à l’échelle des groupes de nœuds gérés. Les métriques de groupe Auto Scaling indiquent les tailles minimale, maximale et souhaitée d'un groupe Auto Scaling. Vous pouvez créer une alarme si le nombre de nœuds d'un groupe de nœuds est inférieur à la taille minimale, ce qui indique que le groupe est défectueux. Le suivi de la taille des groupes de nœuds permet également d’ajuster le nombre maximal afin que votre plan de données ne se retrouve pas à court de capacité.
Si vous préférez que ces mesures ne soient pas collectées, vous pouvez choisir de désactiver toutes ou seulement certaines d’entre elles. Par exemple, vous pouvez procéder ainsi pour éviter le bruit dans vos tableaux de bord CloudWatch. Pour plus d’informations, consultez [Métriques Amazon CloudWatch pour Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html).