Comment utiliser CloudTrail pour examiner les appels et les actions d'API qui ont eu lieu dans mon compte AWS ?

Lecture de 5 minute(s)

Comment puis-je examiner les actions qui se sont produites dans mon compte AWS, telles que les connexions à la console ou la résiliation d'une instance ?

Brève description

Vous pouvez utiliser les données AWS CloudTrail pour consulter et suivre les appels d'API effectués vers votre compte à l'aide des méthodes suivantes :

Remarque : Tous les services AWS ne disposent pas de journaux enregistrés et disponibles avec CloudTrail. Pour obtenir la liste des services AWS intégrés à CloudTrail, consultez les rubriques relatives aux services AWS pour CloudTrail.

Résolution

Remarque : Si des erreurs surviennent lors de l’exécution des commandes de l’interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez bien la version la plus récente de l’AWS CLI.

Historique des événements CloudTrail

Consultation de l'historique des événements CloudTrail dans la console CloudTrail

Vous pouvez consulter tous les services et intégrations pris en charge et les types d'événements (activités de création, de modification, de suppression et non modifiables) au cours des 90 derniers jours. Il n'est pas nécessaire de configurer un suivi pour utiliser l'historique des événements CloudTrail.

Pour des instructions, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Consultation de l'historique des événements CloudTrail dans l'AWS CLI

Remarque : Pour rechercher des événements à l'aide de l'AWS CLI, vous devez créer un journal de suivi et le configurer pour être enregistré dans CloudWatch Logs. Pour plus d'informations, consultez la section Création d’un journal de suivi. Consultez également la section Envoi d'événements à CloudWatch Logs.

Exécutez la commande filter-log-events pour appliquer des filtres de métriques afin de rechercher des termes, des phrases et des valeurs spécifiques dans vos événements de journal. Vous pouvez ensuite les transformer en métriques et en alarmes CloudWatch.

Pour plus d'informations, consultez la section Syntaxe des filtres et des modèles.

Remarque : Pour utiliser la commande filter-log-events à grande échelle (par exemple, automatisation ou script), il est recommandé d'utiliser les filtres d'abonnement CloudWatch Logs. Cela est dû au fait que l'action d'API filter-log-events comporte des limites d'API. Les filtres d'abonnement ne comportent pas de telles limites. Les filtres d'abonnement permettent également de traiter de grandes quantités de données de journal en temps réel. Pour en savoir plus, consultez la section Quotas de CloudWatch Logs.

CloudTrail Lake

CloudTrail Lake vous permet d'agréger, de stocker de manière immuable et d'exécuter des requêtes SQL sur vos événements. Vous pouvez même stocker des données dans CloudTrail Lake pendant une durée maximale de sept ans, soit 2 555 jours.

Pour plus d’informations, consultez la section Utilisation de CloudTrail Lake.

Amazon CloudWatch Logs

Remarque : Pour utiliser CloudWatch Logs, vous devez créer un journal de suivi et le configurer pour vous connecter à CloudWatch Logs. Pour plus d'informations, consultez la section Création d’un journal de suivi. Consultez également la section Envoi d'événements à CloudWatch Logs.

Vous pouvez utiliser CloudWatch Logs pour rechercher des opérations qui modifient l'état d'une ressource (par exemple, StopInstances). Vous pouvez également utiliser CloudWatch Logs pour rechercher des opérations qui ne modifient pas l'état d'une ressource (par exemple, DescribeInstances). Pour des instructions, consultez la section Consulter les données de journal envoyées à CloudWatch Logs.

Gardez à l’esprit les points suivants :

Vous devez configurer CloudTrail de manière explicite pour envoyer des événements à CloudWatch Logs, même si vous avez déjà créé un journal de suivi.
Vous ne pouvez pas consulter l'activité antérieure à la configuration des journaux.
Il peut y avoir plusieurs flux de journaux, en fonction de la taille et du volume des événements. Pour effectuer une recherche dans tous les flux, choisissez Rechercher un groupe de journaux avant de sélectionner un flux individuel.
CloudWatch Logs ayant une limite de taille d'événement de 256 Ko, CloudTrail n'envoie pas d'événements supérieurs à 256 Ko à CloudWatch Logs.

Requêtes Amazon Athena

Vous pouvez utiliser Amazon Athena pour consulter les événements de données CloudTrail et les événements de gestion stockés dans votre compartiment Amazon S3.

Pour plus d’informations, consultez la section Comment puis-je créer automatiquement des tables dans Amazon Athena pour effectuer des recherches dans les journaux AWS CloudTrail ? Consultez également la section Création de la table pour les journaux CloudTrail dans Athena à l'aide du partitionnement manuel.

Fichiers journaux archivés Amazon S3

Remarque : Pour consulter les fichiers journaux archivés d'Amazon S3, vous devez créer un journal de suivi et le configurer pour vous connecter à un compartiment S3. Pour plus d'informations, consultez la section Création d’un journal de suivi.

Vous pouvez afficher tous les événements capturés par CloudTrail dans les fichiers journaux Amazon S3. Vous pouvez également analyser manuellement les fichiers journaux du compartiment S3 à l’aide de la bibliothèque de traitement CloudTrail, de l'AWS CLI, ou envoyer des journaux aux partenaires AWS CloudTrail.

Pour des instructions, consultez la section Événements Amazon S3 CloudTrail.

Remarque : Un journal de suivi doit être activé pour vous connecter à un compartiment S3.