Comment puis-je activer les journaux d'audit dans OpenSearch Service ?

Lecture de 4 minute(s)

Je souhaite activer les journaux d'audit pour Amazon OpenSearch Service.

Brève description

L'activation des journaux d'audit se fait en deux étapes. Commencez par configurer votre domaine pour publier les journaux d'audit dans Amazon CloudWatch Logs. Ensuite, activez et configurez les journaux d'audit dans OpenSearch Dashboards.

Pour en savoir plus, reportez-vous à Surveillance des journaux d'audit dans Amazon OpenSearch Service.

Résolution

Remarque : si vous recevez des messages d'erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez bien la version la plus récente d'AWS CLI.

Activer les journaux d'audit et créer une stratégie d'accès

1. Ouvrez la console OpenSearch Service.

2. Dans le volet de navigation, choisissez Domaines, puis choisissez votre domaine.

3. Choisissez l'onglet Journaux, sélectionnez Journaux d'audit, puis choisissez Activer.

4. Créez un groupe de journaux CloudWatch ou choisissez-en un existant.

5. Créez une stratégie d'accès similaire à la suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "es.amazonaws.com"
      },
      "Action": [
        "logs:PutLogEvents",
        "logs:CreateLogStream"
      ],
      "Resource": "cw_log_group_arn"
    }
  ]
}

6. Choisissez Activer.

Activer les journaux d'audit dans OpenSearch Dashboards

1. Ouvrez OpenSearch Dashboards, puis choisissez Sécurité dans le volet de navigation.

2. Choisissez Journaux d'audit.

3. Choisissez Activer la journalisation des audits.

Un exemple de configuration est disponible dans Exemple de journal d'audit.

Corriger les erreurs du journal d'audit

Vous n'avez pas configuré les options de sécurité avancées

Lorsque vous activez les journaux d'audit et que le contrôle d'accès détaillé n'est pas activé sur votre domaine, vous recevez le message d'erreur suivant :

« UpdateDomainConfig: {"message":"la publication du journal d'audit ne peut pas être activée, car aucune option de sécurité avancée n'est configurée."} »

Pour corriger cette erreur, activez un contrôle d'accès précis.

Limite de ressources dépassée

Lorsque le nombre maximal de stratégies de ressources CloudWatch Logs est atteint par région AWS, vous recevez le message d'erreur suivant :

« PutResourcePolicy: {"__type":"LimitExceededException","message":"Limite de ressources dépassée."} »

Vous pouvez avoir jusqu'à 10 stratégies de ressources CloudWatch Logs par région et par compte. Vous ne pouvez pas modifier ce quota. Pour en savoir plus, reportez-vous à Quotas de CloudWatch Logs.

Pour activer les journaux pour plusieurs domaines, vous pouvez réutiliser une stratégie qui inclut plusieurs groupes de journaux.

Exécutez la commande AWS CLI suivante pour vérifier les stratégies de ressources de votre compte par région :

aws logs describe-resource-policies --region <region-name>

Remarque : remplacez region-name par le nom de votre région.

Pour mettre à jour votre stratégie en matière de ressources afin de couvrir plusieurs groupes de journaux, ajoutez un caractère générique « * ». Vous pouvez également configurer plusieurs instructions à partir de différentes stratégies de ressources pour tous les groupes de journaux et supprimer les anciennes stratégies. Par exemple, si les noms de vos groupes de journaux commencent par /aws/OpenSearchService/domains/, vous pouvez créer une stratégie de ressources qui s'applique à /aws/OpenSearchService/domains/*

L'exemple de stratégie de ressources suivant vous permet d'utiliser une seule stratégie de ressources pour tous les groupes de journaux commençant par /aws/OpenSearchService/domains/* :

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Principal": {

        "Service": "es.amazonaws.com"

      },

      "Action": [

        "logs:PutLogEvents",

        "logs:CreateLogStream"

      ],

      "Resource": "arn:aws:logs:us-east-1:<account id>:log-group:/aws/OpenSearchService/domains/*:*"

    }

  ]

}

Vous pouvez désormais sélectionner cette stratégie mise à jour lorsque vous activez les journaux d'audit.

La stratégie d'accès au groupe de journaux CloudWatch Logs n'accorde pas suffisamment d'autorisations

Lorsque vous essayez d'activer la publication du journal d'audit, vous pouvez recevoir le message d'erreur suivant :

« La stratégie d'accès aux ressources spécifiée pour le groupe de journaux CloudWatch Logs n'accorde pas suffisamment d'autorisations pour qu'Amazon OpenSearch Service puisse créer un flux de journaux. Veuillez vous référer à la stratégie d'accès aux ressources. »

Pour corriger cette erreur, vérifiez que l'élément de ressource de votre stratégie inclut bien le bon ARN du groupe de journaux.

Informations connexes

Comment puis-je résoudre les problèmes de contrôle d'accès précis dans mon cluster OpenSearch Service ?

Résolution des problèmes liés à Amazon OpenSearch Service

Sujets

Sans serveur Analytique

Balises

Amazon OpenSearch Service

Langue

Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Création image AMI fait passer instance EC2 en erreur
Erwan
demandé il y a un an
[workmail] Le système n'a pas pu livrer votre courrier.
romain
demandé il y a 4 mois
elastic disaster recovery - Authenticate with service
Réponse acceptée
rePost-User-5960561
demandé il y a un an
Problème de facturation inattendue avec Amazon Web Services
rePost-User-1581363
demandé il y a un an
supprimé un service
SAID
demandé il y a 9 mois
Comment activer le filtrage des journaux dans AWS WAF ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre les problèmes de journaux lents dans Amazon OpenSearch Service ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre les problèmes liés aux journaux CloudWatch afin qu'ils soient diffusés vers mon domaine OpenSearch Service ?
AWS OFFICIELA mis à jour il y a un an
Comment activer les journaux de débogage dans mon pilote JDBC/ODBC Athena ?
AWS OFFICIELA mis à jour il y a 3 ans