Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d' CloudWatch alarmes pour CloudTrail des événements : exemples
Cette rubrique décrit comment configurer les alarmes pour les CloudTrail événements et inclut des exemples.
**Topics**
+ [Conditions préalables](#cloudwatch-alarms-prerequisites)
+ [Créer un filtre de métrique et une alarme](#cloudwatch-alarms-metric-filter-alarm)
+ [Exemple : modifications apportées à la configuration du groupe de sécurité](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Exemples d' AWS Management Console échecs de connexion](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Exemple : modifications apportées à une stratégie &IAM;](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configuration des notifications pour les alarmes CloudWatch Logs](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)
## Conditions préalables
Pour pouvoir utiliser les exemples dans cette rubrique, vous devez :
+ Créer un journal de suivi avec la console ou la CLI.
+ Créez un groupe de journaux, ce que vous pouvez faire dans le cadre de la création d'un journal de suivi. Pour plus d'informations sur la création d'un journal de suivi, consultez [Création d'un parcours à l'aide de la CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Spécifiez ou créez un rôle IAM qui accorde CloudTrail les autorisations nécessaires pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Le `CloudTrail_CloudWatchLogs_Role` par défaut s'en charge pour vous.
Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Les exemples présentés dans cette section sont exécutés dans la console Amazon CloudWatch Logs. Pour plus d'informations sur la création de filtres métriques et d'alarmes, consultez les sections [Création de métriques à partir des événements du journal à l'aide de filtres](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) et [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Créer un filtre de métrique et une alarme
Pour créer une alarme, vous devez d'abord créer un filtre de métrique, puis configurer une alarme basée sur le filtre. Les procédures sont affichées pour tous les exemples. Pour plus d'informations sur la syntaxe des filtres métriques et des modèles pour les événements de CloudTrail journal, consultez les sections relatives au JSON relatives à la [syntaxe des filtres et des modèles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) dans le guide de *l'utilisateur Amazon CloudWatch Logs*.
## Exemple : modifications apportées à la configuration du groupe de sécurité
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche lorsque des modifications de configuration sont apportées aux groupes de sécurité.
### Créer un filtre de métrique
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Journaux**, **Groupes de journaux**.
1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
1. Dans le menu **Filtres métriques** ou **Actions**, sélectionnez **Créer un filtre de métrique**.
1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).
```
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
```
1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **SecurityGroupEvents**.
1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.
1. Dans **Nom de la métrique**, saisissez **SecurityGroupEventCount**.
1. Dans **Valeur de métriques**, saisissez **1**.
1. Laissez la **Valeur par défaut** vide.
1. Choisissez **Next** Suivant.
1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.
### Créer une alarme
Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).
1. Pour **Spécifier la métrique et les conditions**, saisissez ce qui suit.
1. Pour **Graph** (Graphe), la ligne est définie sur **1** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.
1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **SecurityGroupEventCount**.
1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.
1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.
1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).
1. Pour **Whenever {{metric\_name}} is**, choisissez **Greater/Equal**.
1. Pour la valeur du seuil, saisissez **1**.
1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Sur la page **Configurer les actions**, choisissez **Notification**, puis sélectionnez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle **SecurityGroupEventCount**est en état d'alarme.
1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.
1. Saisissez **SecurityGroupChanges\_CloudWatch\_Alarms\_Topic** comme nom de la nouvelle rubrique Amazon SNS.
1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.
1. Choisissez **Create topic** (Créer une rubrique).
1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).
1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **Security group configuration changes** pour le nom, puis **Raises alarms if security group configuration changes occur** pour la description. Choisissez **Next** (Suivant).
1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.
## Exemples d' AWS Management Console échecs de connexion
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche en cas d'échec de AWS Management Console connexion au moins trois fois sur une période de cinq minutes.
### Créer un filtre de métrique
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Journaux**, **Groupes de journaux**.
1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
1. Dans le menu **Filtres métriques** ou **Actions**, sélectionnez **Créer un filtre de métrique**.
1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).
```
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
```
1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **ConsoleSignInFailures**.
1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.
1. Dans **Nom de la métrique**, saisissez **ConsoleSigninFailureCount**.
1. Dans **Valeur de métriques**, saisissez **1**.
1. Laissez la **Valeur par défaut** vide.
1. Choisissez **Next** Suivant.
1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.
### Créer une alarme
Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).
1. Dans la page **Create alarm** (Créer une alarme), dans **Specify metric and conditions** (Spécifier la métrique et les conditions), saisissez ce qui suit.
1. Pour **Graph** (Graphe), la ligne est définie sur **3** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.
1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **ConsoleSigninFailureCount**.
1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.
1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.
1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).
1. Pour **Whenever {{metric\_name}} is**, choisissez **Greater/Equal**.
1. Pour la valeur du seuil, saisissez **3**.
1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Sur la page **Configurer les actions**, pour **Notification**, choisissez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil de 3 événements de changement en 5 minutes est dépassé et qu'elle **ConsoleSigninFailureCount**est en état d'alarme.
1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.
1. Saisissez **ConsoleSignInFailures\_CloudWatch\_Alarms\_Topic** comme nom de la nouvelle rubrique Amazon SNS.
1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.
1. Choisissez **Create topic** (Créer une rubrique).
1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).
1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **Console sign-in failures** pour le nom, puis **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** pour la description. Choisissez **Next** (Suivant).
1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.
## Exemple : modifications apportées à une stratégie &IAM;
Suivez cette procédure pour créer une CloudWatch alarme Amazon qui est déclenchée lorsqu'un appel d'API est effectué pour modifier une politique IAM.
### Créer un filtre de métrique
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Logs** (Journaux).
1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.
1. Choisissez **Actions**, puis **Create metric filter** (Créer un filtre de métrique).
1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).
```
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
```
1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **IAMPolicyChanges**.
1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.
1. Dans **Nom de la métrique**, saisissez **IAMPolicyEventCount**.
1. Dans **Valeur de métriques**, saisissez **1**.
1. Laissez la **Valeur par défaut** vide.
1. Choisissez **Next** Suivant.
1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.
### Créer une alarme
Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.
1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).
1. Dans la page **Create alarm** (Créer une alarme), dans **Specify metric and conditions** (Spécifier la métrique et les conditions), saisissez ce qui suit.
1. Pour **Graph** (Graphe), la ligne est définie sur **1** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.
1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **IAMPolicyEventCount**.
1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.
1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.
1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).
1. Pour **Whenever {{metric\_name}} is**, choisissez **Greater/Equal**.
1. Pour la valeur du seuil, saisissez **1**.
1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).
1. Sur la page **Configurer les actions**, pour **Notification**, choisissez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle **IAMPolicyEventCount**est en état d'alarme.
1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.
1. Saisissez **IAM\_Policy\_Changes\_CloudWatch\_Alarms\_Topic** comme nom de la nouvelle rubrique Amazon SNS.
1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.
Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.
1. Choisissez **Create topic** (Créer une rubrique).
1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).
1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **IAM Policy Changes** pour le nom, puis **Raises alarms if IAM policy changes occur** pour la description. Choisissez **Next** (Suivant).
1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.
Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.
## Configuration des notifications pour les alarmes CloudWatch Logs
Vous pouvez configurer CloudWatch Logs pour envoyer une notification chaque fois qu'une alarme est déclenchée CloudTrail. Cela vous permet de réagir rapidement aux événements opérationnels critiques enregistrés dans les CloudTrail événements et détectés par CloudWatch les journaux. CloudWatch utilise Amazon Simple Notification Service (SNS) pour envoyer des e-mails. Pour plus d'informations, consultez la section [Configuration des notifications Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) dans le guide de l'*CloudWatch utilisateur*.