Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Journalisation des événements de gestion Événements de gestion Par défaut, les journaux de suivi et les entrepôts de données d'événement journalisent les événements de gestion et n'incluent pas les événements de données ou les événements Insights. Des frais supplémentaires s'appliquent pour les événements de données ou Insights. Pour plus d'informations, consultez [AWS CloudTrail Pricing](https://aws.amazon.com/cloudtrail/pricing/) (Tarification CTlong). **Contents** + [ ## Événements de gestion ](#logging-management-events) + [ ## Evénements de lecture et d'écriture ](#read-write-events-mgmt) + [ ## Enregistrement des événements de gestion à l'aide du AWS Management Console ](#logging-management-events-with-the-cloudtrail-console) + [ ### Mettre à jour les paramètres des événements de gestion pour un parcours existant ](#logging-management-events-with-the-cloudtrail-console-trail) + [ ### Mise à jour des paramètres de gestion des événements pour une banque de données d'événements existante ](#logging-management-events-with-the-cloudtrail-console-eds) + [ ## Enregistrement des événements de gestion à l'aide du AWS CLI ](#creating-mgmt-event-selectors-with-the-AWS-CLI) + [ ### Exemples : journalisation des événements de gestion pour les journaux de suivi ](#log-mgmt-events-trails-examples) + [ #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements avancés ](#log-mgmt-events-trails-examples-adv) + [ #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements de base ](#log-mgmt-events-trails-examples-basic) + [ ### Exemples : journalisation des événements de gestion pour les entrepôts de données d'événement ](#log-mgmt-events-eds-examples) + [ #### Exemple : Exclure les événements AWS KMS de gestion ](#log-mgmt-events-eds-examples-kms) + [ #### Exemple : Exclure les événements de gestion Amazon RDS ](#log-mgmt-events-eds-examples-rds) + [ #### Exemple : Exclure Service AWS des événements et des événements des AWS Management Console sessions ](#log-mgmt-events-eds-examples-service) + [ #### Exemple : Exclure des événements de gestion pour une identité IAM spécifique ](#log-mgmt-events-eds-examples-useridentity) + [ ## Enregistrement des événements de gestion à l'aide du AWS SDKs ](#logging-management-events-with-the-AWS-SDKs) ## Événements de gestion Les événements de gestion fournissent une visibilité sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle. Les événements de gestion sont notamment les suivants: + Configuration de la sécurité (par exemple, les opérations API `AttachRolePolicy` IAM) + Enregistrement des appareils (par exemple, les opérations API `CreateDefaultVpc` Amazon EC2) + Configuration des règles de routage des données (par exemple, les opérations API `CreateSubnet` Amazon EC2) + Configuration de la journalisation (par exemple, les opérations AWS CloudTrail `CreateTrail` d'API) Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'`ConsoleLogin`événement. Pour de plus amples informations, veuillez consulter [Événements non liés à l'API capturés par CloudTrail](cloudtrail-non-api-events.md). Par défaut, les journaux de suivi et les entrepôts de données d'événement sont configurés pour journaliser les événements de gestion. **Note** La fonctionnalité CloudTrail **d'historique des événements** ne prend en charge que les événements de gestion. Vous ne pouvez pas exclure AWS KMS les événements de l'API Amazon RDS Data de **l'historique** des événements ; les paramètres que vous appliquez à un magasin de données de suivi ou d'événement ne s'appliquent pas à **l'historique des événements**. Pour de plus amples informations, veuillez consulter [Utilisation de l'historique des CloudTrail événements](view-cloudtrail-events.md). ## Evénements de lecture et d'écriture Quand vous configurez votre journal de suivi ou votre entrepôt de données d'événement pour journaliser les événements de gestion, vous pouvez spécifier si voulez les événements en lecture seule, les événements en écriture seule ou les deux. + **Read** (Lire) Les événements en lecture seule englobent les opérations API qui lisent vos ressources, mais n'y apportent pas de modifications. Par exemple, les événements en lecture seule comprennent les opérations API `DescribeSecurityGroups` et `DescribeSubnets` de Amazon EC2. Ces opérations renvoient uniquement les informations relatives à vos ressources Amazon EC2 et elles ne modifient pas vos configurations. + **Write** (Écrire) Les événements en écriture seule englobent les opérations d'API qui modifient (ou peuvent modifier) vos ressources. Par exemple, les opérations API `RunInstances` et `TerminateInstances` de Amazon EC2 modifient vos instances. **Exemple : la journalisation des événements lire et écrire pour des journaux de suivi distincts** L'exemple suivant montre comment configurer vos journaux de suivi pour fractionner l'activité de journalisation d'un compte dans des compartiments S3 distincts: un compartiment reçoit les événements en lecture seule, et le second, les événements en écriture seule. 1. Vous créez un journal de suivi et choisissez un compartiment S3 nommé `amzn-s3-demo-bucket1` pour recevoir les fichiers journaux. Ensuite, vous mettez à jour le journal de suivi pour spécifier que vous voulez les événements de gestion **Read** (Lire). 1. Vous créez un deuxième journal de suivi et choisissez un compartiment S3 nommé `amzn-s3-demo-bucket2` pour recevoir les fichiers journaux. Ensuite, vous mettez à jour le journal de suivi pour spécifier que vous voulez les événements de gestion **Write** (Écrire). 1. Les opérations API `DescribeInstances` et `TerminateInstances` Amazon EC2 sont effectuées dans votre compte. 1. L'opération API `DescribeInstances` est un événement en lecture seule et elle correspond aux paramètres du premier journal de suivi. Le sentier enregistre et diffuse l'événement à`amzn-s3-demo-bucket1`. 1. L'opération API `TerminateInstances` est un événement en écriture seule et elle correspond aux paramètres du deuxième journal de suivi. Le sentier enregistre et diffuse l'événement à`amzn-s3-demo-bucket2`. ## Enregistrement des événements de gestion à l'aide du AWS Management Console Cette section explique comment mettre à jour les paramètres des événements de gestion pour un magasin de données de suivi ou d'événement existant. **Topics** + [ ### Mettre à jour les paramètres des événements de gestion pour un parcours existant ](#logging-management-events-with-the-cloudtrail-console-trail) + [ ### Mise à jour des paramètres de gestion des événements pour une banque de données d'événements existante ](#logging-management-events-with-the-cloudtrail-console-eds) ### Mettre à jour les paramètres des événements de gestion pour un parcours existant Utilisez la procédure suivante pour mettre à jour les paramètres des événements de gestion pour un parcours existant. 1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. Ouvrez la page **Pistes** de la CloudTrail console et choisissez le nom de la piste. 1. Pour **Management events** (Événements de gestion), choisir **Edit** (Modifier). + Choisissez si vous souhaitez enregistrer les événements de **lecture**, les événements d'**écriture** ou les deux. + Choisissez **Exclure les AWS KMS événements** pour filtrer AWS Key Management Service (AWS KMS) les événements de votre TRail. Le paramètre par défaut est d'inclure tous les AWS KMS événements. L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements. AWS KMS des actions telles que `Encrypt``Decrypt`, et génèrent `GenerateDataKey` généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements **Lecture**. Les AWS KMS actions pertinentes à faible volume telles que `Disable``Delete`, et `ScheduleKey` (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'**écriture**. Pour exclure des événements importants tels que`Encrypt`, et `Decrypt``GenerateDataKey`, tout en enregistrant les événements pertinents tels que`Disable`, `Delete` et`ScheduleKey`, choisissez de consigner les événements de gestion d'**écriture** et décochez la case **Exclure les AWS KMS événements**. + Choisissez **Exclure les événements API de données Amazon RDS** pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez [Journalisation des appels d’API de données avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) dans le *Guide de l’utilisateur Amazon RDS pour Aurora*. 1. Lorsque vous avez terminé, choisissez **Enregistrer les modifications**. ### Mise à jour des paramètres de gestion des événements pour une banque de données d'événements existante 1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. Ouvrez la page Stockages de **données d'événements** de la CloudTrail console et choisissez le nom du magasin de données d'événements. 1. Pour les **événements de gestion**, choisissez **Modifier**, puis configurez les paramètres suivants : 1. Choisissez entre **une collecte d'événements simple** ou une **collecte d'événements avancée** : + Choisissez **Collection d'événements simple** si vous souhaitez consigner tous les événements, enregistrer uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS Key Management Service de gestion de l'API Amazon RDS Data. + Choisissez **Collection d'événements avancée** si vous souhaitez inclure ou exclure des événements de gestion en fonction des valeurs des champs du sélecteur d'événements avancé, notamment les `userIdentity.arn` champs `eventName``eventType`,`eventSource`, et. 1. Si vous avez sélectionné **Collecte d'événements simple**, indiquez si vous souhaitez consigner tous les événements, consigner uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure AWS KMS des événements de gestion Amazon RDS. 1. Si vous avez sélectionné **Collecte d'événements avancée**, effectuez les sélections suivantes : 1. Dans **Modèle de sélecteur de journal**, choisissez un modèle prédéfini ou **Personnalisé** pour créer une configuration personnalisée basée sur les valeurs avancées des champs du sélecteur d'événements. Vous pouvez choisir parmi les modèles prédéfinis suivants : + **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements. + **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` + **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour consigner uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. + **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console. + **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs). 1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Enregistrer les événements de gestion des AWS Management Console sessions ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.** 1. Si vous avez choisi **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés. **Note** Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement. 1. Choisissez parmi les options suivantes. + **`readOnly`**— `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Lorsqu'il est défini sur`false`, le magasin de données d'événements enregistre les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour enregistrer à la fois les événements de **lecture** et d'**écriture**, n'ajoutez pas de `readOnly` sélecteur. + **`eventName`**— `eventName` peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de gestion, tel que `CreateAccessPoint` ou`GetAccessPoint`. + **`userIdentity.arn`**— Incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). + **`sessionCredentialFromConsole`**— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`. + **`eventSource`**— Vous pouvez l'utiliser pour inclure ou exclure des sources d'événements spécifiques. `eventSource`Il s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces`.amazonaws.com`. Par exemple, vous pouvez définir equal `eventSource` **à pour** `ec2.amazonaws.com` consigner uniquement les événements de gestion Amazon EC2. + **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente** `AwsServiceEvent` pour exclure [Service AWS des événements](non-api-aws-service-events.md). 1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions). **Note** Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur. 1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. 1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON. 1. Choisissez **Activer la capture d'événements Insights** pour activer Insights. Pour activer Insights, vous devez configurer un [entrepôt de données d'événement de destination](query-event-data-store-insights.md#query-event-data-store-insights-procedure) afin de collecter les événements Insights en fonction de l'activité des événements de gestion dans cet entrepôt de données d'événement. Si vous choisissez d'activer Insights, procédez comme suit. 1. Choisissez le magasin d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure). 1. Choisissez les types Insights. Vous pouvez choisir le **Taux d'appels d'API**, le **Taux d'erreur de l'API** ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**. 1. Lorsque vous avez terminé, choisissez **Enregistrer les modifications**. ## Enregistrement des événements de gestion à l'aide du AWS CLI Vous pouvez configurer vos journaux de suivi ou vos entrepôts de données d'événement de manière à ce qu'ils journalisent les événements de gestion et de données à l'aide de AWS CLI. **Topics** + [ ### Exemples : journalisation des événements de gestion pour les journaux de suivi ](#log-mgmt-events-trails-examples) + [ ### Exemples : journalisation des événements de gestion pour les entrepôts de données d'événement ](#log-mgmt-events-eds-examples) ### Exemples : journalisation des événements de gestion pour les journaux de suivi Pour voir si votre journal de suivi journalise les événements de gestion, exécutez la `get-event-selectors` commande. ``` aws cloudtrail get-event-selectors --trail-name TrailName ``` L'exemple suivant renvoie les paramètres par défaut pour un journal de suivi. Par défaut, les journaux de suivi journalisent tous les événements de gestion, les événements du journal provenant de toutes les sources d'événement, mais ne consignent pas les événements de données. ``` { "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] } ``` Vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour consigner les événements de gestion. Vous ne pouvez pas appliquer à la fois les sélecteurs d'événements et les sélecteurs d'événements avancés à une piste. Si vous appliquez des sélecteurs d’événements avancés à un journal de suivi, tous les sélecteurs d’événements de base existants sont remplacés. Les sections suivantes fournissent des exemples de journalisation des événements de gestion à l'aide de sélecteurs d'événements avancés et de sélecteurs d'événements de base. **Topics** + [ #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements avancés ](#log-mgmt-events-trails-examples-adv) + [ #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements de base ](#log-mgmt-events-trails-examples-basic) #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements avancés L'exemple suivant crée un sélecteur d'événements avancé pour un journal nommé *TrailName* pour inclure les événements de gestion en lecture seule et en écriture seule (en omettant le `readOnly` sélecteur), mais pour exclure () les événements. AWS Key Management Service AWS KMSÉtant donné que les AWS KMS événements sont traités comme des événements de gestion et qu'ils peuvent être nombreux, ils peuvent avoir un impact important sur votre CloudTrail facture si vous disposez de plusieurs pistes qui enregistrent les événements de gestion. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements. Pour recommencer à enregistrer AWS KMS des événements dans un journal, supprimez le `eventSource` sélecteur et réexécutez la commande. ``` aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]' ``` L’exemple renvoie le sélecteur d’événements avancés configuré pour le journal de suivi. ``` { "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" } ``` Pour redémarrer la journalisation des événements exclus dans un journal de suivi, supprimez le sélecteur `eventSource`, comme indiqué dans la commande suivante. ``` aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]' ``` L'exemple suivant crée un sélecteur d'événements avancé pour un journal nommé de manière *TrailName* à inclure les événements de gestion en lecture seule et en écriture seule (en omettant le `readOnly` sélecteur), mais pour exclure les événements de gestion de l'API Amazon RDS Data. Pour exclure les événements de gestion de l'API Amazon RDS Data, spécifiez la source de l'événement Amazon RDS Data API dans la valeur de chaîne du `eventSource` champ :. `rdsdata.amazonaws.com` Si vous choisissez de ne pas enregistrer les événements de gestion, les événements de gestion de l'API Amazon RDS Data ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des événements de l'API Amazon RDS Data. Pour recommencer à consigner les événements de gestion de l'API Amazon RDS Data dans un journal, supprimez le `eventSource` sélecteur et réexécutez la commande. ``` aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]' ``` L’exemple renvoie le sélecteur d’événements avancés configuré pour le journal de suivi. ``` { "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" } ``` Pour redémarrer la journalisation des événements exclus dans un journal de suivi, supprimez le sélecteur `eventSource`, comme indiqué dans la commande suivante. ``` aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]' ``` #### Exemples : enregistrement des événements de gestion pour les sentiers à l'aide de sélecteurs d'événements de base Pour configurer votre journal de suivi de sorte qu'il journalise les événements de gestion, exécutez la `put-event-selectors` commande. L'exemple suivant montre comment configurer votre journal de suivi pour inclure tous les événements de gestion pour deux objets S3. Vous pouvez spécifier de 1 à 5 sélecteurs d'événements pour un journal d'activité. Vous pouvez spécifier de 1 à 250 ressources de données pour un journal d'activité. **Note** Le nombre maximal de ressources de données S3 est 250, quel que soit le nombre de sélecteurs d'événements. ``` aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]' ``` L'exemple suivant renvoie le sélecteur d'événements configuré pour le journal de suivi. ``` { "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] } ``` Pour exclure des événements AWS Key Management Service (AWS KMS) des journaux d'un suivi, exécutez la `put-event-selectors` commande et ajoutez l'attribut `ExcludeManagementEventSources` avec une valeur de`kms.amazonaws.com`. L'exemple suivant crée un sélecteur d'événements pour un parcours dont le nom inclut les événements *TrailName* de gestion en lecture seule et en écriture seule, mais exclut les événements. AWS KMS Étant donné que cela AWS KMS peut générer un volume élevé d'événements, l'utilisateur de cet exemple peut souhaiter limiter les événements afin de gérer le coût d'un parcours. ``` aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]' ``` L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi. ``` { "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] } ``` Pour exclure les événements de gestion de l'API Amazon RDS Data des journaux d'un suivi, exécutez la `put-event-selectors` commande et ajoutez l'attribut `ExcludeManagementEventSources` avec une valeur de`rdsdata.amazonaws.com`. L'exemple suivant crée un sélecteur d'événements pour un parcours nommé de manière *TrailName* à inclure les événements de gestion en lecture seule et en écriture seule, mais à exclure les événements de gestion de l'API Amazon RDS Data. Étant donné que l'API Amazon RDS Data peut générer un volume élevé d'événements de gestion, l'utilisateur de cet exemple peut souhaiter limiter les événements afin de gérer le coût d'un suivi. ``` { "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] } ``` Pour recommencer à AWS KMS consigner les événements ou à gérer l'API Amazon RDS Data dans un journal, transmettez une chaîne vide comme valeur de`ExcludeManagementEventSources`, comme indiqué dans la commande suivante. ``` aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]' ``` Pour enregistrer les AWS KMS événements pertinents dans un journal, tels que`Disable`, `Delete` et`ScheduleKey`, mais exclure les AWS KMS événements à volume élevé tels que`Encrypt`, et `Decrypt``GenerateDataKey`, consigner les événements de gestion en écriture uniquement, et conserver le paramètre par défaut de journalisation AWS KMS des événements, comme indiqué dans l'exemple suivant. ``` aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]' ``` ### Exemples : journalisation des événements de gestion pour les entrepôts de données d'événement Vous enregistrez les événements de gestion des banques de données d'événements en configurant des sélecteurs d'événements avancés. Les champs de sélection d'événements avancés suivants sont pris en charge pour la journalisation des événements de gestion dans les magasins de données d'événements : + **`eventCategory`**— Vous devez définir la `eventCategory` valeur égale à `Management` pour enregistrer les événements de gestion. Ce champ est obligatoire. + **`readOnly`**— `readOnly` peut être défini sur `Equals` une valeur de `true` ou`false`. Lorsqu'il est défini sur`false`, le magasin de données d'événements enregistre les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour enregistrer à la fois les événements de **lecture** et d'**écriture**, n'ajoutez pas de `readOnly` sélecteur. + **`eventName`**— `eventName` peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de gestion, tel que `CreateAccessPoint` ou`GetAccessPoint`. Vous pouvez utiliser n'importe quel opérateur avec ce champ. + **`userIdentity.arn`**— Incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). + **`sessionCredentialFromConsole`**— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **Égal** ou `NotEquals` avec une valeur de`true`. + **`eventSource`**— Vous pouvez l'utiliser pour inclure ou exclure des sources d'événements spécifiques. `eventSource`Il s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces`.amazonaws.com`. Par exemple, vous pouvez configurer `eventSource` `Equals` pour `ec2.amazonaws.com` enregistrer uniquement les événements de gestion Amazon EC2. + **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur `NotEquals` `AwsServiceEvent` pour exclure [Service AWS des événements](non-api-aws-service-events.md). Vous pouvez utiliser n'importe quel opérateur avec ce champ. Pour voir si votre entrepôt de données d'événement inclut les événements de gestion, exécutez la commande **get-event-data-store**. ``` aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE ``` Voici un exemple de réponse. Les heures de création et de dernière mise à jour sont au format `timestamp`. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" } ``` Pour créer un entrepôt de données d'événement qui inclut tous les événements de gestion, vous devez exécuter la commande **create-event-data-store**. Il n'est pas nécessaire de spécifier des sélecteurs d'événements avancés pour inclure tous les événements de gestion. ``` aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\ ``` Voici un exemple de réponse. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" } ``` **Topics** + [ #### Exemple : Exclure les événements AWS KMS de gestion ](#log-mgmt-events-eds-examples-kms) + [ #### Exemple : Exclure les événements de gestion Amazon RDS ](#log-mgmt-events-eds-examples-rds) + [ #### Exemple : Exclure Service AWS des événements et des événements des AWS Management Console sessions ](#log-mgmt-events-eds-examples-service) + [ #### Exemple : Exclure des événements de gestion pour une identité IAM spécifique ](#log-mgmt-events-eds-examples-useridentity) #### Exemple : Exclure les événements AWS KMS de gestion Pour créer un magasin de données d'événements qui exclut AWS Key Management Service (AWS KMS) des événements, exécutez la `create-event-data-store` commande et `eventSource` spécifiez une valeur différente`kms.amazonaws.com`. L'exemple suivant crée un magasin de données d'événements qui inclut des événements de gestion en lecture seule et en écriture seule, mais exclut les événements. AWS KMS ``` aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]' ``` Voici un exemple de réponse. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" } ``` #### Exemple : Exclure les événements de gestion Amazon RDS Pour créer un magasin de données d'événements qui exclut les événements de gestion de l'API Amazon RDS Data, exécutez la `create-event-data-store` commande et spécifiez une valeur `rdsdata.amazonaws.com` différente. `eventSource` L'exemple suivant crée un entrepôt de données d'événement qui inclut les événements de gestion en lecture seule et en écriture seule, en excluant les événements API de données Amazon RDS. ``` aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]' ``` Voici un exemple de réponse. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" } ``` #### Exemple : Exclure Service AWS des événements et des événements des AWS Management Console sessions L'exemple suivant crée un magasin de données d'événements qui enregistre les événements de gestion mais exclut les Service AWS événements et les événements issus de AWS Management Console sessions. ``` aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude Service AWS and console events", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventType","NotEquals": ["AwsServiceEvent"]}, {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]} ] } ]' ``` Voici un exemple de réponse. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude Service AWS and console events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] }, { "Field": "sessionCredentialFromConsole", "NotEquals": [ "true" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" } ``` #### Exemple : Exclure des événements de gestion pour une identité IAM spécifique L'exemple suivant crée un magasin de données d'événements qui enregistre les événements de gestion mais exclut les événements générés par le `bucket-scanner-role``userIdentity`. ``` aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude events generated by bucket-scanner-role userIdentity", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]} ] } ]' ``` Voici un exemple de réponse. ``` { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude events generated by bucket-scanner-role userIdentity", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" } ``` ## Enregistrement des événements de gestion à l'aide du AWS SDKs Utilisez cette [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)opération pour voir si votre sentier enregistre les événements de gestion relatifs à un sentier. Vous pouvez configurer vos sentiers pour enregistrer les événements de gestion associés à l'[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)opération. Pour plus d’informations, consultez la [Référence des API AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/). Exécutez l'[GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)opération pour voir si votre banque de données d'événements inclut des événements de gestion. Vous pouvez configurer vos magasins de données d'événements pour inclure les événements de gestion en exécutant les [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)opérations [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)or. Pour plus d’informations, consultez [Créez, mettez à jour et gérez des banques de données d'événements avec le AWS CLI](lake-eds-cli.md) et la [Référence des API AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).