Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs
<a name="monitor-cloudtrail-log-files-with-cloudwatch-logs"></a>

Vous pouvez utiliser [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour surveiller, stocker et accéder à vos fichiers journaux depuis CloudTrail.

CloudWatch Les journaux vous permettent de centraliser les journaux de tous vos systèmes, applications et ceux Services AWS que vous utilisez, dans un seul service hautement évolutif. Vous pouvez ensuite facilement les consulter, y rechercher des codes ou modèles d'erreur spécifiques, les filtrer en fonction de champs spécifiques ou les archiver en toute sécurité pour une analyse future. CloudWatch Les journaux vous permettent de voir tous vos journaux, quelle que soit leur source, sous la forme d'un flux unique et cohérent d'événements classés par ordre chronologique.

Procédez comme suit pour configurer CloudTrail avec CloudWatch Logs afin de surveiller vos journaux de suivi et d'être averti en cas d'activité spécifique.

1. Configurez votre suivi pour envoyer les événements du journal à CloudWatch Logs.

1. Définissez CloudWatch les filtres métriques des journaux pour évaluer les événements des journaux afin de détecter des correspondances en termes, phrases ou valeurs. Par exemple, vous pouvez contrôler les événements `ConsoleLogin`. 

1. Attribuez CloudWatch des métriques aux filtres de métriques.

1. Créez des CloudWatch alarmes déclenchées en fonction des seuils et des périodes que vous spécifiez. Vous pouvez configurer des alarmes pour envoyer des notifications lorsqu'elles sont déclenchées, de manière à ce que vous puissiez agir.

1. Vous pouvez également configurer CloudWatch pour exécuter automatiquement une action en réponse à une alarme. 

La tarification standard pour Amazon CloudWatch et Amazon CloudWatch Logs s'applique. Pour plus d'informations, consultez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).

Pour plus d'informations sur les régions dans lesquelles vous pouvez configurer vos parcours pour envoyer des CloudWatch journaux à Logs, consultez la section [Régions et quotas Amazon CloudWatch Logs](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) dans le manuel de *référence AWS général*.

**Topics**
+ [

# Envoi d'événements à CloudWatch Logs
](send-cloudtrail-events-to-cloudwatch-logs.md)
+ [

# Création d' CloudWatch alarmes pour CloudTrail des événements : exemples
](cloudwatch-alarms-for-cloudtrail.md)
+ [

# Arrêter CloudTrail d'envoyer des événements à CloudWatch Logs
](stop-cloudtrail-from-sending-events-to-cloudwatch-logs.md)
+ [

# CloudWatch dénomination des groupes de journaux et des flux de journaux pour CloudTrail
](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)
+ [

# Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance
](cloudtrail-required-policy-for-cloudwatch-logs.md)

# Envoi d'événements à CloudWatch Logs
<a name="send-cloudtrail-events-to-cloudwatch-logs"></a>

Lorsque vous configurez votre parcours pour envoyer des événements à CloudWatch Logs, il CloudTrail envoie uniquement les événements correspondant à vos paramètres de suivi. Par exemple, si vous configurez votre journal pour qu'il enregistre uniquement les événements liés aux données, il envoie les événements de données uniquement à votre groupe de CloudWatch journaux Logs. CloudTrail prend en charge l'envoi de données, d'informations et d'événements de gestion vers CloudWatch Logs. Pour de plus amples informations, veuillez consulter [Utilisation de fichiers CloudTrail journaux](cloudtrail-working-with-log-files.md).

**Note**  
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.

Pour envoyer des événements à un groupe de CloudWatch journaux Logs :
+ Vérifiez que vous disposez des autorisations suffisantes pour créer ou spécifier un rôle IAM. Pour de plus amples informations, veuillez consulter [Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Si vous configurez le groupe de CloudWatch journaux à l'aide du AWS CLI, assurez-vous de disposer des autorisations suffisantes pour créer un flux de CloudWatch journaux journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Pour de plus amples informations, veuillez consulter [Création d'un document de politique](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Créez un journal d'activité ou sélectionnez un journal d'activité existant. Pour plus d'informations, consultez [Création et mise à jour d'un journal d'activité à l'aide de la console](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Créez un groupe de journaux ou indiquez-en un existant.
+ Spécifiez un rôle IAM. Si vous modifiez un rôle IAM existant pour un journal d'activité de l'organisation, vous devez mettre à jour manuellement la politique de façon à autoriser la journalisation du journal d'activité de l'organisation. Pour plus d'informations, consultez [cet exemple de politique](#policy-cwl-org) et [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).
+ Attachez une politique de rôle ou utilisez la politique par défaut.

**Contents**
+ [

## Configuration de la surveillance des CloudWatch journaux avec la console
](#send-cloudtrail-events-to-cloudwatch-logs-console)
  + [

### Création d'un groupe de journaux ou spécification d'un groupe de journaux existant
](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
  + [

### Spécification d’un rôle IAM
](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
  + [

### Affichage des événements dans la CloudWatch console
](#viewing-events-in-cloudwatch)
+ [

## Configuration de la surveillance CloudWatch des journaux à l'aide du AWS CLI
](#send-cloudtrail-events-to-cloudwatch-logs-cli)
  + [

### Création d’un groupe de journaux
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
  + [

### Création d'un rôle
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
  + [

### Création d'un document de politique
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
  + [

### Mise à jour du journal d'activité
](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [

## Limitation
](#send-cloudtrail-events-to-cloudwatch-logs-limitations)

## Configuration de la surveillance des CloudWatch journaux avec la console
<a name="send-cloudtrail-events-to-cloudwatch-logs-console"></a>

Vous pouvez utiliser le AWS Management Console pour configurer votre journal afin d'envoyer des événements aux CloudWatch journaux à des fins de surveillance.

### Création d'un groupe de journaux ou spécification d'un groupe de journaux existant
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group"></a>

CloudTrail utilise un groupe de CloudWatch journaux comme point de terminaison de livraison pour les événements du journal. Vous pouvez créer un groupe de journaux ou spécifier un groupe existant.

**Pour créer ou spécifier un groupe de journaux pour un suivi existant**

1. Assurez-vous de vous connecter avec un utilisateur ou un rôle administratif disposant des autorisations suffisantes pour configurer l'intégration CloudWatch des journaux. Pour de plus amples informations, veuillez consulter [Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**Note**  
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.

1. Ouvrez la CloudTrail console à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Choisissez le nom du journal de suivi. Si vous choisissez un sentier multirégional, vous serez redirigé vers la région dans laquelle le sentier a été créé. Vous pouvez créer un groupe de journaux ou choisir un groupe de journaux existant dans la même région que le suivi.
**Note**  
Un journal multirégional envoie les fichiers journaux de toutes les régions activées de votre compte Compte AWS au groupe de CloudWatch journaux que vous spécifiez.

1. Dans **CloudWatch Logs**, sélectionnez **Modifier**.

1. Pour **CloudWatch Logs**, choisissez **Enabled**.

1. Dans **Nom du groupe de journaux**, choisissez **Nouveau** pour créer un nouveau groupe de journaux, ou **Existant** pour utiliser un groupe existant. Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom. Pour plus d'informations sur la dénomination, veuillez consulter [CloudWatch dénomination des groupes de journaux et des flux de journaux pour CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).

1. Si vous choisissez **Existant**, choisissez un groupe de journaux dans la liste déroulante.

1. Dans **Nom du rôle**, choisissez **Nouveau** pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir **Existant** pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez **Document de politique**. Pour plus d'informations sur ce rôle, consultez [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Note**  
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.

1. Sélectionnez **Enregistrer les modifications**.

### Spécification d’un rôle IAM
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-role"></a>

Vous pouvez spécifier un rôle CloudTrail à assumer pour transmettre les événements au flux de log.

**Pour spécifier un rôle**

1. Par défaut, le `CloudTrail_CloudWatchLogs_Role` est spécifié pour vous. La politique de rôle par défaut dispose des autorisations requises pour créer un flux de CloudWatch journaux dans un groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. 
**Note**  
Si vous souhaitez utiliser ce rôle pour un groupe de journaux d'un journal d'activité d'organisation, vous devez modifier manuellement la politique après la création du rôle. Pour plus d'informations, consultez [cet exemple de politique](#policy-cwl-org) et [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).

   1. Pour vérifier le rôle, accédez à la Gestion des identités et des accès AWS console à l'adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Choisissez **Rôles**, puis choisissez le **CloudTrail\$1 CloudWatchLogs \$1Role**.

   1. Dans l'onglet **Autorisations**, développez la politique pour afficher son contenu.

1. Vous pouvez spécifier un autre rôle, mais vous devez associer la politique de rôle requise au rôle existant si vous souhaitez l'utiliser pour envoyer des événements à CloudWatch Logs. Pour de plus amples informations, veuillez consulter [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).



### Affichage des événements dans la CloudWatch console
<a name="viewing-events-in-cloudwatch"></a>

Après avoir configuré votre journal pour envoyer des événements à votre groupe de CloudWatch journaux Logs, vous pouvez consulter les événements dans la CloudWatch console. CloudTrail transmet généralement les événements à votre groupe de log dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le [Contrat de niveau de service (SLA)AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).

**Pour afficher les événements dans la CloudWatch console**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation de gauche, sous **Journaux**, choisissez **Groupes de journaux**.

1. Choisissez le groupe de journaux que vous avez spécifié pour votre journal d’activité.

1. Choisissez le flux de journaux que vous souhaitez afficher.

1. Pour afficher les détails de l’événement consigné par votre journal d’activité, choisissez un événement.

**Note**  
La colonne **Heure (UTC)** de la CloudWatch console indique la date à laquelle l'événement a été transmis à votre groupe de journaux. Pour connaître l'heure réelle à laquelle l'événement a été enregistré CloudTrail, consultez le `eventTime` champ.

## Configuration de la surveillance CloudWatch des journaux à l'aide du AWS CLI
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli"></a>

Vous pouvez utiliser le AWS CLI pour configurer l'envoi CloudTrail d'événements aux CloudWatch journaux à des fins de surveillance.

### Création d’un groupe de journaux
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group"></a>

1. Si vous n'avez pas de groupe de CloudWatch journaux existant, créez-en un en tant que point de terminaison de diffusion pour les événements de journal à l'aide de la `create-log-group` commande CloudWatch Logs.

   ```
   aws logs create-log-group --log-group-name name
   ```

   L’exemple suivant crée un groupe de journaux nommé `CloudTrail/logs` :

   ```
   aws logs create-log-group --log-group-name CloudTrail/logs
   ```

1. Récupérez l’Amazon Resource Name (ARN) du groupe de journaux.

   ```
   aws logs describe-log-groups
   ```

### Création d'un rôle
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-role"></a>

Créez un rôle lui CloudTrail permettant d'envoyer des événements au groupe de CloudWatch journaux Logs. La commande `create-role` IAM prend deux paramètres : un nom de rôle et un chemin d'accès vers un document de politique d'endossement de rôle au format JSON. Le document de politique que vous utilisez donne `AssumeRole` des autorisations à CloudTrail. La commande `create-role` crée le rôle avec les autorisations requises. 

Pour créer le fichier JSON qui contiendra le document de politique, ouvrez un éditeur de texte et enregistrez le contenu de la politique suivante dans un fichier nommé `assume_role_policy_document.json`. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Exécutez la commande suivante pour créer le rôle avec `AssumeRole` des autorisations pour CloudTrail. 

```
aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json
```

Lorsque la commande est terminée, prenez note de l’ARN du rôle dans la sortie.

### Création d'un document de politique
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document"></a>

Créez le document de politique de rôle suivant pour CloudTrail. Ce document accorde CloudTrail les autorisations requises pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        }
    ]
}
```

------

Enregistrez le document de politique dans un fichier nommé `role-policy-document.json`.<a name="policy-cwl-org"></a>

Si vous créez une politique qui peut être utilisée pour les journaux d'activité de l'organisation, vous devrez la configurer légèrement différemment. Par exemple, la politique suivante accorde CloudTrail les autorisations requises pour créer un flux de journaux dans le groupe de CloudWatch journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux, à la fois pour les traces du AWS compte 111111111111 et pour les pistes d'organisation créées dans le compte 111111111111 qui sont appliquées à l'organisation avec l'ID de : AWS Organizations *o-exampleorgid*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        }
    ]
}
```

------

Pour plus d'informations sur les journaux d'activité d'organisation, consultez [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).

Exécutez la commande suivante pour appliquer la politique au rôle.

```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json
```

### Mise à jour du journal d'activité
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail"></a>

Mettez à jour le journal avec les informations relatives au groupe de journaux et au rôle à l'aide de la CloudTrail `update-trail` commande.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```

Pour plus d'informations sur les AWS CLI commandes, consultez la [référence de ligne de AWS CloudTrail commande](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/). 

## Limitation
<a name="send-cloudtrail-events-to-cloudwatch-logs-limitations"></a>

CloudWatch Les journaux et EventBridge chacun d'entre eux [autorisent une taille d'événement maximale de 256 Ko](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Bien que la taille maximale de la plupart des événements de service soit de 256 Ko, certains services comportent tout de même des événements plus importants. CloudTrail n'envoie pas ces événements à CloudWatch Logs ou EventBridge.

À CloudTrail partir de la version 1.05, la taille maximale des événements est de 256 Ko. Cela permet d'empêcher l'exploitation par des acteurs malveillants et de permettre à d'autres AWS services, tels que CloudWatch Logs et EventBridge.

# Création d' CloudWatch alarmes pour CloudTrail des événements : exemples
<a name="cloudwatch-alarms-for-cloudtrail"></a>

Cette rubrique décrit comment configurer les alarmes pour les CloudTrail événements et inclut des exemples.

**Topics**
+ [

## Conditions préalables
](#cloudwatch-alarms-prerequisites)
+ [

## Créer un filtre de métrique et une alarme
](#cloudwatch-alarms-metric-filter-alarm)
+ [

## Exemple : modifications apportées à la configuration du groupe de sécurité
](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [

## Exemples d' AWS Management Console échecs de connexion
](#cloudwatch-alarms-for-cloudtrail-signin)
+ [

## Exemple : modifications apportées à une stratégie &IAM;
](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [

## Configuration des notifications pour les alarmes CloudWatch Logs
](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Conditions préalables
<a name="cloudwatch-alarms-prerequisites"></a>

Pour pouvoir utiliser les exemples dans cette rubrique, vous devez :
+ Créer un journal de suivi avec la console ou la CLI.
+ Créez un groupe de journaux, ce que vous pouvez faire dans le cadre de la création d'un journal de suivi. Pour plus d'informations sur la création d'un journal de suivi, consultez [Création d'un parcours à l'aide de la CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Spécifiez ou créez un rôle IAM qui accorde CloudTrail les autorisations nécessaires pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre des CloudTrail événements à ce flux de journaux. Le `CloudTrail_CloudWatchLogs_Role` par défaut s'en charge pour vous.

Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Les exemples présentés dans cette section sont exécutés dans la console Amazon CloudWatch Logs. Pour plus d'informations sur la création de filtres métriques et d'alarmes, consultez les sections [Création de métriques à partir des événements du journal à l'aide de filtres](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) et [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

## Créer un filtre de métrique et une alarme
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Pour créer une alarme, vous devez d'abord créer un filtre de métrique, puis configurer une alarme basée sur le filtre. Les procédures sont affichées pour tous les exemples. Pour plus d'informations sur la syntaxe des filtres métriques et des modèles pour les événements de CloudTrail journal, consultez les sections relatives au JSON relatives à la [syntaxe des filtres et des modèles](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) dans le guide de *l'utilisateur Amazon CloudWatch Logs*.

## Exemple : modifications apportées à la configuration du groupe de sécurité
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche lorsque des modifications de configuration sont apportées aux groupes de sécurité.

### Créer un filtre de métrique
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation de gauche, choisissez **Journaux**, **Groupes de journaux**.

1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

1. Dans le menu **Filtres métriques** ou **Actions**, sélectionnez **Créer un filtre de métrique**.

1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **SecurityGroupEvents**.

1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.

1. Dans **Nom de la métrique**, saisissez **SecurityGroupEventCount**.

1. Dans **Valeur de métriques**, saisissez **1**.

1. Laissez la **Valeur par défaut** vide.

1. Choisissez **Next** Suivant.

1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.

### Créer une alarme
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).

1. Pour **Spécifier la métrique et les conditions**, saisissez ce qui suit.

   1. Pour **Graph** (Graphe), la ligne est définie sur **1** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

   1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **SecurityGroupEventCount**.

   1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.

   1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.

   1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).

   1. Pour **Whenever *metric\$1name* is**, choisissez **Greater/Equal**.

   1. Pour la valeur du seuil, saisissez **1**.

   1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Sur la page **Configurer les actions**, choisissez **Notification**, puis sélectionnez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle **SecurityGroupEventCount**est en état d'alarme.

   1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.

   1. Saisissez **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** comme nom de la nouvelle rubrique Amazon SNS.

   1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

   1. Choisissez **Create topic** (Créer une rubrique).

1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).

1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **Security group configuration changes** pour le nom, puis **Raises alarms if security group configuration changes occur** pour la description. Choisissez **Next** (Suivant).

1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.

   Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

## Exemples d' AWS Management Console échecs de connexion
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui se déclenche en cas d'échec de AWS Management Console connexion au moins trois fois sur une période de cinq minutes.

### Créer un filtre de métrique
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation de gauche, choisissez **Journaux**, **Groupes de journaux**.

1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

1. Dans le menu **Filtres métriques** ou **Actions**, sélectionnez **Créer un filtre de métrique**.

1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **ConsoleSignInFailures**.

1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.

1. Dans **Nom de la métrique**, saisissez **ConsoleSigninFailureCount**.

1. Dans **Valeur de métriques**, saisissez **1**.

1. Laissez la **Valeur par défaut** vide.

1. Choisissez **Next** Suivant.

1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.

### Créer une alarme
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).

1. Dans la page **Create alarm** (Créer une alarme), dans **Specify metric and conditions** (Spécifier la métrique et les conditions), saisissez ce qui suit.

   1. Pour **Graph** (Graphe), la ligne est définie sur **3** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

   1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **ConsoleSigninFailureCount**.

   1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.

   1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.

   1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).

   1. Pour **Whenever *metric\$1name* is**, choisissez **Greater/Equal**.

   1. Pour la valeur du seuil, saisissez **3**.

   1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Sur la page **Configurer les actions**, pour **Notification**, choisissez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil de 3 événements de changement en 5 minutes est dépassé et qu'elle **ConsoleSigninFailureCount**est en état d'alarme.

   1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.

   1. Saisissez **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** comme nom de la nouvelle rubrique Amazon SNS.

   1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

   1. Choisissez **Create topic** (Créer une rubrique).

1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).

1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **Console sign-in failures** pour le nom, puis **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** pour la description. Choisissez **Next** (Suivant).

1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.

   Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

## Exemple : modifications apportées à une stratégie &IAM;
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Suivez cette procédure pour créer une CloudWatch alarme Amazon qui est déclenchée lorsqu'un appel d'API est effectué pour modifier une politique IAM.

### Créer un filtre de métrique
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, sélectionnez **Logs** (Journaux).

1. Dans la liste des groupes de journaux, sélectionnez le groupe de journaux que vous avez créé pour votre journal de suivi.

1. Choisissez **Actions**, puis **Create metric filter** (Créer un filtre de métrique).

1. Dans la page **Define pattern** (Définir un modèle), dans **Create filter pattern** (Créer un modèle de filtre), saisissez ce qui suit pour **Filter pattern** (Modèle de filtre).

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. Dans **Test pattern** (Modèle de test), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Dans la page **Attribuer une métrique**, sous **Nom de filtre**, saisissez **IAMPolicyChanges**.

1. Dans **Détails de la métrique**, activez **Créer un nouveau**, puis saisissez **CloudTrailMetrics** pour **Espace de noms de métrique**.

1. Dans **Nom de la métrique**, saisissez **IAMPolicyEventCount**.

1. Dans **Valeur de métriques**, saisissez **1**.

1. Laissez la **Valeur par défaut** vide.

1. Choisissez **Next** Suivant.

1. Sur la page **Review and create** (Vérifier et créer), vérifiez vos choix. Choisissez **Create metric filter** (Créer un filtre de métriques) pour créer le filtre, ou choisissez **Edit** (Modifier) pour revenir en arrière et modifier les valeurs.

### Créer une alarme
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Après avoir créé le filtre métrique, la page des détails du groupe de CloudWatch journaux de votre groupe de CloudTrail journaux de suivi s'ouvre. Suivez cette procédure ci-dessous pour créer une alarme.

1. Dans la page **Metric filters** (Filtres de métriques), recherchez le filtre de mesure que vous avez créé dans [Créer un filtre de métrique](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Remplissez la case pour le filtre de métrique. Dans **Metric filters** (Filtres de métriques), choisissez **Create alarm** (Créer une alarme).

1. Dans la page **Create alarm** (Créer une alarme), dans **Specify metric and conditions** (Spécifier la métrique et les conditions), saisissez ce qui suit.

   1. Pour **Graph** (Graphe), la ligne est définie sur **1** en fonction des autres paramètres que vous effectuez lorsque vous créez votre alarme.

   1. Pour **Metric name** (Nom de la métrique), conservez le nom de la métrique actuelle, **IAMPolicyEventCount**.

   1. Pour **Statistic** (Statistique), conservez la valeur par défaut, **Sum**.

   1. Pour **Period** (Période), conservez la valeur par défaut, **5 minutes**.

   1. Dans la section **Conditions** sous **Threshold type** (Type de seuil), choisissez **Static** (Statique).

   1. Pour **Whenever *metric\$1name* is**, choisissez **Greater/Equal**.

   1. Pour la valeur du seuil, saisissez **1**.

   1. Dans **Additional configuration** (Configuration supplémentaire), laissez les valeurs par défaut. Choisissez **Next** (Suivant).

1. Sur la page **Configurer les actions**, pour **Notification**, choisissez **En alarme**, ce qui indique que l'action est entreprise lorsque le seuil d'un événement de changement en 5 minutes est dépassé et qu'elle **IAMPolicyEventCount**est en état d'alarme.

   1. Pour **Envoyer une notification à la rubrique SNS suivante**, choisissez **Créer une rubrique**.

   1. Saisissez **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** comme nom de la nouvelle rubrique Amazon SNS.

   1. Dans **Points de terminaison d'e-mail qui reçoivent la notification**, saisissez les adresses e-mail des utilisateurs que vous souhaitez recevoir des notifications si cette alarme est déclenchée. Séparez les adresses e-mail par des virgules.

      Chaque destinataire d'un e-mail recevra un e-mail lui demandant de confirmer qu'il souhaite être abonné à la rubrique Amazon SNS.

   1. Choisissez **Create topic** (Créer une rubrique).

1. Dans cet exemple, ignorez les autres types d'action. Choisissez **Next** (Suivant).

1. Dans la page **Add name and description** (Ajouter le nom et la description), saisissez un nom convivial pour l'alarme et une description. Pour cet exemple, saisissez **IAM Policy Changes** pour le nom, puis **Raises alarms if IAM policy changes occur** pour la description. Choisissez **Next** (Suivant).

1. Dans la page **Preview and create** (Prévisualiser et créer), vérifiez vos choix. Choisissez **Edit** (Modifier) pour effectuer des modifications, ou choisissez **Create alarm** (Créer une alarme) pour créer l'alarme.

   Après avoir créé l'alarme, CloudWatch ouvre la page **Alarmes**. La colonne **Actions** de l'alarme indique **Pending confirmation** (En attente de confirmation) jusqu'à ce que tous les destinataires d'e-mails de la rubrique SNS aient confirmé qu'ils souhaitent s'abonner aux notifications SNS.

## Configuration des notifications pour les alarmes CloudWatch Logs
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Vous pouvez configurer CloudWatch Logs pour envoyer une notification chaque fois qu'une alarme est déclenchée CloudTrail. Cela vous permet de réagir rapidement aux événements opérationnels critiques enregistrés dans les CloudTrail événements et détectés par CloudWatch les journaux. CloudWatch utilise Amazon Simple Notification Service (SNS) pour envoyer des e-mails. Pour plus d'informations, consultez la section [Configuration des notifications Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) dans le guide de l'*CloudWatch utilisateur*.

# Arrêter CloudTrail d'envoyer des événements à CloudWatch Logs
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs"></a>

Vous pouvez arrêter d'envoyer AWS CloudTrail des événements à Amazon CloudWatch Logs en mettant à jour un journal pour désactiver les paramètres CloudWatch des journaux.

## Arrêter d'envoyer des événements à CloudWatch Logs (console)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-console"></a>



**Pour arrêter d'envoyer CloudTrail des événements à CloudWatch Logs**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Dans le panneau de navigation, choisissez **Journaux de suivi**.

1. Choisissez le nom de la piste pour laquelle vous souhaitez désactiver l'intégration CloudWatch des journaux.

1. Dans **CloudWatch Logs**, sélectionnez **Modifier**.

1. Désactivez la case à cocher **Activé**.

1. Sélectionnez **Enregistrer les modifications**.

## Arrêter d'envoyer des événements à CloudWatch Logs (CLI)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-cli"></a>

Vous pouvez supprimer le groupe de CloudWatch journaux Logs en tant que point de terminaison de livraison en exécutant la [**update-trail**](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)commande. La commande suivante efface le groupe de journaux et le rôle de la configuration de suivi en remplaçant les valeurs de l'ARN du groupe de CloudWatch journaux et de l'ARN du rôle des journaux par des valeurs vides.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
```

# CloudWatch dénomination des groupes de journaux et des flux de journaux pour CloudTrail
<a name="cloudwatch-log-group-log-stream-naming-for-cloudtrail"></a>

Amazon CloudWatch affichera le groupe de journaux que vous avez créé pour les CloudTrail événements aux côtés de tous les autres groupes de journaux que vous avez dans une région. Nous recommandons d'utiliser un nom de groupe de journaux qui permet de distinguer facilement le groupe de journaux d'autres. Par exemple, **CloudTrail/logs**.

Suivez ces instructions ci-dessous pour nommer un groupe de journaux :
+ Les noms de groupes de journaux doivent être uniques dans la région d'un Compte AWS.
+ Les noms des groupes de journaux peuvent comporter entre 1 et 512 caractères.
+ Les noms de groupes de journaux contiennent les caractères suivants : a-z, A-Z, 0-9, « \$1 » (trait de soulignement), « - » (tiret), '/' (barre oblique) et « . » (point).

Lors CloudTrail de la création du flux de journaux pour le groupe de journaux, il nomme le flux de journaux selon le format suivant : *account\$1ID* \$1 CloudTrail \$1*trail\$1region*.

**Note**  
Si le volume de CloudTrail journaux est important, plusieurs flux de journaux peuvent être créés pour fournir des données de journal à votre groupe de journaux. Lorsqu'il existe plusieurs flux de journaux, CloudTrail nommez chaque flux de journal selon le format suivant : *account\$1ID* \$1 CloudTrail \$1 *trail\$1region* \$1*number*.

Pour plus d'informations sur les groupes de CloudWatch journaux, consultez la section [Utilisation des groupes de journaux et des flux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de * CloudWatch journaux dans le guide de l'utilisateur Amazon Logs* et [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)dans le manuel *Amazon CloudWatch Logs API Reference*.

# Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance
<a name="cloudtrail-required-policy-for-cloudwatch-logs"></a>

Cette section décrit la politique d'autorisation requise pour que le CloudTrail rôle envoie des événements de journal à CloudWatch Logs. Vous pouvez joindre un document de politique à un rôle lorsque vous configurez CloudTrail pour envoyer des événements, comme décrit dans[Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Vous pouvez également créer un rôle à l'aide d'IAM. Pour plus d'informations, consultez [Création d'un rôle pour déléguer des autorisations à un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) rôle Service AWS ou [Création d'un rôle IAM (AWS CLI).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli)

L'exemple de document de politique suivant contient les autorisations requises pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez et pour transmettre CloudTrail des événements à ce flux de journaux dans la région USA Est (Ohio). (C'est la politique par défaut pour le rôle IAM par défaut `CloudTrail_CloudWatchLogs_Role`.)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}
```

------

Si vous créez une politique qui peut être utilisée aussi pour les journaux d'activité d'organisation, vous devez la modifier à partir de la politique par défaut créée pour le rôle. Par exemple, la politique suivante accorde CloudTrail les autorisations requises pour créer un flux de CloudWatch journaux dans le groupe de journaux que vous spécifiez comme valeur*log\$1group\$1name*, et pour transmettre des CloudTrail événements à ce flux de journaux à la fois pour les traces du AWS compte 111111111111 et pour les pistes d'organisation créées dans le compte 111111111111 qui sont appliquées à l'organisation avec l'ID de : AWS Organizations *o-exampleorgid*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}
```

------

Pour plus d'informations sur les journaux d'activité d'organisation, consultez [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).