Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console - AWS CloudTrail
Pour créer un magasin de données d' CloudTrail événements pour les événements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console

Les magasins de données d' CloudTrail événements peuvent inclure CloudTrail des événements de gestion, des événements de données et des événements d'activité réseau. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans.

CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d'événement, vous pouvez choisir l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

Pour créer un magasin de données d' CloudTrail événements pour les événements

Utilisez cette procédure pour créer un magasin de données d'événements qui enregistre les événements CloudTrail de gestion, les événements de données ou les événements d'activité réseau.

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, sous Lake, choisissez Entrepôts de données d'événement.

  3. Choisissez Créer un magasin de données d’événement.

  4. Sur la page Configure event data store (Configurer un magasin de données d'événement), dans General details (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est obligatoire.

  5. Choisissez l’option de tarification que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

    Les options suivantes sont disponibles :

    • Tarif de rétention extensible d’un an : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.

      • Période de conservation par défaut : 366 jours.

      • Période de conservation maximale : 3 653 jours

    • Tarif de rétention sur sept ans : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.

      • Période de conservation par défaut : 2 557 jours.

      • Période de conservation maximale : 2 557 jours

  6. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de tarification de rétention extensible d’un an, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de tarification de rétention sur sept ans.

    CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. eventTime Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent eventTime de plus de 90 jours.

    Note

    Si vous copiez des événements de suivi dans cette banque de données d'événements, vous ne CloudTrail copierez aucun événement s'il eventTime est antérieur à la période de conservation spécifiée. Pour déterminer la période de conservation appropriée, additionnez l'événement le plus ancien que vous souhaitez copier en jours et le nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d'événements (période de conservation = oldest-event-in-days +number-days-to-retain). Par exemple, si l’événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d’événement pendant 45 jours supplémentaires, vous devez définir la période de conservation sur 90 jours.

  7. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez Utiliser le mien AWS KMS key. Choisissez Nouveau pour en AWS KMS key créer une pour vous, ou choisissez Existant pour utiliser une clé KMS existante. Dans Enter KMS alias, spécifiez un alias au format alias/MyAliasName. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultezConfigurer les politiques AWS KMS clés pour CloudTrail. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

    L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d'événements à une clé KMS, cette dernière ne peut plus être supprimée ni modifiée.

    Note

    Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.

  8. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez Activer dans Fédération de requêtes Lake. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le catalogue de données d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

    Pour activer la fédération de requêtes Lake, choisissez Activer, puis procédez comme suit :

    1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. AWS Lake Formation utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

    2. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

    3. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  9. (Facultatif) Choisissez Activer la politique de ressources pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les politiques basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre magasin de données d’événement. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez Exemples de politiques basées sur les ressources pour les magasins de données d'événements.

    Une politique basée sur les ressources comprend une ou plusieurs instructions. Chaque instruction de la politique définit les principaux auxquels l’accès au magasin de données d’événement est accordé ou refusé et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d’événement.

    Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d’événement :

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Pour les magasins de données d'événements d'organisation, CloudTrail crée une politique par défaut basée sur les ressources qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).

  10. (Facultatif) Dans la zone Balises, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications. Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section AWS Ressources de balisage dans le Guide de l'utilisateur AWS des ressources de balisage.

  11. Choisissez Suivant pour configurer le magasin de données d’événement.

  12. Sur la page Choisir des événements, choisissez AWS des événements, puis CloudTraildes événements.

  13. Pour les CloudTrail événements, choisissez au moins un type d'événement. Par défaut, Management events (Événements de gestion) est sélectionné. Vous pouvez ajouter des événements de gestion, des événements de données et des événements d'activité réseau à votre banque de données d'événements.

  14. (Facultatif) Choisissez Copier les événements du journal de suivi si vous voulez copier les événements d’un journal de suivi existant pour exécuter des requêtes sur des événements passés. Pour copier les événements de journal de suivi vers le magasin de données d'événement d'une organisation, vous devez utiliser le compte de gestion de l'organisation. Le compte d'administrateur délégué ne peut pas copier les événements de journal de suivi vers le magasin de données d'événement d'une organisation. Pour plus d’informations et des considérations sur la copie d’événements de journal de suivi, veuillez consulter Considérations pour copier les événements de journal de suivi.

  15. Pour que votre magasin de données d’événement collecte les événements de tous les comptes d’une organisation AWS Organizations , sélectionnez Activer pour tous les comptes de mon organisation. Vous devez être connecté au compte de gestion ou au compte administrateur délégué de l’organisation pour créer un magasin de données d’événement qui collecte les événements pour une organisation.

    Note

    Pour copier des événements de journal de suivi ou activer des événements Insights, vous devez être connecté au compte de gestion de votre organisation.

  16. Développez les paramètres supplémentaires pour choisir si vous souhaitez que votre banque de données d'événements collecte les événements pour tous Régions AWS ou uniquement les événements actuels Région AWS, et choisissez si la banque de données d'événements ingère les événements. Par défaut, votre magasin de données d'événements collecte les événements de toutes les régions de votre compte et commence à les ingérer dès sa création.

    1. Vous pouvez également sélectionner Inclure uniquement la région actuelle dans mon entrepôt de données d'événement pour n'inclure que les événements journalisés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.

    2. Désélectionnez Ingérer des événements si vous ne souhaitez pas que l'entrepôt de données d'événement commence à ingérer des événements. Par exemple, vous souhaiterez peut-être désélectionner Ingérer des événements si vous copiez des événements du journal de suivi et que vous ne souhaitez pas que l'entrepôt de données d'événement inclue des événements futurs. Par défaut, l'entrepôt de données d'événement commence à ingérer les événements dès sa création.

  17. Si votre entrepôt de données d'événement inclut des événements de gestion, vous pouvez choisir l'une des options suivantes. Pour plus d'informations sur les événements de gestion, veuillez consulter Journalisation des événements de gestion.

    1. Choisissez entre une collecte d'événements simple ou une collecte d'événements avancée :

      • Choisissez Collection d’événements simple si vous souhaitez journaliser tous les événements, journaliser uniquement les événements en lecture ou journaliser uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS Key Management Service de l'API Amazon RDS Data.

      • Choisissez Collection d’événements avancée si vous souhaitez inclure ou exclure des événements de gestion en fonction des valeurs des champs des sélecteurs d’événements avancés, notamment des champs eventName, eventType, eventSource, sessionCredentialFromConsole et userIdentity.arn.

    2. Si vous avez sélectionné Collecte d'événements simple, indiquez si vous souhaitez consigner tous les événements, consigner uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS KMS de l'API Amazon RDS Data.

    3. Si vous avez sélectionné Collecte d'événements avancée, effectuez les sélections suivantes :

      1. Dans Modèle de sélecteur de journal, choisissez un modèle prédéfini ou Personnalisé pour créer une configuration personnalisée basée sur les valeurs avancées des champs du sélecteur d'événements.

        Vous pouvez choisir parmi les modèles prédéfinis suivants :

        • Consigner tous les événements – Choisissez ce modèle pour consigner tous les événements.

        • Consigner uniquement les événements en lecture – Choisissez ce modèle pour consigner uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l’état d’une ressource, comme les événements Get* ou Describe*.

        • Consigner uniquement les événements en écriture – Choisissez ce modèle pour enregistrer uniquement les événements en écriture. Les événements en écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements Put*, Delete* ou Write*.

        • Enregistrer uniquement AWS Management Console les événements : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.

        • Exclure les événements Service AWS initiés : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère eventType de et AwsServiceEvent les événements initiés avec des rôles Service AWS liés à -linked (SLRs).

      2. (Facultatif) Dans Nom du sélecteur, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Enregistrer les événements de gestion des AWS Management Console sessions ». Le nom de sélecteur est répertorié comme Name dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.

      3. Si vous avez choisi Personnalisé, dans les sélecteurs d'événements avancés, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.

        Note

        Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. * Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliserStartsWith, EndsWithNotStartsWith, ou NotEndsWith faire correspondre explicitement le début ou la fin du champ d'événement.

        1. Choisissez parmi les options suivantes.

          • readOnly : readOnly peut être défini sur Égal à une valeur true ou false. Lorsqu’il est défini sur false, le magasin de données d’événement journalise les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l’état d’une ressource, tels que les événements Get* ou Describe*. Les événements en écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements Put*, Delete* ou Write*. Pour journaliser les événements Read (Lecture) et Write (Écriture), n'ajoutez pas de sélecteur readOnly.

          • eventName : eventName peut utiliser n’importe quel opérateur. Vous pouvez l’utiliser pour inclure ou exclure tout événement de gestion, tel que CreateAccessPoint ou GetAccessPoint.

          • userIdentity.arn : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter Élément CloudTrail userIdentity.

          • sessionCredentialFromConsole— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur égal à ou sur différent de avec la valeur true.

          • eventSource : vous pouvez l’utiliser pour inclure ou exclure des sources d’événements spécifiques. eventSourceIl s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces.amazonaws.com. Par exemple, vous pouvez définir des valeurs eventSource égales ec2.amazonaws.com à pour enregistrer uniquement les événements EC2 de gestion d'Amazon.

          • eventType— L'EventType à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur différent de AwsServiceEvent pour exclure les événements de Service AWS.

        2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.

          Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultezComment CloudTrail évaluer plusieurs conditions pour un champ.

          Note

          Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que eventName. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

        3. Choisissez + Field (+ Champ) pour ajouter des champs supplémentaires si nécessaire. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.

      4. Vous pouvez également développer Affichage JSON pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

    4. Choisissez Activer la capture d'événements Insights pour activer Insights. Pour activer Insights, vous devez configurer un entrepôt de données d'événement de destination afin de collecter les événements Insights en fonction de l'activité des événements de gestion dans cet entrepôt de données d'événement.

      Si vous choisissez d'activer Insights, procédez comme suit.

      1. Choisissez le magasin d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights.

      2. Choisissez les types Insights. Vous pouvez choisir le Taux d'appels d'API, le Taux d'erreur de l'API ou les deux. Vous devez journaliser les événements de gestion Écriture pour journaliser les événements Insights afin de connaître le Taux d'appels d'API. Vous devez journaliser les événements de gestion Lecture ou Écriture pour journaliser les événements Insights afin de connaître le Taux d'erreur de l'API.

  18. Pour inclure des événements de données dans votre magasin de données d’événement, procédez comme suit.

    1. Choisissez un type de ressource. Il s'agit de Service AWS la ressource sur laquelle les événements de données sont enregistrés.

    2. Dans le modèle de sélecteur de journal, choisissez un modèle prédéfini ou choisissez Personnalisé pour définir vos propres conditions de collecte d'événements en fonction des valeurs des champs de sélection d'événements avancés.

      Vous pouvez choisir parmi les modèles prédéfinis suivants :

      • Consigner tous les événements – Choisissez ce modèle pour consigner tous les événements.

      • Consigner uniquement les événements en lecture – Choisissez ce modèle pour consigner uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l’état d’une ressource, comme les événements Get* ou Describe*.

      • Consigner uniquement les événements en écriture – Choisissez ce modèle pour enregistrer uniquement les événements en écriture. Les événements en écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements Put*, Delete* ou Write*.

      • Enregistrer uniquement AWS Management Console les événements : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.

      • Exclure les événements Service AWS initiés : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère eventType de et AwsServiceEvent les événements initiés avec des rôles Service AWS liés à -linked (SLRs).

    3. (Facultatif) Dans Nom du sélecteur, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom de sélecteur est répertorié comme Name dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.

    4. Si vous avez sélectionné Personnalisé, dans les sélecteurs d'événements avancés, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.

      Note

      Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. * Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliserStartsWith, EndsWithNotStartsWith, ou NotEndsWith faire correspondre explicitement le début ou la fin du champ d'événement.

      1. Choisissez parmi les options suivantes.

        • readOnly - readOnly peut être défini sur Égal à une valeur true ou false. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements Get* ou Describe*. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements Put*, Delete*, ou Write*. Pour journaliser les deux événements read et write, n'ajoutez pas de sélecteur readOnly.

        • eventName - eventName peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que PutBucketGetItem, ouGetSnapshotBlock.

        • eventSource— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.

        • eventType : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une valeur différente AwsServiceEvent pour l'exclureService AWS événements. Pour une liste des types d'événements, voir eventTypedansCloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau.

        • sessionCredentialFromConsole — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur égal à ou sur différent de avec la valeur true.

        • userIdentity.arn : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter Élément CloudTrail userIdentity.

        • resources.ARN – Vous pouvez utiliser n'importe quel opérateur avec resources.ARN, mais si vous utilisez Égal à ou Non égal à, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de resources.type.

          Note

          Vous ne pouvez pas utiliser le resources.ARN champ pour filtrer les types de ressources qui n'en ont pas ARNs.

          Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section Actions, ressources et clés de condition Services AWS dans la référence d'autorisation de service.

      2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur Resources.ARN, définir l'opérateur pour ne commence pas par, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.

        Pour ajouter le deuxième compartiment S3, choisissez + Conditions, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.

        Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultezComment CloudTrail évaluer plusieurs conditions pour un champ.

        Note

        Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que eventName. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

      3. Choisissez + Field (+ Champ) pour ajouter des champs supplémentaires si nécessaire. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, vous ne devez pas spécifier dans un sélecteur qu'un ARN est égal à une valeur, puis spécifier que ce même ARN n'est pas égal à la même valeur dans un autre sélecteur.

    5. Vous pouvez également développer Affichage JSON pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

    6. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez Ajouter un type d'événement de données. Répétez les étapes a à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.

  19. Pour inclure les événements liés à l'activité du réseau dans votre banque de données d'événements, procédez comme suit.

    1. Dans Source des événements d'activité réseau, choisissez la source des événements d'activité réseau.

    2. Dans Modèle de sélecteur de journaux, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir Personnaliser pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que eventName etvpcEndpointId.

    3. (Facultatif) Entrez un nom pour identifier le sélecteur. Le nom du sélecteur est répertorié sous la forme Nom dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.

    4. Dans les sélecteurs d'événements avancés, les sélecteurs créent des expressions en choisissant des valeurs pour Champ, Opérateur et Valeur. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

      1. Pour exclure ou inclure des événements d'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.

        • eventName— Vous pouvez utiliser n'importe quel opérateur aveceventName. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel queCreateKey.

        • errorCode— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge errorCode estVpceAccessDenied.

        • vpcEndpointId— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec vpcEndpointId.

      2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.

      3. Choisissez + Field (+ Champ) pour ajouter des champs supplémentaires si nécessaire. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.

    5. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez Ajouter un sélecteur d'événements d'activité réseau.

    6. Vous pouvez également développer Affichage JSON pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

  20. Pour copier des événements de journal de suivi existant dans votre magasin de données d'événement, procédez comme suit.

    1. Sélectionnez le journal de suivi que vous voulez copier. Par défaut, copie CloudTrail uniquement les CloudTrail événements contenus dans le préfixe du compartiment S3 et CloudTrail les préfixes contenus dans le CloudTrail préfixe, et ne vérifie pas les préfixes des autres services. AWS Si vous souhaitez copier CloudTrail des événements contenus dans un autre préfixe, choisissez Enter S3 URI, puis Browse S3 pour accéder au préfixe. Si le compartiment S3 source pour le suivi utilise une clé KMS pour le chiffrement des données, assurez-vous que la politique en matière de clés KMS autorise CloudTrail le déchiffrement des données. Si votre compartiment S3 source utilise plusieurs clés KMS, vous devez mettre à jour la politique de chaque clé afin de CloudTrail permettre le déchiffrement des données du compartiment. Pour plus d’informations sur la mise à jour de la stratégie de clé KMS, veuillez consulter Stratégie de clé KMS pour le déchiffrement des données dans le compartiment S3 source.

    2. Choisissez la plage horaire pour copier les événements. CloudTrail vérifie le préfixe et le nom du fichier journal pour vérifier que le nom contient une date comprise entre les dates de début et de fin choisies avant de tenter de copier les événements de suivi. Vous avez le choix entre Plage relative ou Plage absolue. Pour éviter de dupliquer les événements entre le journal de suivi source et le magasin de données d’événement de destination, choisissez une plage de temps antérieure à la création du magasin de données d’événement.

      Note

      CloudTrail copie uniquement les événements de suivi dont la durée de conservation est eventTime conforme à la période de conservation de la banque de données d'événements. Par exemple, si la période de conservation d'un magasin de données d'événements est de 90 jours, aucun événement de suivi datant de eventTime plus de 90 jours ne CloudTrail sera copié.

      • Si vous choisissez Plage relative, vous pouvez choisir de copier les événements enregistrés au cours des 6 derniers mois, 1 an, 2 ans, 7 ans ou une plage personnalisée. CloudTrail copie les événements enregistrés pendant la période choisie.

      • Si vous choisissez la plage absolue, vous pouvez choisir une date de début et de fin spécifique. CloudTrail copie les événements survenus entre les dates de début et de fin choisies.

    3. Pour Autorisations, sélectionnez l’une des options de rôle IAM suivantes. Si vous choisissez un rôle IAM existant, vérifiez que la politique de rôle IAM fournit les autorisations nécessaires. Pour plus d'informations sur la mise à jour des autorisations du rôle IAM, consultez Autorisations IAM pour copier les événements de journal de suivi.

      • Sélectionnez Créer un nouveau rôle (recommandé) pour créer un nouveau rôle IAM. Pour Enter IAM role name, saisissez le nom du rôle. CloudTrail crée automatiquement les autorisations nécessaires pour ce nouveau rôle.

      • Choisissez Utiliser un ARN de rôle IAM personnalisé pour utiliser un rôle IAM personnalisé qui n'est pas répertorié. Pour Enter IAM role ARN (Saisir l'ARN du rôle IAM), saisissez l'ARN IAM.

      • Choisissez un rôle IAM existant dans la liste déroulante.

  21. Choisissez Next pour enrichir vos événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM.

  22. Dans Enrich events, ajoutez jusqu'à 50 clés de balise de ressource et 50 clés de condition globales IAM pour fournir des métadonnées supplémentaires sur vos événements. Cela vous permet de classer et de regrouper les événements connexes.

    Si vous ajoutez des clés de balise de ressource, les clés de balise sélectionnées associées aux ressources impliquées dans l'appel d'API CloudTrail seront incluses. Les événements d’API liés aux ressources supprimées n’auront pas de balises de ressources.

    Si vous ajoutez des clés de condition globales IAM, elles CloudTrail incluront des informations sur les clés de condition sélectionnées qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.

    Les informations relatives aux clés de balise de ressource et aux clés de condition globales IAM sont affichées dans le eventContext champ de l'événement. Pour de plus amples informations, veuillez consulter Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM.

    Note

    Si un événement contient une ressource qui n'appartient pas à la région de l'événement, les balises ne CloudTrail seront pas renseignées pour cette ressource car la récupération des balises est limitée à la région de l'événement.

  23. Choisissez Augmenter la taille de l'événement pour augmenter la charge utile de l'événement jusqu'à 1 Mo au lieu de 256 Ko. Cette option est automatiquement activée lorsque vous ajoutez des clés de balise de ressource ou des clés de condition globales IAM afin de garantir que toutes les clés ajoutées sont incluses dans l'événement.

    L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs suivants tant que la charge utile de l'événement est inférieure à 1 Mo :

    • annotation

    • requestID

    • additionalEventData

    • serviceEventDetails

    • userAgent

    • errorCode

    • responseElements

    • requestParameters

    • errorMessage

    Pour plus d'informations sur ces champs, consultez la section Contenu des CloudTrail enregistrements.

  24. Choisissez Suivant pour examiner vos préférences.

  25. Sur la page Review and create (Vérifier et créer), examinez vos choix. Choisissez Modifier (Edit) pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez Créer un magasin de données d’événement.

  26. Le nouvel entrepôt de données d'événement est visible dans la table Entrepôts de données d'événement sur la page Entrepôts de données d'événement.

    À partir de ce moment, l'entrepôt de données d'événement capture les événements qui correspondent à ses sélecteurs d'événement avancés (si vous avez gardé l'option Ingérer les événements sélectionnée). Les événements s’étant produits avant la création du magasin de données d’événement ne figurent pas dans celui-ci, à moins que vous ne choisissiez de copier les événements de suivi existants.

Vous pouvez désormais exécuter des requêtes sur votre magasin de données d’événement. L'onglet Samples queries (Exemples de requêtes) fournit des exemples de requêtes pour vous aider à démarrer. Pour plus d’informations sur la création et la modification des requêtes, consultez Création ou modification d'une requête à l'aide de la CloudTrail console.

Vous pouvez également consulter les tableaux de bord gérés ou créer des tableaux de bord personnalisés pour visualiser les tendances des événements. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter CloudTrail Tableaux de bord du lac.