Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Créez un magasin de données d'événements pour les événements Insights à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
AWS CloudTrail Insights aide AWS les utilisateurs à identifier les activités inhabituelles associées aux taux d'appels et aux taux d'erreur des API et à y répondre en analysant en permanence les événements CloudTrail de gestion. CloudTrail Insights analyse vos modèles habituels de taux d'appels d'API et de taux d'erreur d'API, également appelés taux de *référence*, et génère des événements Insights lorsque le volume d'appels ou les taux d'erreur sont en dehors des modèles normaux. Les événements Insights sur le taux d'appels des API sont générés pour `write` la gestion APIs, et les événements Insights sur le taux d'erreur des API sont générés à la fois pour la `write` gestion `read` et pour la gestion APIs.
Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui enregistre les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion.
**Note**
Pour enregistrer les événements Insights sur le taux d'appels de l'API, le magasin de données d'événements source doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le magasin de données d'événements source doit enregistrer `read` les événements `write` de gestion.
Si CloudTrail Insights est activé sur un magasin de données d'événements source et que vous CloudTrail détectez une activité inhabituelle, CloudTrail transmet les événements Insights à votre magasin de données d'événements de destination. Contrairement aux autres types d'événements capturés dans un magasin de données d' CloudTrail événements, les événements Insights sont enregistrés uniquement lorsque des modifications de l'utilisation de l'API de votre compte sont CloudTrail détectées, qui diffèrent considérablement des modèles d'utilisation habituels du compte.
Une fois que vous avez activé CloudTrail Insights pour la première fois sur un magasin de données d'événements, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
CloudTrail Insights analyse les événements de gestion qui se produisent dans chaque région pour le stockage des données d'événements et génère des événements Insights lorsqu'une activité inhabituelle est détectée qui s'écarte de la base de référence. Un événement CloudTrail Insights est généré dans la même région que son événement de gestion secondaire.
Pour le magasin de données sur les événements d'une organisation, CloudTrail Insights analyse les événements de gestion de chaque compte membre de l'organisation pour chaque région et génère un événement Insights lorsqu'une activité inhabituelle est détectée qui s'écarte de la base de référence pour le compte et la région.
Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights pour les magasins de données sur les événements sur les sentiers et sur le CloudTrail lac. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](#query-event-data-store-insights-procedure)
+ [Pour créer un entrepôt de données d'événement source qui active les événements Insights](#query-event-data-store-cloudtrail-insights)
## Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights
Lorsque vous créez un entrepôt de données d'événement Insights, vous avez la possibilité de choisir un entrepôt de données d'événement source existant qui journalise les événements de gestion, puis de spécifier les types d'événements Insights que vous souhaitez recevoir. Vous pouvez également activer Insights sur un entrepôt de données d'événement nouveau ou existant après avoir créé votre entrepôt de données d'événement Insights, puis choisir cet entrepôt de données d'événement comme entrepôt de données d'événement de destination.
Cette procédure explique comment créer un entrepôt de données d'événement de destination qui journalise les événements Insights.
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, ouvrez le sous-menu **Lake**, puis sélectionnez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement en jours. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.** Le magasin de données d’événement conserve les données d’événement pendant le nombre de jours spécifié.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, choisissez **AWS des événements**, puis choisissez **CloudTraildes événements Insights**.
1. Dans les **événements CloudTrail Insights**, procédez comme suit.
1. Choisissez **Autoriser l'accès administrateur délégué** si vous souhaitez accorder à l'administrateur délégué de votre organisation l'accès à cet entrepôt de données d'événement. Cette option n'est disponible que si vous êtes connecté avec le compte de gestion d'une AWS Organizations organisation.
1. (Facultatif) Choisissez un entrepôt de données d'événement source existant qui journalise les événements de gestion et spécifiez les types Insights que vous souhaitez recevoir.
Pour ajouter un entrepôt de données d'événement source, procédez comme suit.
1. Choisissez **Ajouter un entrepôt de données d'événement source**.
1. Choisissez l'entrepôt de données d'événement source.
1. Choisissez le **Type Insights** que vous souhaitez recevoir.
+ `ApiCallRateInsight` : le type Insights `ApiCallRateInsight` analyse les appels à l'API de gestion en écriture seule qui sont agrégés par minute par rapport à un volume d'appels à l'API de référence. Pour recevoir des événements Insights de type `ApiCallRateInsight`, l'entrepôt de données d'événement source doit journaliser les événements de gestion **Écriture**.
+ `ApiErrorRateInsight` : le type Insight `ApiErrorRateInsight` analyse les appels des API de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API. Pour recevoir des événements Insights de type `ApiErrorRateInsight`, l'entrepôt de données d'événement source doit journaliser les événements de gestion **Écriture** ou **Lecture**.
1. Répétez les deux étapes précédentes (ii et iii) pour ajouter les types Insights supplémentaires que vous souhaitez recevoir.
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
1. Si vous n'avez pas choisi d'entrepôt de données d'événement source à l'étape 10, suivez les étapes décrites dans [Pour créer un entrepôt de données d'événement source qui active les événements Insights](#query-event-data-store-cloudtrail-insights) pour créer un entrepôt de données d'événement source.
## Pour créer un entrepôt de données d'événement source qui active les événements Insights
Cette procédure explique comment créer un entrepôt de données d'événement source qui active les événements Insights et journalise les événements de gestion.
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, ouvrez le sous-menu **Lake**, puis sélectionnez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, choisissez **AWS des événements**, puis **CloudTraildes événements**.
1. Dans **CloudTrail Événements**, laissez **la case Événements de gestion** sélectionnée.
1. Pour que votre magasin de données d’événement collecte les événements de tous les comptes d’une organisation AWS Organizations , sélectionnez **Activer pour tous les comptes de mon organisation**. Vous devez être connecté au compte de gestion de l'organisation pour créer un entrepôt de données d'événement qui active Insights.
1. Développez **les paramètres supplémentaires** pour choisir si vous souhaitez que votre banque de données d'événements collecte les événements pour tous Régions AWS ou uniquement les événements actuels Région AWS, et choisissez si la banque de données d'événements ingère les événements. Par défaut, votre entrepôt de données d'événement collecte les événements de toutes les régions de votre compte et commence à ingérer les événements dès sa création.
1. Choisissez **Inclure uniquement la région actuelle dans mon entrepôt de données d'événement** si vous souhaitez n'inclure que les événements journalisés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.
1. Laissez l'option **Ingérer les événements** sélectionnée.
1. Choisissez entre **une collecte d'événements simple** ou une **collecte d'événements avancée** :
+ Choisissez **Collection d'événements simple** si vous souhaitez consigner tous les événements, enregistrer uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS Key Management Service de l'API Amazon RDS Data.
+ Choisissez **Collection d'événements avancée** si vous souhaitez inclure ou exclure des événements de gestion en fonction des valeurs des champs du sélecteur d'événements avancé, notamment les `userIdentity.arn` champs `eventName``eventType`,`eventSource`,`sessionCredentialFromConsole`, et.
1. Si vous avez sélectionné **Collecte d'événements simple**, indiquez si vous souhaitez consigner tous les événements, consigner uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS KMS de l'API Amazon RDS Data.
1. Si vous avez sélectionné **Collecte d'événements avancée**, effectuez les sélections suivantes :
1. Dans le **modèle de sélecteur de journal**, choisissez un modèle prédéfini ou choisissez **Personnalisé** pour rédiger vos propres conditions de collecte d'événements en fonction des valeurs des champs de sélection d'événements avancés.
Vous pouvez choisir parmi les modèles prédéfinis suivants :
+ **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
+ **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
+ **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
+ **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
+ **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Enregistrer les événements de gestion des AWS Management Console sessions ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
1. Si vous avez choisi **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.
1. Choisissez parmi les options suivantes.
+ **`readOnly`**— `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Lorsqu'il est défini sur`false`, le magasin de données d'événements enregistre les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour enregistrer à la fois les événements de **lecture** et d'**écriture**, n'ajoutez pas de `readOnly` sélecteur.
+ **`eventName`**— `eventName` peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de gestion, tel que `CreateAccessPoint` ou`GetAccessPoint`.
+ **`userIdentity.arn`**— Incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
+ **`eventSource`**— Vous pouvez l'utiliser pour inclure ou exclure des sources d'événements spécifiques. `eventSource`Il s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces`.amazonaws.com`. Par exemple, vous pouvez définir des valeurs `eventSource` **égales** `ec2.amazonaws.com` à pour consigner uniquement les événements de gestion Amazon EC2.
+ **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente** `AwsServiceEvent` pour exclure [Service AWS des événements](non-api-aws-service-events.md).
1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.
Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.
1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Choisissez **Activer la capture des événements Insights**.
1. Choisissez le magasin d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](#query-event-data-store-insights-procedure).
1. Choisissez les types Insights. Vous pouvez choisir le **Taux d'appels d'API**, le **Taux d'erreur de l'API** ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.
1. Choisissez **Next** pour enrichir vos événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM.
1. Dans **Enrich events**, ajoutez jusqu'à 50 clés de balise de ressource et 50 clés de condition globales IAM pour fournir des métadonnées supplémentaires sur vos événements. Cela vous permet de classer et de regrouper les événements connexes.
Si vous ajoutez des clés de balise de ressource, les clés de balise sélectionnées associées aux ressources impliquées dans l'appel d'API CloudTrail seront incluses. Les événements d'API liés aux ressources supprimées ne comporteront pas de balises de ressources.
Si vous ajoutez des clés de condition globales IAM, elles CloudTrail incluront des informations sur les clés de condition sélectionnées qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.
Les informations relatives aux clés de balise de ressource et aux clés de condition globales IAM sont affichées dans le `eventContext` champ de l'événement. Pour de plus amples informations, veuillez consulter [Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM](cloudtrail-context-events.md).
**Note**
Si un événement contient une ressource qui n'appartient pas à la région de l'événement, les balises ne CloudTrail seront pas renseignées pour cette ressource car la récupération des balises est limitée à la région de l'événement.
1. Choisissez **Augmenter la taille de l'événement** pour augmenter la charge utile de l'événement jusqu'à 1 Mo au lieu de 256 Ko. Cette option est automatiquement activée lorsque vous ajoutez des clés de balise de ressource ou des clés de condition globales IAM afin de garantir que toutes les clés ajoutées sont incluses dans l'événement.
L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs suivants tant que la charge utile de l'événement est inférieure à 1 Mo :
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Pour plus d'informations sur ces champs, consultez la section [Contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
À partir de ce moment, le magasin de données d’événement capture les événements qui correspondent à ses sélecteurs d’événements avancés. Une fois que vous avez activé CloudTrail Insights pour la première fois sur votre banque de données d'événements source, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Vous pouvez consulter le tableau de bord CloudTrail Lake pour visualiser les événements Insights dans votre banque de données d'événements de destination. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter [CloudTrail Tableaux de bord du lac](lake-dashboard.md).
Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).