Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Interrogation des journaux bruts dans Detective
Après avoir intégré Detective à Security Lake, Detective commence à extraire les journaux bruts de Security Lake relatifs aux événements de AWS CloudTrail gestion et aux journaux de flux Amazon Virtual Private Cloud (Amazon VPC).
Note
L’interrogation des journaux bruts dans Detective n’entraîne pas de frais supplémentaires. Les frais d'utilisation des autres AWS services, y compris Amazon Athena, s'appliquent toujours aux tarifs publiés.
AWS CloudTrail des événements de gestion sont disponibles pour les profils suivants :
-
AWS compte
-
AWS utilisateur
-
AWS rôle
-
AWS Session de rôle
-
Instance Amazon EC2
-
Compartiment Amazon S3
-
Adresse IP
-
Cluster Kubernetes
-
Pod Kubernetes
-
Sujet Kubernetes
-
Rôle IAM
-
Séance de rôle IAM
-
Utilisateur IAM
Les FLow journaux Amazon VPC sont disponibles pour les profils suivants :
-
Instance Amazon EC2
-
Pod Kubernetes
Pour une démonstration de l'utilisation d'Amazon Detective avec Amazon Security Lake à l'aide de la console Detective, regardez la vidéo suivante :
Pour interroger les journaux bruts d’un compte AWS
-
Ouvrez la console Detective à l'adresse https://console.aws.amazon.com/detective/
. -
Dans le volet de navigation, choisissez Rechercher, puis recherchez une
AWS account. -
Dans la section Volume global des appels d’API, choisissez Afficher les détails pour la durée de la portée.
-
À partir de là, vous pouvez commencer à interroger les journaux bruts.
Dans le tableau d’aperçu des journaux bruts, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena.
Dans le tableau d’interrogation des journaux bruts, vous pouvez annuler la demande de requête, afficher les résultats dans Amazon Athena et télécharger les résultats sous la forme d’un fichier de valeurs séparées par des virgules (.csv).
Si vous voyez des journaux dans Detective, mais que la requête n’a renvoyé aucun résultat, les raisons peuvent en être les suivantes.
-
Les journaux bruts peuvent être disponibles dans Detective avant d’apparaître dans les tableaux des journaux de Security Lake. Réessayez ultérieurement.
-
Les journaux peuvent ne pas être présents dans Security Lake. Si vous avez attendu pendant une longue période, cela indique que les journaux sont absents de Security Lake. Contactez votre administrateur Security Lake pour résoudre le problème.
Exemples
Interrogation de logs bruts pour un rôle AWS
Si vous souhaitez comprendre l'activité d'un AWS rôle dans une nouvelle géolocalisation, vous pouvez le faire dans la console Detective.
Pour interroger les journaux bruts d’un rôle AWS
-
Ouvrez la console Detective à l'adresse https://console.aws.amazon.com/detective/
. -
Sur la page Detective Summary, dans la section « Géolocalisations récemment observées », notez le AWS rôle.
-
Dans le volet de navigation, choisissez Rôles, puis recherchez le
AWS role. -
Pour le AWS rôle, développez la ressource pour afficher les appels d'API spécifiques émis par cette ressource à partir de cette adresse IP.
-
Choisissez l’icône en forme de loupe à côté de l’appel d’API que vous souhaitez étudier pour ouvrir le tableau d’aperçu des journaux bruts.
Interrogation de journaux bruts pour un cluster Amazon EKS
-
Ouvrez la console Detective à l'adresse https://console.aws.amazon.com/detective/
. -
Sur la page Detective Summary, section Clusters de conteneurs contenant le plus grand nombre de pods créés, accédez à un cluster Amazon EKS.
-
Sur la page de détails du cluster Amazon EKS, sélectionnez l'onglet Activité de l'API Kubernetes.
-
Dans la section Activité globale de l'API Kubernetes impliquant ce cluster Amazon EKS, choisissez Afficher les détails pour la durée du champ d'application.
-
À partir de là, vous pouvez commencer à interroger les journaux bruts.
Interrogation de journaux bruts pour une instance Amazon EC2
-
Ouvrez la console Detective à l'adresse https://console.aws.amazon.com/detective/
. -
Dans le volet de navigation, choisissez Rechercher, puis recherchez une
Amazon EC2 instance. -
Dans la section Volume global des flux VPC, choisissez l’icône en forme de loupe à côté de l’appel d’API que vous souhaitez étudier pour ouvrir le tableau d’aperçu des journaux bruts.
-
À partir de là, vous pouvez commencer à interroger les journaux bruts.
Dans le tableau d’aperçu des journaux bruts, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena.
Dans le tableau d’interrogation des journaux bruts, vous pouvez annuler la demande de requête, afficher les résultats dans Amazon Athena et télécharger les résultats sous la forme d’un fichier de valeurs séparées par des virgules (.csv).
