Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des journaux dans AMS Accelerate
AMS Accelerate configure les AWS services pris en charge pour collecter les journaux. Ces journaux sont utilisés par AMS Accelerate pour garantir la conformité et l'audit des ressources de votre compte.
AMS Accelerate fournit une gamme de services opérationnels pour vous aider à atteindre l'excellence opérationnelle sur AWS. Pour comprendre rapidement comment AMS aide vos équipes à atteindre l'excellence opérationnelle globale dans le cloud AWS grâce à certaines de nos principales fonctionnalités opérationnelles, notamment le service d'assistance 24 h/24, 7 j/7, la surveillance proactive, la sécurité, l'application de correctifs, la journalisation et la sauvegarde, consultez les diagrammes d'architecture de référence AMS
Rubriques
Gestion des journaux — AWS CloudTrail
AWS CloudTrail
AMS Accelerate nécessite une AWS CloudTrail connexion pour gérer les audits et la conformité de toutes les ressources de votre compte. Lors de l'intégration, vous pouvez choisir l'une des options suivantes :
-
Piste déployée par AMS : si vous choisissez cette option, AMS crée, déploie et gère une piste CloudTrail multirégionale dans votre AWS région principale, indépendamment des pistes existantes dans votre compte.
-
Proposez votre propre parcours : si vous choisissez de fournir le suivi de votre propre compte ou de votre organisation CloudTrail, vous devez travailler avec votre architecte cloud (CA) pour vous assurer qu'il répond aux configurations requises pour Accelerate. Si vous choisissez cette option mais que vous ne fournissez pas votre propre trace, Accelerate déploie automatiquement sa propre CloudTrail trace pour garantir une sécurité continue et une couverture d'audit. Si vous fournissez votre propre piste ultérieurement, AMS supprime sa piste déployée pour éviter les redondances et les coûts supplémentaires. Cette approche permet de conserver une CloudTrail trace active unique dans votre compte et d'éviter les coûts de journalisation dupliqués.
Note
Si votre compte possède un suivi existant CloudTrail et que vous n'avez pas spécifiquement configuré ou demandé un suivi géré par AMS lors de l'intégration, AMS Accelerate supprime automatiquement le journal déployé AMS de votre compte. Cela permet d'éviter la double journalisation, d'optimiser l'utilisation des ressources et de réduire les coûts supplémentaires.
AMS Accelerate crée un compartiment Amazon S3 pour un journal déployé CloudTrail Accelerate en tant que destination de diffusion des événements et utilise le chiffrement AWS Key Management Service (AWS KMS). Les opérateurs d'AMS Accelerate accèdent à vos événements de randonnée à des fins d'investigation et de diagnostic. Si un suivi existant CloudTrail est déjà activé sur le compte, ce suivi s'ajoute à cela, si vous avez choisi de demander à Accelerate de déployer un suivi géré par Accelerate lors de l'intégration.
AMS Accelerate déploie des AWS Config règles pour garantir que les traces de votre CloudTrail compte, y compris une CloudTrail trace déployée par Accelerate, sont correctement configurées et cryptées. Pour en savoir plus, veuillez consulter la section AWS Config
multi-region-cloudtrail-enabled. Vérifie qu'AMS Accelerate CloudTrail est correctement configuré avec les bonnes configurations.
cloud-trail-encryption-enabled. Vérifie qui AWS CloudTrail est configuré pour utiliser le chiffrement côté serveur (SSE) avec le chiffrement par clé principale AWS KMS du client (CMK).
cloud-trail-log-file-activé pour la validation. Lorsque cette option est activée, vérifie qu'un fichier de résumé signé contenant des journaux est AWS CloudTrail créé. Nous vous recommandons vivement d'activer la validation des fichiers sur tous les sentiers.
s3- bucket-default-lock-enabled. Lorsque cette option est activée, vérifie que le verrouillage du compartiment Amazon S3 est activé.
s3- bucket-logging-enabled. Lorsque cette option est activée, vérifie si la journalisation est activée pour les compartiments Amazon S3.
AMS Accelerate AWS KMS crypte les événements enregistrés pour un suivi déployé par Accelerate CloudTrail sur votre compte. Cette clé est contrôlée et accessible aux administrateurs du compte, aux opérateurs AMS Accelerate et CloudTrail. Pour plus d'informations sur les AWS Key Management Service fonctionnalités AWS KMS
Accès aux CloudTrail journaux et audit
CloudTrail les journaux d'un suivi déployé CloudTrail d'AMS Accelerate sont stockés dans un compartiment Amazon S3 au sein de votre compte. Les données de suivi stockées dans le compartiment Amazon S3 sont chiffrées à l'aide d'une clé AWS KMS créée lors du provisionnement CloudTrail des ressources.
Les compartiments Amazon S3 utilisent le modèle de dénomination ams-a aws account id -cloudtrail- (exemple : ams-a123456789- AWS Region cloudtrail-us-east -1a) et tous les événements sont stockés avec le préfixe AWS/. CloudTrail Tous les accès au compartiment principal sont enregistrés et les objets du journal sont chiffrés et versionnés à des fins d'audit.
Pour plus d'informations sur le suivi des modifications et l'interrogation des journaux, consultezSuivi des modifications apportées à vos comptes AMS Accelerate.
Protection et conservation CloudTrail des journaux
AMS Accelerate permet de verrouiller les objets Amazon S3 avec le mode de gouvernance pour un suivi déployé CloudTrail par Accelerate afin de garantir que les utilisateurs ne peuvent pas remplacer ou supprimer une version d'objet ou modifier ses paramètres de verrouillage sans autorisations spéciales. Pour plus d'informations, consultez la section Verrouillage d'objets Amazon S3.
Par défaut, tous les journaux de ce compartiment sont conservés indéfiniment. Si vous souhaitez modifier la période de conservation, vous pouvez soumettre une demande de service via le AWS Support Centre
Accès aux EC2 journaux Amazon
Vous pouvez accéder aux journaux des EC2 instances Amazon en utilisant le AWS Management Console. Les journaux produits par les instances et les AWS services sont disponibles dans CloudWatch Logs, qui est disponible dans chaque compte géré par AMS Accelerate. Pour plus d'informations sur l'accès à vos journaux, consultez la documentation sur CloudWatch les journaux.
Conservation des EC2 journaux Amazon
Les journaux des EC2 instances Amazon sont conservés indéfiniment, par défaut. Si vous souhaitez modifier la période de conservation, vous pouvez soumettre une demande de service via le AWS Support Centre
Gestion des journaux — Amazon EC2
AMS Accelerate installe l' CloudWatch agent sur toutes les EC2 instances Amazon que vous avez identifiées comme étant gérées par AMS Accelerate. Cet agent envoie des journaux au niveau du système à Amazon CloudWatch Logs. Pour plus d'informations, consultez Qu'est-ce qu'Amazon CloudWatch Logs ?
Les fichiers journaux suivants sont envoyés à CloudWatch Logs, dans un groupe de journaux portant le même nom que le journal. Au sein de chaque groupe de journaux, un flux de journal est créé pour chaque EC2 instance Amazon, nommé en fonction de l'ID d' EC2 instance Amazon.
Linux
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.journal
/var/log/audit/audit.journal
/var/log/auth.journal
/var/log/cloud-init-output.log
/var/log/cron
/var/log/dnf.journal
/var/log/dpkg.journal
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/syslog
/var/log/yum.journal
/var/log/zypper.journal
Pour plus d'informations, voir Création ou modification manuelle du fichier de configuration de l' CloudWatch agent.
Windows
SSMAgentJournal Amazon
AmazonCloudWatchAgentLog
SSMErrorJournal Amazon
AmazonCloudFormationLog
ApplicationEventLog
EC2ConfigServiceEventLog
MicrosoftWindowsAppLockerEXEAndDLLEventJournal
MicrosoftWindowsAppLockerMSIAndScriptEventLog
MicrosoftWindowsGroupPolicyOperationalEventLog
SecurityEventLog
SystemEventLog
Pour plus d'informations, consultez Démarrage rapide : activez vos EC2 instances Amazon exécutant Windows Server 2016 pour envoyer des journaux à des CloudWatch journaux à l'aide de l'agent CloudWatch Logs.
Gestion des journaux — Amazon VPC Flow Logs
Les journaux de flux VPC sont une fonctionnalité qui capture des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées sur Amazon CloudWatch Logs ou Amazon S3. La collecte des données du journal de flux n'a aucune incidence sur le débit ou la latence du réseau. Vous pouvez créer ou supprimer des journaux de flux sans aucune incidence sur les performances du réseau.
Les journaux de flux peuvent vous aider pour de nombreuses tâches, par exemple :
Diagnostic des règles trop restrictives des groupes de sécurité
Surveillance du trafic qui atteint votre instance
Déterminer la direction du trafic vers et depuis les interfaces réseau
Il n'est pas nécessaire d'activer les journaux de flux VPC pour chaque VPC nouvellement créé dans les comptes Accelerate. AMS détectera automatiquement si un VPC possède un journal de flux à l'aide de la règle - ams-nist-cis-vpcflow-logs-enabledConfig. Si les journaux de flux VPC ne sont pas activés, AMS y remédiera automatiquement en créant un journal de flux VPC avec des champs personnalisés. Ces champs supplémentaires permettront à AMS et à ses clients de mieux surveiller le trafic VPC, de comprendre les dépendances du réseau, de résoudre les problèmes de connectivité réseau et d'identifier les menaces réseau.
Pour plus d'informations sur l'affichage et la recherche dans les journaux de flux, voir Utilisation des journaux de flux.
