Enregistrement des informations Amazon Quick Sight avec AWS CloudTrail Suivi des événements non liés à l'API à l'aide CloudTrail de journaux Exemple : entrées du fichier journal Amazon Quick Sight

Réponse aux incidents, journalisation et surveillance dans Amazon Quick Sight à l'aide de CloudTrail

Amazon Quick Sight est intégré à AWS CloudTrail. Ce service fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon Quick Sight. CloudTrail capture tous les appels d'API pour Amazon Quick Sight sous forme d'événements. Les appels capturés incluent certains appels provenant de la console Amazon Quick Sight et tous les appels de code vers les opérations de l'API Amazon Quick Sight. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Amazon Quick Sight. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon Quick Sight, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.

Amazon Quick Sight ne prend pas en charge de manière native les alertes avec Amazon CloudWatch ou d'autres systèmes externes. Cependant, il est possible de développer une solution personnalisée pour traiter CloudTrail les journaux.

L'état du service Amazon Quick Sight peut être consulté sur le Service Health Dashboard.

Par défaut, les fichiers journaux envoyés par CloudTrail votre compartiment sont chiffrés par chiffrement côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche de sécurité directement gérable, vous pouvez plutôt utiliser le chiffrement côté serveur avec des clés AWS gérées par KMS (SSE-KMS) pour vos fichiers journaux. CloudTrail L’activation du chiffrement côté serveur chiffre les fichiers journaux, mais pas les fichiers de valeur de hachage avec SSE-KMS. Les fichiers de valeur de hachage sont chiffrés avec des Amazon S3-managed encryption keys (SSE-S3) (clés de chiffrement gérées par Amazon S3 (SSE-S3)).

Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le guide de AWS CloudTrail l'utilisateur.

Rubriques

Enregistrement des informations Amazon Quick Sight avec AWS CloudTrail
Suivi des événements non liés à l'API à l'aide CloudTrail de journaux
Exemple : entrées du fichier journal Amazon Quick Sight

Enregistrement des informations Amazon Quick Sight avec AWS CloudTrail

Public cible : administrateurs système

CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans Amazon Quick Sight, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d’informations, consultez Affichage des événements avec l’historique des événements CloudTrail.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour Amazon Quick Sight, créez un suivi. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions . Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment Simple Storage Service (Amazon S3) de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :

Vue d’ensemble de la création d’un journal d’activité
CloudTrail Services et intégrations pris en charge
Configuration des notifications Amazon SNS pour CloudTrail
Réception de fichiers CloudTrail journaux de plusieurs régions et réception de fichiers CloudTrail journaux de plusieurs comptes
La CloudTrailjournalisation entre comptes dans le guide du AWS Lake Formation développeur — Cette rubrique contient des instructions pour inclure les identités principales dans les journaux entre comptes CloudTrail.

Amazon Quick Sight prend en charge l'enregistrement des actions suivantes sous forme d'événements dans des fichiers CloudTrail journaux :

Si la demande a été faite avec les informations AWS Identity and Access Management d'identification root ou utilisateur
Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle IAM ou un utilisateur fédéré
Si la demande a été faite par un autre AWS service

Pour plus d'informations sur l'identité utilisateur, consultez Élément userIdentity CloudTrail.

Par défaut, chaque entrée du journal Amazon Quick Sight contient les informations suivantes :

userIdentity : identité utilisateur
eventTime : heure de l’événement
eventId : ID de l’événement
readOnly : lecture seule
Région AWS — Région AWS
EventSource (quicksight) — Source de l'événement (Amazon Quick Sight)
EventType (AwsServiceEvent) — Type d'événement (événement de AWS service)
recipientAccountId ( AWS compte client) — Numéro de compte du destinataire ( AWS compte client)

Note

CloudTrail affiche les utilisateurs comme unknown s'ils étaient approvisionnés par Amazon Quick Sight. Cela est dû au fait que ces utilisateurs ne correspondent pas à un type d’identité IAM connu.

Suivi des événements non liés à l'API à l'aide CloudTrail de journaux

La liste ci-dessous répertorie les événements non API que vous pouvez suivre.

Gestion des utilisateurs

CreateAccount— Créer un compte
BatchCreateUser— Créer un utilisateur
BatchResendUserInvite— Inviter un utilisateur
UpdateGroups— Mettre à jour les groupes

Cet événement fonctionne avec l’édition Enterprise uniquement.
UpdateSpiceCapacity— SPICE Capacité de mise à jour
DeleteUser— Supprimer un utilisateur
Unsubscribe : désabonner l’utilisateur

Abonnement

CreateSubscription— Créer un abonnement
UpdateSubscription— Mettre à jour l'abonnement
DeleteSubscription— Supprimer l'abonnement

Tableau de bord

GetDashboard— Obtenir le tableau de bord
CreateDashboard— Créer un tableau de bord
UpdateDashboard— Actualiser le tableau de bord
UpdateDashboardAccess— Actualiser l'accès au tableau de bord
DeleteDashboard— Supprimer le tableau de bord

Analyse

GetAnalysis— Obtenez une analyse
CreateAnalysis— Créer une analyse
UpdateAnalysisAccess— Mettre à jour Analysis Access
UpdateAnalysis— Analyse des mises à jour
- RenameAnalysis— Renommer l'analyse
- CreateVisual— Créer un visuel
- RenameVisual— Renommer Visual
- DeleteVisual— Supprimer le visuel
- DeleteAnalysis— Supprimer l'analyse

Source de données

CreateDataSource— Créer une source de données
- FlatFile— Fichier plat
- External : externe
- S3 : S3
- ImportS3 ManifestFile — Fichier manifeste S3
- Presto : Presto
- RDS : RDS
- Redshift : Redshift (manuel)
UpdateDataSource— Mettre à jour la source de données
DeleteDataSource— Supprimer la source de données

Jeu de données

CreateDataSet— Créer un ensemble de données
- CustomSQL : SQL personnalisé
- SQLTable— Tableau SQL
- File : CSV ou XLSX
UpdateDataSet— Mettre à jour le jeu de données SQL Join
UpdateDatasetAccess— Mise à jour de l'accès aux jeux
DeleteDataSet— Supprimer le jeu de données
Querydatabase : lors de l’actualisation d’un jeu de données, interroger la source de données.

Exemple : entrées du fichier journal Amazon Quick Sight

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande individuelle à partir d'une source quelconque et comprend des informations sur l'action demandée, sur tous les paramètres, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne sont pas des séries ordonnées retraçant les appels d'API publics. Ils ne suivent aucun ordre précis.

L'exemple suivant montre une entrée de CloudTrail journal illustrant l' BatchCreateUseraction.


{ 
   "eventVersion":"1.05",
   "userIdentity":
	{ 
	   "type":"Root",
	   "principalId":"123456789012",
	   "arn":"arn:aws:iam::123456789012:root",
	   "accountId":"123456789012",
	   "userName":"test-username"
	},
	   "eventTime":"2017-04-19T03:16:13Z",
	   "eventSource":"quicksight.amazonaws.com",
	   "eventName":"BatchCreateUser",
	   "awsRegion":"us-west-2",
	   "requestParameters":null,
	   "responseElements":null,
	   "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
	   "readOnly":false,
	   "eventType":"AwsServiceEvent",
	   "recipientAccountId":"123456789012",
	   "serviceEventDetails":
	   { 
		   "eventRequestDetails":
		   { 
				"users":
				{ 
					"test-user-11":
					{ 
						"role":"USER"
					},
					"test-user-22":
					{ 
						"role":"ADMIN"
					}
				}
			},
			"eventResponseDetails":
			{ 
			"validUsers":[ 
				],
			"InvalidUsers":[ 
				"test-user-11",
				"test-user-22"
				]
			}
	   }
   }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance du chat et des commentaires sur Amazon Quick Suite à l'aide CloudWatch des journaux

Surveillance des données dans Amazon Quick Sight à l'aide de CloudWatch