CloudTrail est un service utilisé pour suivre l'activité des utilisateurs et l'utilisation de l'API dans le cloud AWS. Il permet l'audit et la gouvernance du compte AWS. Avec lui, vous pouvez surveiller ce qui se passe dans votre compte AWS et les surveiller en permanence. Il fournit un historique des événements qui suit les changements de ressources. Vous pouvez également activer la journalisation de tous les événements dans S3 et analyser quel autre service comme Athena ou Cloudwatch.
Dans ce didacticiel, nous allons voir l'historique des événements de votre compte AWS. De plus, nous allons créer un « parcours » et stocker l'événement dans S3 et les analyser à l'aide de Cloudwatch.
Historique des événements
Tous les événements de gestion de lecture/écriture sont enregistrés par l'historique des événements. Il vous permet d'afficher, de filtrer et de télécharger l'activité récente de votre compte AWS au cours des 90 derniers jours. Vous n'avez rien à définir pour cela.
Utilisation de la console AWS
Allez sur le service ‘CloudTrail’ et cliquez sur le tableau de bord. Vous pouvez voir le nom, l'heure et la source de l'événement. Vous pouvez cliquer sur "Afficher l'historique complet des événements" pour obtenir tous les événements.
Sur la page de détail de l'historique des événements, vous pouvez appliquer un filtre selon votre choix. Pour voir tous les événements, utilisez Lecture seule et faux comme ci-dessus.
Utilisation de l'AWS CLI
Vous pouvez également utiliser l'AWS CLI pour consulter les événements. La commande suivante affiche l'instance résiliée de votre compte.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
Sentiers
Maintenant, créons un suivi qui enregistrera tous les événements de votre compte et les stockera dans un compartiment S3.
Sur le côté gauche, sélectionnez Sentiers et cliquez sur "Créer un sentier"
Sur la page suivante, donnez un nom de suivi, choisissez de créer un nouveau compartiment S3 et donnez un nom de compartiment. (Si vous avez déjà un compartiment, vous pouvez également choisir le compartiment s3 existant)
Faites défiler la page et activez CloudWatch Logs. Créez un groupe de journaux et donnez un nom. En outre, attribuez un rôle IAM et donnez un nom. Ensuite, cliquez sur suivant.
Si vous souhaitez consigner tous les types d'événements, cliquez sur sélectionner les options dans la section Type d'événements. Nous allons juste avec des événements de gestion. Alors, cliquez sur suivant.
Maintenant, passez en revue votre configuration et cliquez sur "Créer un parcours".
Vous pouvez également voir la liste des pistes créées à l'aide de la commande AWS suivante.
# aws cloudtrail list-trails
Utilisez la commande suivante pour voir tous les événements du parcours que nous avons créé ci-dessus.
# aws cloudtrail describe-trails --trail-name-list management-events
Analyser le journal dans Cloudwatch
Lors de la création de CloudTrail, nous avons défini d'envoyer le journal à Cloudwatch. Alors, allez sur le service Cloudwatch et cliquez sur "log group".
Par défaut, les journaux sont conservés indéfiniment et n'expirent jamais. Ici, vous pouvez également appliquer le filtre pour obtenir la sortie souhaitée. Par exemple, nous allons voir toutes les instances en cours d'exécution dans le compte AWS. Pour ce faire, utilisez le filtre "RunInstances" comme indiqué ci-dessous. La sortie est affichée au format JSON.
Vous pouvez également utiliser CLI pour obtenir tous les événements du journal. Exécutez la commande suivante pour obtenir tous les événements du groupe de journaux que vous avez défini ci-dessus.
# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229
Dans cet article, nous voyons comment auditer et trouver les activités du compte AWS à l'aide de CloudTrail. Merci d'avoir lu.
Lire aussi :Comment créer et ajouter un volume EBS dans une instance AWS (EC2)