GNU/Linux >> Tutoriels Linux >  >> Linux

Surveiller les appels d'API et l'activité des utilisateurs dans AWS à l'aide de CloudTrail

CloudTrail est un service utilisé pour suivre l'activité des utilisateurs et l'utilisation de l'API dans le cloud AWS. Il permet l'audit et la gouvernance du compte AWS. Avec lui, vous pouvez surveiller ce qui se passe dans votre compte AWS et les surveiller en permanence. Il fournit un historique des événements qui suit les changements de ressources. Vous pouvez également activer la journalisation de tous les événements dans S3 et analyser quel autre service comme Athena ou Cloudwatch.

Dans ce didacticiel, nous allons voir l'historique des événements de votre compte AWS. De plus, nous allons créer un « parcours » et stocker l'événement dans S3 et les analyser à l'aide de Cloudwatch.

Historique des événements

Tous les événements de gestion de lecture/écriture sont enregistrés par l'historique des événements. Il vous permet d'afficher, de filtrer et de télécharger l'activité récente de votre compte AWS au cours des 90 derniers jours. Vous n'avez rien à définir pour cela.

Utilisation de la console AWS

Allez sur le service ‘CloudTrail’ et cliquez sur le tableau de bord. Vous pouvez voir le nom, l'heure et la source de l'événement. Vous pouvez cliquer sur "Afficher l'historique complet des événements" pour obtenir tous les événements.

Sur la page de détail de l'historique des événements, vous pouvez appliquer un filtre selon votre choix. Pour voir tous les événements, utilisez Lecture seule et faux comme ci-dessus.

Utilisation de l'AWS CLI

Vous pouvez également utiliser l'AWS CLI pour consulter les événements. La commande suivante affiche l'instance résiliée de votre compte.

# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances

Sentiers

Maintenant, créons un suivi qui enregistrera tous les événements de votre compte et les stockera dans un compartiment S3.

Sur le côté gauche, sélectionnez Sentiers et cliquez sur "Créer un sentier"

Sur la page suivante, donnez un nom de suivi, choisissez de créer un nouveau compartiment S3 et donnez un nom de compartiment. (Si vous avez déjà un compartiment, vous pouvez également choisir le compartiment s3 existant)

Faites défiler la page et activez CloudWatch Logs. Créez un groupe de journaux et donnez un nom. En outre, attribuez un rôle IAM et donnez un nom. Ensuite, cliquez sur suivant.

Si vous souhaitez consigner tous les types d'événements, cliquez sur sélectionner les options dans la section Type d'événements. Nous allons juste avec des événements de gestion. Alors, cliquez sur suivant.

Maintenant, passez en revue votre configuration et cliquez sur "Créer un parcours".

Vous pouvez également voir la liste des pistes créées à l'aide de la commande AWS suivante.

# aws cloudtrail list-trails

Utilisez la commande suivante pour voir tous les événements du parcours que nous avons créé ci-dessus.

# aws cloudtrail describe-trails --trail-name-list management-events

Analyser le journal dans Cloudwatch

Lors de la création de CloudTrail, nous avons défini d'envoyer le journal à Cloudwatch. Alors, allez sur le service Cloudwatch et cliquez sur "log group".

Par défaut, les journaux sont conservés indéfiniment et n'expirent jamais. Ici, vous pouvez également appliquer le filtre pour obtenir la sortie souhaitée. Par exemple, nous allons voir toutes les instances en cours d'exécution dans le compte AWS. Pour ce faire, utilisez le filtre "RunInstances" comme indiqué ci-dessous. La sortie est affichée au format JSON.

Vous pouvez également utiliser CLI pour obtenir tous les événements du journal. Exécutez la commande suivante pour obtenir tous les événements du groupe de journaux que vous avez défini ci-dessus.

# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229

Dans cet article, nous voyons comment auditer et trouver les activités du compte AWS à l'aide de CloudTrail. Merci d'avoir lu.

Lire aussi  :Comment créer et ajouter un volume EBS dans une instance AWS (EC2)


Linux
  1. Comment surveiller l'activité Ethernet sous Linux à l'aide d'Arpwatch

  2. Comment surveiller l'activité des utilisateurs sous Linux

  3. Surveillance du statut et de l'activité des utilisateurs sous Linux avec compte GNU

  4. Surveiller le serveur Linux en utilisant Prometheus et Grafana

  5. Comment surveiller les sessions VPN actives et la température à l'aide de Nagios

Qu'est-ce qu'Ingress Controller et comment déployer Nginx Ingress Controller dans Kubernetes Cluster sur AWS à l'aide de Helm

Créer un compartiment S3 sur AWS à l'aide de Terraform

Surveiller et administrer les serveurs Linux à l'aide de Cockpit via un navigateur Web

Surveiller l'activité des utilisateurs avec l'outil acct sur Ubuntu 20.04

Comment surveiller le serveur Linux et les métriques à partir du navigateur à l'aide de Scout Realtime

Utilisation de Cockpit pour surveiller et gérer graphiquement plusieurs serveurs Linux à partir d'un navigateur Web