Actualités du digital

Comment envoyer des journaux CloudTrail à CloudWatch et Elasticsearch – CloudSavvy IT

Logo AWS
CloudTrail est un service fourni par AWS qui surveille toutes les activités de votre compte, y compris les actions d'API effectuées par les utilisateurs IAM. Elle est utile pour effectuer des audits de sécurité, mais la console de recherche par défaut n’est pas la meilleure.

Lier CloudTrail et CloudWatch

Par défaut, CloudTrail enregistre tous les événements des 90 derniers jours dans votre compte. Cependant, pour le lier à CloudWatch, vous devrez créer un Trail, qui conserve les enregistrements des événements plus longtemps, et offre également la possibilité de conserver des journaux étendus sur les écritures S3 individuelles et les appels Lambda.

Pour en créer un, rendez-vous sur la console de gestion CloudTrail et sous l'onglet «Trails», créez-en un nouveau. Vous pouvez choisir quelles régions et quels types d'événements il surveille.

créer un sentier

Sous «Événements de données», vous pouvez également activer la surveillance étendue pour les compartiments S3 ou les fonctions Lambda. Ceux-ci sont facultatifs et entraîneront des frais supplémentaires, tout en occupant beaucoup plus d'espace de stockage dans CloudWatch Logs.

journaux de données étendus

Une fois le sentier créé, vous pouvez activer l'intégration CloudWatch Logs en cliquant sur le nom du sentier sous «Trails», en faisant défiler jusqu'à «CloudWatch Logs» et en appuyant sur «Configurer».

journaux cloudwatch

La seule option ici est le nom du groupe de journaux, qui est par défaut CloudTrail/DefaultLogGroup. Le groupe sera créé s’il n’existe pas déjà.

Le nom du groupe de journaux par défaut est CloudTrail / DefaultLogGroup

En raison du fonctionnement du système d'autorisations d'AWS, vous devez accorder à CloudTrail des privilèges suffisants pour accéder aux groupes de journaux CloudWatch et créer des flux pour commencer à envoyer des événements de journal. Ce rôle est déjà configuré et tout ce que vous avez à faire est d'appuyer sur «Autoriser» sur l'écran suivant pour lier les deux services ensemble.

Accordez à CloudTrail des privilèges suffisants

Vous devriez maintenant voir le groupe de journaux et le rôle IAM sous les paramètres de suivi:

groupes de journaux cloudtrail

Et, dans CloudWatch, vous verrez un nouveau groupe de journaux et un nouveau flux de journaux créés, qui commenceront automatiquement à diffuser tous les événements.

Journaux Cloudwatch

CloudWatch recevra toutes les mises à jour à l'avenir, mais il n'existe actuellement aucun moyen intégré d'importer les événements précédents.

Lier CloudWatch et Elasticsearch

Tableau de bord Kibana

Elasticsearch est un moteur de recherche couramment utilisé pour analyser les fichiers journaux Linux.Il est souvent associé à Kibana, un moteur de visualisation capable de dessiner des graphiques et des tracés à l'aide des données fournies par Elasticsearch. Avec l'énorme quantité de données qu'un compte AWS actif peut cracher depuis CloudTrail, Elasticsearch est logique pour beaucoup de gens. Heureusement, la configuration est assez simple.

Vous pouvez lire notre guide complet sur la configuration d'un serveur Elasticsearch sur AWS ici. Cependant, si vous l'avez déjà configuré, il est assez simple d'associer CloudWatch à celui-ci. Dans la console CloudWatch, sélectionnez le groupe de journaux que vous souhaitez lier, puis sélectionnez «Diffuser vers Amazon Elasticsearch Service»:

service elasticsearch

Cela fera apparaître une boîte de dialogue dans laquelle vous pouvez sélectionner votre cluster ES. Après cela, vous devriez voir tous les événements d'Elasticsearch.

Related Posts