Agence web » Actualités du digital » Comment envoyer des journaux CloudTrail à CloudWatch et Elasticsearch

Comment envoyer des journaux CloudTrail à CloudWatch et Elasticsearch

ParTremplin Numérique Publié le

CloudTrail est un service fourni par AWS qui surveille toutes les activités de votre compte, y compris les actions d'API effectuées par les utilisateurs IAM. Elle est utile pour effectuer des audits de sécurité, mais la console de recherche par défaut n’est pas la meilleure.

Lier CloudTrail et CloudWatch

Par défaut, CloudTrail enregistre tous les événements des 90 derniers jours dans votre compte. Cependant, pour le lier à CloudWatch, vous devrez créer un Trail, qui conserve les enregistrements des événements plus longtemps, et offre également la possibilité de conserver des journaux étendus sur les écritures S3 individuelles et les appels Lambda.

Pour en créer un, rendez-vous sur la console de gestion CloudTrail et sous l'onglet «Trails», créez-en un nouveau. Vous pouvez choisir quelles régions et quels types d'événements il surveille.

Sous «Événements de données», vous pouvez également activer la surveillance étendue pour les compartiments S3 ou les fonctions Lambda. Ceux-ci sont facultatifs et entraîneront des frais supplémentaires, tout en occupant beaucoup plus d'espace de stockage dans CloudWatch Logs.

Une fois le sentier créé, vous pouvez activer l'intégration CloudWatch Logs en cliquant sur le nom du sentier sous «Trails», en faisant défiler jusqu'à «CloudWatch Logs» et en appuyant sur «Configurer».

La seule option ici est le nom du groupe de journaux, qui est par défaut CloudTrail/DefaultLogGroup. Le groupe sera créé s’il n’existe pas déjà.

En raison du fonctionnement du système d'autorisations d'AWS, vous devez accorder à CloudTrail des privilèges suffisants pour accéder aux groupes de journaux CloudWatch et créer des flux pour commencer à envoyer des événements de journal. Ce rôle est déjà configuré et tout ce que vous avez à faire est d'appuyer sur «Autoriser» sur l'écran suivant pour lier les deux services ensemble.

Vous devriez maintenant voir le groupe de journaux et le rôle IAM sous les paramètres de suivi:

Et, dans CloudWatch, vous verrez un nouveau groupe de journaux et un nouveau flux de journaux créés, qui commenceront automatiquement à diffuser tous les événements.

CloudWatch recevra toutes les mises à jour à l'avenir, mais il n'existe actuellement aucun moyen intégré d'importer les événements précédents.

Lier CloudWatch et Elasticsearch

Elasticsearch est un moteur de recherche couramment utilisé pour analyser les fichiers journaux Linux.Il est souvent associé à Kibana, un moteur de visualisation capable de dessiner des graphiques et des tracés à l'aide des données fournies par Elasticsearch. Avec l'énorme quantité de données qu'un compte AWS actif peut cracher depuis CloudTrail, Elasticsearch est logique pour beaucoup de gens. Heureusement, la configuration est assez simple.

Vous pouvez lire notre guide complet sur la configuration d'un serveur Elasticsearch sur AWS ici. Cependant, si vous l'avez déjà configuré, il est assez simple d'associer CloudWatch à celui-ci. Dans la console CloudWatch, sélectionnez le groupe de journaux que vous souhaitez lier, puis sélectionnez «Diffuser vers Amazon Elasticsearch Service»:

Cela fera apparaître une boîte de dialogue dans laquelle vous pouvez sélectionner votre cluster ES. Après cela, vous devriez voir tous les événements d'Elasticsearch.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.