AWS CloudTrail
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur

AWS CloudTrail

Crawler Crawler

Présentation

AWS CloudTrail fournit une piste d’audit pour votre compte AWS. Datadog consulte cette piste d’audit et crée des événements. Effectuez des recherches sur ces événements au sein de votre flux d’événements Datadog ou utilisez-les pour corréler des éléments dans vos dashboards. Voici un exemple d’événement CloudTrail :

Pour plus d’informations sur les autres services AWS, consultez la page relative à l’intégration Amazon Web Services.

Implémentation

Installation

Si vous ne l’avez pas déjà fait, configurez d’abord l’intégration Amazon Web Services.

Collecte d’événements

  1. Ajoutez les autorisations suivantes à votre stratégie IAM Datadog pour recueillir des métriques Amazon CloudTrail. Pour en savoir plus sur les stratégies CloudTrail, consultez la documentation sur le site Web d’AWS. CloudTrail nécessite également certaines autorisations S3 pour accéder aux pistes. Ces autorisations sont requises uniquement pour le compartiment CloudTrail. Pour en savoir plus sur les stratégies Amazon S3, consultez la documentation sur le site Web d’AWS.

    Autorisation AWSDescription
    cloudtrail:DescribeTrailsRépertorie les pistes et le compartiment s3 dans lequel elles sont stockées.
    cloudtrail:GetTrailStatusIgnore les pistes inactives.
    s3:ListBucketRépertorie les objets dans le compartiment CloudTrail pour obtenir les pistes disponibles.
    s3:GetBucketLocationObtient la région du compartiment pour télécharger les pistes.
    s3:GetObjectRécupère les pistes disponibles.
    s3:ListObjectsRenvoie une partie ou l’ensemble (jusqu’à 1 000) des objets dans un compartiment.

Ajoutez cette stratégie à votre stratégie IAM Datadog principale déjà existante :

```json
{
    "Sid": "AWSDatadogPermissionsForCloudtrail",
    "Effect": "Allow",
    "Principal": {
        "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
    },
    "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:ListObjects"],
    "Resource": [
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
        "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
    ]
}
```

Remarque : l’ARN principal est celui spécifié durant le processus d’installation de l’intégration AWS principale. Si vous mettez à jour de votre stratégie (au lieu d’en ajouter une nouvelle), vous n’aurez besoin ni du SID ni du Principal.

  1. Installez l’intégration Datadog/AWS CloudTrail : Depuis le carré de l’intégration, sélectionnez le type d’événement à afficher en priorité normale (le filtre par défaut) dans le flux d’événements Datadog. Les comptes que vous avez configurés dans le carré d’Amazon Web Services apparaissent également ici. Pour visualiser les événements qui ne sont pas mentionnés ici, contactez l’assistance Datadog.

Collecte de logs

Activer la journalisation Cloudtrail

Lorsque vous définissez vos pistes, sélectionnez un compartiment S3 dans lequel écrire les logs :

Envoyer des logs à Datadog

  1. Si vous ne l’avez pas déjà fait, configurez la fonction Lambda de collecte de logs AWS avec Datadog.
  2. Une fois la fonction Lambda installée, ajoutez manuellement un déclencheur sur le compartiment S3 contenant vos logs Cloudtrail dana la console AWS. Dans votre Lambda, cliquez sur S3 dans la liste des déclencheurs :Configurez votre déclencheur en choisissant le compartiment S3 qui contient vos logs Cloudtrail et remplacez le type d’événement par Object Created (All). Cliquez ensuite sur le bouton Add.

Une fois ces étapes terminées, les logs s’affichent dans votre Datadog Log Explorer.

Données collectées

Métriques

L’intégration AWS Cloudtrail n’inclut aucune métrique.

Événements

L’intégration AWS Cloudtrail crée de nombreux événements en fonction de la piste d’audit AWS Cloudtrail. Tous les événements dans votre flux d’événements Datadog se voient assigner le tag #cloudtrail.

Checks de service

L’intégration AWS Cloudtrail n’inclut aucun check de service.

Dépannage

Le carré CloudTrail ne s’affiche pas ou aucun compte n’est affiché

Pour configurer le carré CloudTrail, vous devez d’abord configurer le carré Amazon Web Services.