AWS CloudTrail

Présentation

AWS CloudTrail fournit un journal d’audit pour votre compte AWS. Datadog consulte ce journal d’audit et crée des événements. Effectuez des recherches sur ces événements au sein de votre flux d’événements Datadog ou utilisez-les pour corréler des éléments dans vos dashboards. Voici un exemple d’événement CloudTrail :

événement cloudtrail

Pour plus d’informations sur les autres services AWS, consultez la page relative à l’intégration Amazon Web Services.

Configuration

Installation

Si vous ne l’avez pas déjà fait, configurez d’abord l’intégration Amazon Web Services.

Collecte d’événements

Remarque : l’intégration Datadog/CloudTrail exige que les événements soient recueillis dans un compartiment CloudTrail.

  1. Ajoutez les autorisations suivantes à votre stratégie IAM Datadog pour recueillir des métriques AWS CloudTrail. Pour en savoir plus sur les stratégies CloudTrail, consultez la documentation de référence sur les API AWS CloudTrail. CloudTrail nécessite également certaines autorisations S3 pour accéder aux pistes. Ces autorisations sont requises uniquement pour le compartiment CloudTrail. Pour en savoir plus sur les stratégies Amazon S3, consultez la documentation de référence sur les API Amazon S3.

    Autorisation AWSDescription
    cloudtrail:DescribeTrailsRépertorie les journaux de suivi et le compartiment s3 dans lequel elles sont stockées.
    cloudtrail:GetTrailStatusIgnore les journaux de suivi inactifs.
    s3:ListBucketRépertorie les objets dans le compartiment CloudTrail pour obtenir les journaux de suivi disponibles.
    s3:GetBucketLocationObtient la région du compartiment pour télécharger les journaux de suivi.
    s3:GetObjectRécupère les journaux de suivi disponibles.
    organizations:DescribeOrganizationRenvoie des informations concernant l’organisation d’un compte (nécessaire pour les pistes d’organisation).

    Ajoutez cette stratégie à votre stratégie IAM Datadog principale déjà existante :

    {
        "Sid": "AWSDatadogPermissionsForCloudtrail",
        "Effect": "Allow",
        "Principal": {
            "AWS": "<ARN_FROM_MAIN_AWS_INTEGRATION_SETUP>"
        },
        "Action": ["s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject"],
        "Resource": [
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>",
            "arn:aws:s3:::<YOUR_S3_CLOUDTRAIL_BUCKET_NAME>/*"
        ]
    }
    

    Remarque : l’ARN principal est celui spécifié durant le processus d’installation de l’intégration AWS principale. Consultez la section Resources de la page Fonctionnement d’AWS CloudTrail avec IAM pour en savoir plus sur les ARN des ressources CloudTrail. Si vous mettez à jour de votre stratégie (au lieu d’en ajouter une nouvelle), vous n’aurez besoin ni du SID ni du Principal.

  2. Installez l’intégration Datadog/AWS CloudTrail : Depuis le carré de l’intégration, sélectionnez le type d’événement à afficher en priorité normale (le filtre par défaut) dans le flux d’événements Datadog. Les comptes que vous avez configurés dans le carré d’Amazon Web Services apparaissent également ici. Pour visualiser les événements qui ne sont pas mentionnés ici, contactez l’assistance Datadog.

Collecte de logs

Activer le logging

Dans AWS CloudTrail, créez un journal de suivi et sélectionnez un compartiment S3 dans lequel écrire les logs.

Envoyer des logs à Datadog

  1. Si vous ne l’avez pas déjà fait, configurez la fonction Lambda du Forwarder Datadog dans votre compte AWS.
  2. Une fois configuré, accédez à la fonction Lambda du Forwarder Datadog. Dans la section Présentation de Functions, cliquez sur Add Trigger.
  3. Sélectionnez le déclencheur S3 pour la Trigger Configuration.
  4. Sélectionnez le compartiment S3 où se trouvent vos logs CloudTrail.
  5. Ne changez pas le type d’événements All object create events.
  6. Cliquez sur Add pour ajouter le déclencheur à votre fonction Lambda.

Accédez au Log Explorer pour commencer à explorer vos logs.

Pour en savoir plus sur la collecte de logs de service AWS, consultez la section Envoyer des logs de service AWS avec la fonction Lambda Datadog.

Données collectées

Métriques

L’intégration AWS CloudTrail n’inclut aucune métrique.

Événements

L’intégration AWS CloudTrail crée de nombreux événements basés sur le journal d’audit AWS CloudTrail. Tous les événements dans votre flux d’événements Datadog se voient assigner le tag #cloudtrail. Vous pouvez définir leur priorité dans la configuration de l’intégration.

Voici la liste des événements CloudTrail qui peuvent avoir une priorité normale (afin de s’afficher dans le flux d’événements sous le filtre par défaut) :

  • apigateway
  • autoscaling
  • cloudformation
  • cloudfront
  • cloudsearch
  • cloudtrail
  • codedeploy
  • codepipeline
  • config
  • datapipeline
  • ds
  • ec2
  • ecs
  • elasticache
  • elasticbeanstalk
  • elasticfilesystem
  • elasticloadbalancing
  • elasticmapreduce
  • iam
  • kinesis
  • lambda
  • monitoring
  • opsworks
  • rds
  • redshift
  • route53
  • s3
  • ses
  • signin
  • ssm

Checks de service

L’intégration AWS CloudTrail n’inclut aucun check de service.

Dépannage

Le carré CloudTrail ne s’affiche pas ou aucun compte n’est indiqué

Pour configurer le carré CloudTrail, vous devez d’abord configurer le carré Amazon Web Services.