Envoyer des logs de services AWS avec la fonction Lambda Datadog

Docs > Log Management > Guides sur les logs > Envoyer des logs de services AWS avec la fonction Lambda Datadog

Cette traduction n'est pas à jour. Pour consulter la dernière version en anglais, cliquez ici

Les journaux des services AWS peuvent être collectés à l’aide de la fonction Lambda Datadog Forwarder. Cette Lambda—qui se déclenche sur les buckets S3, les groupes de journaux CloudWatch et les événements EventBridge—transmet les journaux à Datadog.

Pour commencer à recueillir des logs à partir de vos services AWS :

Configurez la fonction Lambda Datadog Forwarder dans votre compte AWS.
Activez la journalisation pour votre service AWS (la plupart des services AWS peuvent enregistrer dans un bucket S3 ou un groupe de journaux CloudWatch).
Configurez les déclencheurs qui provoquent l’exécution de la fonction Lambda Forwarder lorsqu’il y a de nouveaux journaux à transmettre. Il existe deux façons de configurer les déclencheurs.

Remarques :

Vous pouvez utiliser AWS PrivateLink pour envoyer vos journaux via une connexion privée.
CloudFormation crée une politique IAM qui inclut KMS:Decrypt pour toutes les ressources et qui n’est pas conforme aux meilleures pratiques d’AWS Security Hub. Cette autorisation est utilisée pour déchiffrer des objets provenant de buckets S3 chiffrés par KMS afin de configurer la fonction Lambda, et la clé KMS utilisée pour chiffrer les buckets S3 ne peut pas être prédite. Vous pouvez supprimer en toute sécurité cette autorisation après la fin réussie de l’installation.

Activez la journalisation pour votre service AWS

Tout service AWS qui génère des journaux dans un bucket S3 ou un groupe de journaux CloudWatch est pris en charge. Trouvez les instructions de configuration pour les services les plus utilisés dans le tableau ci-dessous :

Service AWS	Activer la journalisation du service AWS	Envoyer les journaux AWS à Datadog
API Gateway	Activer les journaux Amazon API Gateway	Manuel et collecte automatique des journaux.
AppSync	Activer les journaux AWS AppSync	Manuel et collecte automatique des journaux.
Batch	`-`	Collecte automatique des journaux.
Bedrock Agentcore	`-`	Collecte automatique des journaux.
Cloudfront	Activer les journaux Amazon CloudFront	Manuel et collecte automatique des journaux.
CloudTrail	Activer les journaux AWS CloudTrail	Manuel et collecte automatique des journaux. Voir Configuration AWS pour Cloud SIEM si vous configurez AWS CloudTrail pour Cloud SIEM.
CodeBuild	Activer les journaux AWS CodeBuild	Manuel et collecte automatique des journaux.
DMS	Activer les journaux du Service de Migration de Base de Données AWS	Manuel et collecte automatique des journaux.
DocumentDB	Activer les journaux Amazon DocumentDB	Manuel et collecte automatique des journaux.
DynamoDB	Activer les journaux Amazon DynamoDB	Manuel collecte des journaux.
EC2	`-`	Utilisez l’Agent Datadog pour envoyer vos journaux à Datadog.
ECS	`-`	Utilisez l’Agent Docker pour rassembler vos journaux ou collecte automatique des journaux.
EKS	Activer les journaux Amazon EKS	Manuel et collecte automatique des journaux.
Elastic Load Balancing (ELB)	Activer les journaux Amazon ELB	Manuel et collecte automatique des journaux.
Glue	Activer les journaux AWS Glue	Manuel et collecte automatique des journaux.
IoT Core	Activer les journaux Amazon IoT Core	Collecte automatique des journaux.
Lambda	`-`	Manuel et collecte automatique des journaux.
MWAA	Activer les journaux Amazon MWAA	Manuel et collecte automatique des journaux.
Network Firewall	Activer les journaux AWS Network Firewall	Manuel et collecte automatique des journaux.
PCS	`-`	Collecte automatique des journaux.
RDS	Activer les journaux Amazon RDS	Manuel collecte des journaux.
RedShift	Activer les journaux Amazon Redshift	Manuel et collecte automatique des journaux.
Redshift Serverless	`-`	Collecte automatique des journaux.
Route 53	Activez la journalisation des requêtes DNS d’Amazon Route 53 DNS query logging et resolver query logging	Manuel et collecte automatique des journaux.
S3	Activez les journaux Amazon S3	Manuel et automatique collecte des journaux.
SNS	SNS ne fournit pas de journaux, mais vous pouvez traiter les journaux et les événements qui transitent vers le service SNS.	Manuel collecte des journaux.
SSM	`-`	Collecte automatique des journaux.
Step Functions	Activez les journaux Amazon Step Functions	Manuel collecte des journaux.
Verified Access	Activez les journaux Verified Access	Manuel et automatique collecte des journaux.
VPC	Activez les journaux Amazon VPC	Manuel et automatique collecte des journaux.
VPN	Activez les journaux AWS VPN	Manuel et automatique collecte des journaux.
Web Application Firewall	Activez les journaux AWS WAF	Manuel et automatique collecte des journaux.

Configurez des déclencheurs

Il existe deux méthodes de configuration des déclencheurs sur la fonction Lambda du Forwarder Datadog :

Automatiquement : Datadog récupère automatiquement les emplacements des journaux pour les services AWS sélectionnés et les ajoute en tant que déclencheurs sur la fonction Lambda Datadog Forwarder. Datadog maintient également la liste à jour.
Manuellement : Configurez chaque déclencheur vous-même.

Configurez automatiquement des déclencheurs

Datadog peut configurer automatiquement des déclencheurs sur la fonction Lambda Datadog Forwarder pour collecter les journaux AWS. Cependant, l’abonnement automatique ne prend pas en charge la création de déclencheurs sur différents comptes ou régions AWS. Pour les scénarios où les journaux sont publiés dans des compartiments S3 dans un compte séparé, nous recommandons de créer manuellement un déclencheur dans le même compte que le compartiment pour contourner cette limitation.

Les sources et emplacements suivants sont pris en charge :

Source	Emplacement
Apache Airflow (MWAA)	CloudWatch
Journaux d’accès de l’API Gateway	CloudWatch
Journaux d’exécution de l’API Gateway	CloudWatch
Journaux d’accès de l’ELB d’application	S3
Journaux AppSync	CloudWatch
Batch	CloudWatch
Journaux de Bedrock Agentcore	S3, CloudWatch
Journaux d’accès de l’ELB classique	S3
Journaux d’accès de CloudFront	S3
Journaux de CloudTrail	S3, CloudWatch
Journaux de CodeBuild	S3, CloudWatch
Journaux DMS	CloudWatch
Journaux DocumentDB	CloudWatch
Journaux ECS	CloudWatch
Journaux du plan de contrôle EKS	CloudWatch
Journaux Container Insights d’EKS	CloudWatch
Journaux des Glue Jobs	CloudWatch
Journaux Lambda	CloudWatch
Journaux Lambda@Edge	CloudWatch
Journaux IoT Core	CloudWatch
Journaux de pare-feu réseau	S3, CloudWatch
Journaux PCS	CloudWatch
Journaux Redshift	S3, CloudWatch
Journaux Redshift Serverless	CloudWatch
Journaux RDS	CloudWatch
Journaux des requêtes DNS Route53	CloudWatch
Journaux des requêtes Route53 Resolver	S3, CloudWatch
Journaux d’accès S3	S3
Journaux de commandes SSM	CloudWatch
Step Functions	CloudWatch
Journaux Verified Access	S3, CloudWatch
Journaux de flux VPC	S3, CloudWatch
Journaux VPN	CloudWatch
Pare-feu d’application Web	S3, CloudWatch

Remarque : Subscription filters sont créés automatiquement sur les groupes de journaux CloudWatch par le DatadogForwarder, et sont nommés au format DD_LOG_SUBSCRIPTION_FILTER_<LOG_GROUP_NAME>.

Si vous ne l’avez pas déjà fait, configurez la Datadog log collection AWS Lambda function.

Assurez-vous que la politique du rôle IAM utilisé pour Datadog-AWS integration dispose des autorisations suivantes. Des informations sur l’utilisation de ces permissions peuvent être trouvées dans les descriptions ci-dessous :

"airflow:GetEnvironment",
"airflow:ListEnvironments",
"appsync:ListGraphqlApis",
"batch:DescribeJobDefinitions",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"codebuild:BatchGetProjects",
"codebuild:ListProjects",
"dms:DescribeReplicationInstances",
"ec2:DescribeFlowLogs",
"ec2:DescribeVerifiedAccessInstanceLoggingConfigurations",
"ec2:DescribeVpnConnections",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitionFamilies",
"eks:DescribeCluster",
"eks:ListClusters",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"glue:BatchGetJobs",
"glue:GetJobs",
"glue:GetJob",
"glue:ListJobs",
"iot:GetV2LoggingOptions",
"lambda:GetPolicy",
"lambda:InvokeFunction",
"lambda:List*",
"logs:DeleteSubscriptionFilter",
"logs:DescribeDeliveries",
"logs:DescribeDeliverySources",
"logs:DescribeLogGroups",
"logs:DescribeSubscriptionFilters",
"logs:GetDeliveryDestination",
"logs:PutSubscriptionFilter",
"network-firewall:DescribeLoggingConfiguration",
"network-firewall:ListFirewalls",
"rds:DescribeDBClusters",
"rds:DescribeDBInstances",
"redshift-serverless:ListNamespaces",
"redshift:DescribeClusters",
"redshift:DescribeLoggingStatus",
"route53:ListQueryLoggingConfigs",
"route53resolver:ListResolverQueryLogConfigs",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketNotification",
"s3:ListAllMyBuckets",
"s3:PutBucketNotification",
"ssm:GetServiceSetting",
"ssm:ListCommands",
"states:DescribeStateMachine",
"states:ListStateMachines",
"wafv2:ListLoggingConfigurations"

AWS Permission	Description
`airflow:ListEnvironments`	List all MWAA environment names.
`airflow:GetEnvironment`	Get information about a MWAA environment.
`appsync:ListGraphqlApis`	List all GraphQL Apis.
`batch:DescribeJobDefinitions`	List all Batch job definitions.
`cloudfront:GetDistributionConfig`	Get the name of the S3 bucket containing CloudFront access logs.
`cloudfront:ListDistributions`	List all CloudFront distributions.
`cloudtrail:GetTrail`	Get Trail logging information.
`cloudtrail:ListTrails`	List all Cloudtrail trails.
`codebuild:BatchGetProjects`	List all CodeBuild projects.
`codebuild:ListProjects`	Get information on CodeBuild projects.
`dms:DescribeReplicationInstances`	List all replication instances for DMS.
`ec2:DescribeFlowLogs`	List all Flow log configurations.
`ec2:DescribeVerifiedAccessInstanceLoggingConfigurations`	List all Verified Access instance logging configurations.
`ec2:DescribeVpnConnections`	List all VPN connections.
`ecs:DescribeTaskDefinition`	Describe ECS task definition.
`ecs:ListTaskDefinitionFamilies`	List all task definition families.
`elasticloadbalancing:` `DescribeLoadBalancers`	List all load balancers.
`elasticloadbalancing:` `DescribeLoadBalancerAttributes`	Get the name of the S3 bucket containing ELB access logs.
`glue:BatchGetJobs`	Get information about multiple Glue jobs.
`glue:GetJob`	Get information about a Glue job.
`glue:GetJobs`	List all Glue jobs.
`glue:ListJobs`	List all Glue job names.
`eks:DescribeCluster`	Describe an EKS cluster.
`eks:ListClusters`	List all EKS clusters.
`iot:GetV2LoggingOptions`	Get IoT V2 logging options.
`lambda:InvokeFunction`	Invoke a Lambda function.
`lambda:List*`	List all Lambda functions.
`lambda:GetPolicy`	Get the Lambda policy when triggers are to be removed.
`logs:PutSubscriptionFilter`	Add a Lambda trigger based on CloudWatch Log events.
`logs:DeleteSubscriptionFilter`	Remove a Lambda trigger based on CloudWatch Log events.
`logs:DescribeLogGroups`	Describe CloudWatch log groups.
`logs:DescribeDeliveries`	Describe CloudWatch log deliveries.
`logs:DescribeDeliverySources`	Describe CloudWatch log delivery sources.
`logs:DescribeSubscriptionFilters`	List the subscription filters for the specified log group.
`logs:GetDeliveryDestination`	Get a CloudWatch log delivery destination.
`network-firewall:DescribeLoggingConfiguration`	Get the logging configuration of a firewall.
`network-firewall:ListFirewalls`	List all Network Firewall firewalls.
`rds:DescribeDBClusters`	List all RDS clusters.
`rds:DescribeDBInstances`	List all RDS instances.
`redshift:DescribeClusters`	List all Redshift clusters.
`redshift:DescribeLoggingStatus`	Get the name of the S3 bucket containing Redshift Logs.
`redshift-serverless:ListNamespaces`	List all Redshift Serverless namespaces.
`route53:ListQueryLoggingConfigs`	List all DNS query logging configurations for Route 53.
`route53resolver:ListResolverQueryLogConfigs`	List all Resolver query logging configurations for Route 53.
`s3:GetBucketLogging`	Get the name of the S3 bucket containing S3 access logs.
`s3:GetBucketLocation`	Get the region of the S3 bucket containing S3 access logs.
`s3:GetBucketNotification`	Get existing Lambda trigger configurations.
`s3:ListAllMyBuckets`	List all S3 buckets.
`s3:PutBucketNotification`	Add or remove a Lambda trigger based on S3 bucket events.
`ssm:GetServiceSetting`	Get the SSM service setting for customer script log group name.
`ssm:ListCommands`	List all SSM commands.
`states:ListStateMachines`	List all Step Functions.
`states:DescribeStateMachine`	Get logging details about a Step Function.
`wafv2:ListLoggingConfigurations`	List all logging configurations of the Web Application Firewall.

Sur la page d’intégration AWS, sélectionnez le compte AWS à partir duquel collecter les journaux et cliquez sur l’onglet Collecte de journaux.
Dans la section Datadog Forwarder Lambda, entrez l’ARN de la Lambda créée dans la section précédente et cliquez sur Ajouter. La fonction Lambda apparaît dans le tableau ci-dessous avec son nom, sa version et sa région.
Dans la section Log Autosubscription, sous Log Sources, activez les services dont vous souhaitez collecter les journaux en les activant. Pour arrêter la collecte des journaux d’un service particulier, désactivez la source de journaux correspondante.
(Optionnel) Dans la section Log Source Tag Filters, vous pouvez filtrer la collecte des journaux par balises de ressources pour chaque source de journal. Sélectionnez une source de journal dans le menu déroulant et ajoutez des balises au format key:value pour limiter la collecte des journaux aux ressources concernées. Remarque : Les balises de ressources sont automatiquement mises en minuscules pour correspondre aux conventions de la plateforme Datadog. Définissez vos filtres de balises en minuscules pour éviter les incohérences.
Si vous avez des journaux dans plusieurs régions, vous devez créer des fonctions Lambda supplémentaires dans ces régions et les ajouter dans la section Datadog Forwarder Lambda.
Pour arrêter la collecte de tous les journaux AWS d’une fonction Lambda spécifique, survolez la Lambda dans le tableau et cliquez sur l’icône de suppression. Tous les déclencheurs pour cette fonction sont supprimés.
Dans les quelques minutes suivant cette configuration initiale, vos journaux AWS apparaissent dans le Log Explorer de Datadog.

Configurez manuellement les déclencheurs

Collecte des journaux du groupe de journaux CloudWatch

Si vous recueillez des logs depuis un groupe de logs CloudWatch, configurez le déclencheur entraînant l’exécution de la fonction Lambda du Forwarder Datadog à l’aide de l’une des méthodes suivantes :

Dans la console AWS, allez à Lambda.
Cliquez sur Functions et sélectionnez le Datadog Forwarder.
Cliquez sur Ajouter un déclencheur et sélectionnez CloudWatch Logs.
Sélectionnez le groupe de journaux dans le menu déroulant.
Entrez un nom pour votre filtre et, si vous le souhaitez, spécifiez un motif de filtre.
Cliquez sur Ajouter.
Allez dans la section Datadog Log pour explorer les nouveaux événements de journal envoyés à votre groupe de journaux.

Pour les utilisateurs de Terraform, vous pouvez provisionner et gérer vos déclencheurs en utilisant la ressource aws_cloudwatch_log_subscription_filter. Voir le code d’exemple ci-dessous.

data "aws_cloudwatch_log_group" "some_log_group" {
  name = "/some/log/group"
}

resource "aws_lambda_permission" "lambda_permission" {
  action        = "lambda:InvokeFunction"
  function_name = "datadog-forwarder" # this is the default but may be different in your case
  principal     = "logs.amazonaws.com" # or logs.amazonaws.com.cn for China*
  source_arn    = data.aws_cloudwatch_log_group.some_log_group.arn
}

resource "aws_cloudwatch_log_subscription_filter" "datadog_log_subscription_filter" {
  name            = "datadog_log_subscription_filter"
  log_group_name  = <CLOUDWATCH_LOG_GROUP_NAME> # for example, /some/log/group
  destination_arn = <DATADOG_FORWARDER_ARN> # for example,  arn:aws:lambda:us-east-1:123:function:datadog-forwarder
  filter_pattern  = ""
}

* All use of Datadog Services in (or in connection with environments within) mainland China is subject to the disclaimer published in the Restricted Service Locations section on our website.

Pour les utilisateurs d’AWS CloudFormation, vous pouvez provisionner et gérer vos déclencheurs en utilisant la ressource CloudFormation AWS::Logs::SubscriptionFilter. Voir le code d’exemple ci-dessous.

Le code d’exemple fonctionne également pour AWS SAM et Serverless Framework. Pour Serverless Framework, placez le code sous la section resources dans votre serverless.yml.

Resources:
  MyLogSubscriptionFilter:
    Type: "AWS::Logs::SubscriptionFilter"
    Properties:
      DestinationArn: "<DATADOG_FORWARDER_ARN>"
      LogGroupName: "<CLOUDWATCH_LOG_GROUP_NAME>"
      FilterPattern: ""

Collecte des journaux à partir des buckets S3

Si vous recueillez des logs depuis un compartiment S3, configurez le déclencheur entraînant l’exécution de la fonction Lambda du Forwarder Datadog à l’aide de l’une des méthodes suivantes :

Une fois la fonction Lambda installée, ajoutez manuellement un déclencheur sur le bucket S3 contenant vos journaux dans la console AWS :
Sélectionnez le bucket puis suivez les instructions AWS :
Définissez le bon type d’événement sur les buckets S3 :

Accédez ensuite à la section Log de Datadog pour commencer à explorer vos logs !

Pour les utilisateurs de Terraform, vous pouvez provisionner et gérer vos déclencheurs en utilisant la ressource aws_s3_bucket_notification. Voir le code d’exemple ci-dessous.

resource "aws_s3_bucket_notification" "my_bucket_notification" {
  bucket = my_bucket
  lambda_function {
    lambda_function_arn = "<DATADOG_FORWARDER_ARN>"
    events              = ["s3:ObjectCreated:*"]
    filter_prefix       = "AWSLogs/"
    filter_suffix       = ".log"
  }
}

Pour les utilisateurs de CloudFormation, vous pouvez configurer des déclencheurs en utilisant la NotificationConfiguration de CloudFormation pour votre bucket S3. Voir le code d’exemple ci-dessous.

Resources:
  Bucket:
    Type: AWS::S3::Bucket
    Properties:
      BucketName: "<MY_BUCKET>"
      NotificationConfiguration:
        LambdaConfigurations:
        - Event: 's3:ObjectCreated:*'
          Function: "<DATADOG_FORWARDER_ARN>"

Nettoyage et filtrage

Vous pouvez nettoyer les e-mails ou les adresses IP des journaux envoyés par la fonction Lambda, ou définir une règle de nettoyage personnalisée dans les paramètres Lambda. Vous pouvez également exclure ou envoyer uniquement les journaux qui correspondent à un modèle spécifique en utilisant le filtering option.