Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des journaux
CloudWatch Logs fournit des fonctionnalités avancées de gestion des journaux qui vous aident à organiser, transformer et analyser les données de vos journaux de manière plus efficace. Ces fonctionnalités incluent la [centralisation des données entre comptes et entre régions](CloudWatchLogs_Centralization.md), la [découverte automatique des données et la gestion des schémas, la](data-source-discovery-management.md) [transformation des journaux pendant les ingestions](CloudWatch-Logs-Transformation.md) et des [analyses améliorées avec des facettes](CloudWatchLogs-Facets.md) pour une exploration interactive des journaux.
**Topics**
+ [Découverte et gestion des sources de données](data-source-discovery-management.md)
+ [Fonctionnalités activées par les sources de données](features-enabled-by-data-sources.md)
+ [Pris en charge Services AWS pour les sources de données](supported-aws-services-data-sources.md)
+ [Sources tierces prises en charge pour les sources de données](supported-third-party-sources-data-sources.md)
# Découverte et gestion des sources de données
CloudWatch Logs découvre et classe automatiquement les données de vos journaux par source de données et par type, ce qui facilite la compréhension et la gestion de vos journaux à grande échelle. Cette fonctionnalité permet de découvrir des schémas pour des AWS sources vendues telles qu'Amazon VPC Flow Logs et Route 53 CloudTrail, ainsi que pour des outils de sécurité tiers.
La console de gestion des journaux fournit une vue de haut niveau de vos journaux organisés par source de données et par type, plutôt que simplement par groupes de journaux. Cette organisation vous aide à :
+ Afficher les journaux classés par AWS services, sources tierces (telles que Okta ou CrowdStrike) et sources personnalisées
+ Comprenez automatiquement le schéma et la structure de vos données de journal
+ Créez des politiques d'index de champs basées sur les champs de schéma découverts
+ Gérez les journaux plus efficacement dans les différentes sources de données
+ Journaux de requêtes par différentes sources de données
Lorsque vous [activez la journalisation CloudWatch des journaux pour les AWS services pris en charge](AWS-logs-and-resource-policy.md), CloudWatch Logs applique automatiquement le schéma approprié à vos journaux. Cette application de schéma automatique permet de maintenir la cohérence et fournit des informations immédiates sur la structure de vos journaux.
## Qu'est-ce que les sources de données CloudWatch Logs ?
CloudWatch Les sources de données des journaux sont une fonctionnalité qui fournit une nouvelle façon d'organiser et de classer les données de vos journaux en fonction de la source qui les génère. Alors que CloudWatch Logs utilise traditionnellement des groupes de journaux pour organiser les journaux, les sources de données offrent une couche d'organisation supplémentaire qui regroupe les journaux en fonction de leur service d'origine et de leur type de journal.
### Comment fonctionnent les sources de données
Les sources de données fournissent une organisation des journaux basée sur les services et une découverte simplifiée au sein de votre AWS infrastructure. Vous pouvez facilement localiser les journaux provenant de services spécifiques et les filtrer par type de journal sans avoir à connaître les noms ou les structures des groupes de journaux individuels.
Pour les sources tierces et éventuellement pour les sources de journaux d'applications, les sources de données fonctionnent avec des CloudWatch pipelines pour classer vos journaux. Lorsque vous configurez un pipeline pour ingérer et transformer des journaux, vous spécifiez le nom et le type de la source de données. CloudWatch Logs classe ensuite automatiquement tous les journaux traités par le pipeline. Pour plus d'informations, consultez la section sur les [CloudWatch pipelines](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-pipelines.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
Les sources de données classent les journaux à l'aide de deux identifiants clés :
+ **Nom de la source de données** : le AWS service, la source tierce ou l'application qui génère les journaux (par exemple, Route 53, Amazon VPC CloudTrail, Okta SSO ou Falçon). CrowdStrike
+ **Type de source de données** : type spécifique de journal généré par ce service.
Un schéma définit la structure des données du journal, notamment les champs présents et la manière dont les informations sont organisées. Une source de données unique peut produire plusieurs types de journaux avec des schémas et des objectifs différents. Par exemple, la source de AWS CloudTrail données est de deux types : les événements de gestion (qui suivent les opérations du plan de contrôle telles que la création ou la suppression de ressources) et les événements de données (qui suivent les opérations du plan de données telles que l'accès aux objets S3). Chaque type possède un schéma différent car ils capturent différents types d'informations.
## Prise en main
CloudWatch Logs classe vos journaux dans des sources de données en fonction de leur origine. La méthode dépend du type de journaux que vous utilisez :
### Service AWS journaux
Les journaux [pris en charge Services AWS](supported-aws-services-data-sources.md) sont automatiquement regroupés par source de données sans aucune configuration requise. CloudWatch Logs reconnaît ces journaux et applique le nom et le type de source de données appropriés en fonction du service d'origine.
### Logs tiers
Les journaux tiers nécessitent des pipelines pour la catégorisation des sources de données. Lorsque vous configurez un pipeline pour ingérer des journaux provenant de sources tierces prises en charge telles que Microsoft Office 365, Okta ou Palo Alto Networks CrowdStrike, vous spécifiez le [nom de la source de données et saisissez](supported-third-party-sources-data-sources.md) la configuration du pipeline. CloudWatch Logs classe automatiquement tous les journaux traités par le pipeline à l'aide de ces identifiants.
Les pipelines peuvent éventuellement transformer des journaux tiers au format Open Cybersecurity Schema Framework (OCSF) pour une analyse standardisée des événements de sécurité. Lorsque la transformation OCSF est activée, le nom et le type de la source de données sont automatiquement déterminés en fonction du mappage du schéma OCSF. Sans transformation OCSF, vous spécifiez le nom et le type de la source de données dans la configuration du pipeline.
### Journaux d'application
Pour les journaux d'applications personnalisés, vous pouvez les classer par source de données à l'aide de l'une des méthodes suivantes :
+ **Balises de groupes de journaux** : ajoutez des balises à vos groupes de journaux à l'aide des clés `cw:datasource:name` et `cw:datasource:type` pour spécifier respectivement le nom et le type de la source de données pour tous les journaux ingérés dans le groupe de journaux. Les valeurs des balises peuvent comporter jusqu'à 64 caractères et ne contenir que des lettres minuscules, des chiffres et des traits de soulignement. Ils doivent commencer par une lettre ou un chiffre et ne doivent pas contenir de traits de soulignement doubles (\$1\$1).
+ **Configuration du pipeline** : configurez les informations des sources de données via des pipelines de traitement des journaux lors de l'ingestion des journaux de votre application.
**Note**
Les noms des sources de données ne peuvent pas commencer par « aws » ou « amazon » pour éviter tout conflit avec les journaux AWS de service.
## Champs du système
CloudWatch Logs ajoute automatiquement trois champs système aux journaux classés par source de données. Ces champs servent de facettes par défaut :
+ `@data_source_name`- Contient le nom de la source de données, ou « Inconnu » s'il n'est pas déterminé
+ `@data_source_type`- Contient le type de source de données, ou « Inconnu » s'il n'est pas déterminé
+ `@data_format`- Indique le format des données du journal
Lorsque le nom ou le type de la source de données ne peuvent pas être déterminés, ces champs sont définis sur « Inconnu ». Les sources de données dont les valeurs sont « inconnues » sont toujours visibles par facettes et dans le tableau des sources de données sous « Gestion des journaux » dans la console, ce qui vous permet d'identifier les journaux non classés et de quel groupe de journaux ils proviennent.
Le `@data_format` champ peut contenir l'une des valeurs suivantes :
+ `Default`- Logs ingérés sans modification.
+ `Custom`- Journaux traités par le biais de processeurs de pipeline ou journaux ingérés dans un groupe de journaux avec des name/type balises de source de données.
+ `OCSF-`- Logs traités avec les processeurs OCSF (Open Cybersecurity Schema Framework) dans des pipelines.
+ `AWS-OTEL-LOG-V`- OpenTelemetry journaux ingérés via le point de terminaison CloudWatch OTLP.
+ `AWS-OTEL-TRACE-V`- OpenTelemetry traces ingérées via le point de terminaison CloudWatch OTLP.
Ces champs système vous permettent de filtrer et d'interroger vos journaux en fonction de leur source et de leur format, ce qui facilite l'utilisation de journaux provenant de différentes origines et de différents pipelines de traitement.
## Accès aux sources de données
### Console
Dans la console CloudWatch Logs, vous utilisez l'onglet **Log Management** pour accéder à vos sources de données. CloudWatch Logs consolide automatiquement vos données de journal par source et par type de données, en découvrant en permanence les données nouvellement ingérées. Dans la liste des sources de données, vous pouvez créer des pipelines, définir des index de champs et des facettes.
### AWS CLI
Utilisez la commande suivante pour répertorier les sources de données et les types de journaux distincts de votre compte :
```
aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE
```
## Relation avec les groupes de journaux
Les sources de données complètent les groupes de journaux au lieu de les remplacer. Vos journaux continuent d'être stockés dans des groupes de journaux comme par le passé, mais ils sont désormais automatiquement balisés avec les informations relatives aux sources de données. Cette double organisation vous permet de :
+ Utilisez des groupes de journaux pour définir des politiques précises de contrôle d'accès et de rétention
+ Utiliser des sources de données pour la découverte et l'analyse des journaux basées sur les services
+ Journaux de requêtes utilisant l'une ou l'autre méthode d'organisation en fonction de vos besoins
Les sources de données facilitent l'utilisation des journaux à grande échelle en fournissant une vue centrée sur le service des données de vos journaux dans l'ensemble de votre AWS infrastructure.
# Fonctionnalités activées par les sources de données
Les sources de données offrent des fonctionnalités avancées de traitement des journaux et d'analyse grâce à la découverte sur le terrain et à des structures de données cohérentes.
+ **Facettes** : les facettes sont des champs de log indexés qui fournissent un filtrage et une analyse interactifs sans écrire de requêtes. CloudWatch Logs crée automatiquement des facettes pour le nom et le type de source de données, et vous pouvez créer des politiques de facettes sur les champs découverts afin d'accélérer le dépannage. Les facettes affichent les distributions de valeurs et les dénombrements dans CloudWatch Logs Insights, ce qui permet d'identifier facilement les modèles par le biais de point-and-click l'exploration.
+ **Pipelines** : créez des pipelines de transformation qui s'appliquent à tous les journaux provenant d'un nom et d'un type de source de données spécifiques. Cela vous permet de définir des règles de traitement cohérentes pour les journaux provenant de la même source.
+ **Découverte de champs** : CloudWatch les journaux découvrent automatiquement les champs et leurs types de données pour chaque combinaison de nom et de type de source de données en fonction des processeurs de pipeline. Pour les journaux AWS gérés, les structures de champs sont prédéfinies. Pour les journaux d'applications, nous recommandons de conserver des formats de journaux cohérents afin de maximiser la compatibilité avec les outils d'analyse tels que les tables Amazon S3 qui nécessitent des structures de champs bien définies.
Vous pouvez consulter la liste complète des champs et leurs types pour n'importe quelle source de données à l'aide de l'`GetLogFields`API :
```
aws logs get-log-fields --data-source-name --data-source-type
```
Cette découverte et cette cohérence des champs permettent des analyses et des intégrations avancées, car les outils externes peuvent fonctionner avec des structures de champs prévisibles lors du traitement des données de vos journaux.
# Pris en charge Services AWS pour les sources de données
Le tableau suivant répertorie Services AWS les sources de données automatiquement classées par CloudWatch Logs :
| Nom de la source de données (champ @data\$1source\$1name) | Type de source de données (champ @data\$1source\$1type) |
| --- | --- |
| amazon\$1api\$1gateway | access |
| amazon\$1bedrock\$1agentcore | browser\$1usage |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1application |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1usage |
| amazon\$1bedrock\$1agentcore | gateway\$1application |
| amazon\$1bedrock\$1agentcore | identity\$1workload\$1application |
| amazon\$1bedrock\$1agentcore | memory\$1application |
| amazon\$1bedrock\$1agentcore | online\$1evaluation\$1config |
| amazon\$1bedrock\$1agentcore | runtime\$1application |
| amazon\$1bedrock\$1agentcore | runtime\$1usage |
| amazon\$1bedrock\$1agents | application |
| amazon\$1bedrock\$1agents | event |
| amazon\$1bedrock\$1knowledge\$1bases | application |
| amazon\$1cloudfront | access |
| amazon\$1cloudfront | connection |
| amazon\$1cloudwatch | rum\$1app\$1monitor |
| amazon\$1cognito | user\$1pool |
| amazon\$1ec2 | verified\$1access |
| amazon\$1eks | api\$1server |
| amazon\$1eks | audit |
| amazon\$1eks | authenticator |
| amazon\$1eks | controller\$1manager |
| amazon\$1eks | scheduler |
| amazon\$1elasticache | cluster |
| amazon\$1eventbridge | eventbus\$1error |
| amazon\$1eventbridge | eventbus\$1info |
| amazon\$1eventbridge | pipes\$1execution |
| amazon\$1interactive\$1video\$1service | chat |
| amazon\$1managed\$1prometheus | scraper |
| amazon\$1managed\$1prometheus | workspace |
| amazon\$1msk | broker |
| amazon\$1msk | connect |
| amazon\$1opensearch\$1service | pipeline |
| amazon\$1q\$1business | events |
| amazon\$1q\$1business | sync\$1job |
| amazon\$1q\$1connect | events |
| amazon\$1route53 | global\$1resolver\$1query |
| amazon\$1route53 | hosted\$1zones |
| amazon\$1route53 | profiles\$1resolver\$1query |
| amazon\$1route53 | resolver\$1query |
| amazon\$1sagemaker | workteam\$1activity |
| amazon\$1ses | ingress\$1endpoints |
| amazon\$1ses | rule\$1sets |
| amazon\$1ses | traffic\$1policy |
| amazon\$1vpc | flow |
| amazon\$1vpc | route\$1server\$1peer |
| amazon\$1vpc\$1lattice | access |
| amazon\$1vpc\$1lattice | resource\$1access |
| amazon\$1workmail | access\$1control |
| amazon\$1workmail | authentication |
| amazon\$1workmail | personal\$1access |
| amazon\$1workmail | workmail\$1access |
| amazon\$1workmail | workmail\$1availability |
| aws\$1b2b\$1data\$1interchange | execution |
| aws\$1backup | data\$1access |
| aws\$1backup | hypervisor |
| aws\$1clean\$1rooms | analysis |
| aws\$1client\$1vpn | connection |
| aws\$1client\$1vpn | event |
| aws\$1cloudtrail | data |
| aws\$1cloudtrail | management |
| aws\$1elemental\$1mediapackage | egress\$1access |
| aws\$1elemental\$1mediapackage | ingress\$1access |
| aws\$1elemental\$1mediatailor | ad\$1decision |
| aws\$1elemental\$1mediatailor | manifest |
| aws\$1elemental\$1mediatailor | transcode |
| aws\$1entity\$1resolution | id\$1mapping\$1workflow |
| aws\$1entity\$1resolution | matching\$1workflow |
| aws\$1iot\$1fleetwise | error |
| aws\$1mainframe\$1modernization | batch\$1job |
| aws\$1mainframe\$1modernization | config |
| aws\$1mainframe\$1modernization | console |
| aws\$1mainframe\$1modernization | dataset\$1import |
| aws\$1network\$1firewall | alert |
| aws\$1network\$1firewall | flow |
| aws\$1network\$1firewall | tls |
| aws\$1nlb | access |
| aws\$1pcs | job\$1completion |
| aws\$1pcs | scheduler |
| aws\$1security\$1hub\$1cspm | asff\$1finding |
| aws\$1shield | protection\$1flow |
| aws\$1step\$1functions | express |
| aws\$1step\$1functions | standard |
| aws\$1transfer\$1family | server |
| aws\$1waf | access |
# Sources tierces prises en charge pour les sources de données
Le tableau suivant répertorie les sources tierces qui sont automatiquement classées par CloudWatch Logs en tant que sources de données lorsqu'elles sont ingérées via des pipelines :
| Nom de la source de données (champ @data\$1source\$1name) | Type de source de données (champ @data\$1source\$1type) |
| --- | --- |
| crowdstrike\$1falcon | detection\$1finding |
| crowdstrike\$1falcon | process\$1activity |
| github\$1auditlogs | account\$1change |
| github\$1auditlogs | api\$1activity |
| github\$1auditlogs | entity\$1management |
| microsoft\$1entraid | account\$1change |
| microsoft\$1entraid | authentication |
| microsoft\$1entraid | entity\$1management |
| microsoft\$1entraid | user\$1access\$1management |
| microsoft\$1office365 | account\$1change |
| microsoft\$1office365 | application\$1lifecycle |
| microsoft\$1office365 | authentication |
| microsoft\$1office365 | compliance\$1finding |
| microsoft\$1office365 | detection\$1finding |
| microsoft\$1office365 | email\$1activity |
| microsoft\$1office365 | file\$1hosting\$1activity |
| microsoft\$1office365 | group\$1management |
| microsoft\$1office365 | incident\$1finding |
| microsoft\$1office365 | user\$1access\$1management |
| microsoft\$1office365 | vulnerability\$1finding |
| microsoft\$1office365 | web\$1resources\$1activity |
| microsoft\$1windows | account\$1change |
| microsoft\$1windows | authentication |
| microsoft\$1windows | entity\$1management |
| microsoft\$1windows | event\$1log\$1activity |
| microsoft\$1windows | file\$1system\$1activity |
| microsoft\$1windows | group\$1management |
| microsoft\$1windows | kernel\$1activity |
| okta\$1auth0 | api\$1activity |
| okta\$1auth0 | authentication |
| okta\$1sso | api\$1activity |
| okta\$1sso | authentication |
| okta\$1sso | detection\$1finding |
| okta\$1sso | entity\$1management |
| paloaltonetworks\$1nextgenerationfirewall | authentication |
| paloaltonetworks\$1nextgenerationfirewall | detection\$1finding |
| paloaltonetworks\$1nextgenerationfirewall | network\$1activity |
| paloaltonetworks\$1nextgenerationfirewall | process\$1activity |
| sentinelone\$1endpointsecurity | dns\$1activity |
| sentinelone\$1endpointsecurity | file\$1system\$1activity |
| sentinelone\$1endpointsecurity | http\$1activity |
| sentinelone\$1endpointsecurity | process\$1activity |
| servicenow\$1cmdb | api\$1activity |
| servicenow\$1cmdb | datastore\$1activity |
| servicenow\$1cmdb | entity\$1management |
| wiz\$1cnapp | api\$1activity |
| wiz\$1cnapp | authentication |
| wiz\$1cnapp | compliance\$1finding |
| wiz\$1cnapp | detection\$1finding |
| wiz\$1cnapp | vulnerability\$1finding |
| zscaler\$1internetaccess | authentication |
| zscaler\$1internetaccess | dns\$1activity |
| zscaler\$1internetaccess | http\$1activity |
| zscaler\$1internetaccess | network\$1activity |