

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un parcours pour votre Compte AWS
<a name="cloudtrail-create-and-update-a-trail"></a>

Lorsque vous créez un journal de suivi, vous activez la livraison continue d'événements en tant que fichiers journaux à un compartiment Amazon S3 que vous spécifiez. La création d'un journal de suivi présente de nombreux bénéfices, notamment:
+ Un registre d'événements qui s'étend au-delà des 90 derniers jours.
+ Possibilité de surveiller et d'avertir automatiquement les événements spécifiés en envoyant les événements du journal à Amazon CloudWatch Logs.
+ Possibilité d'interroger les journaux et d'analyser l'activité des AWS services avec Amazon Athena.

À compter du 12 avril 2019, vous ne pourrez consulter les sentiers que dans les AWS régions où ils enregistrent des événements. Si vous créez un parcours [multirégional](cloudtrail-multi-region-trails.md), il apparaît dans la console dans toutes Régions AWS les zones [activées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) dans votre compte. Si vous créez un journal de suivi qui enregistre des événements dans une seule région , vous pouvez l’afficher et le gérer uniquement dans cette région . À titre de bonne pratique, nous vous recommandons de créer un parcours multirégional, car il capture l'activité dans toutes les régions activées. Tous les sentiers créés à l'aide de la CloudTrail console sont des sentiers multirégionaux. Pour créer un journal de suivi pour une seule région, il convient d'utiliser l' AWS CLI.

Si vous l'utilisez AWS Organizations, vous pouvez créer un journal qui enregistrera les événements de tous les AWS comptes de l'organisation. Un journal de suivi avec le même nom sera créé dans chaque compte membre, et les événements de chaque journal de suivi seront envoyés au compartiment Amazon S3 que vous spécifiez. 

**Note**  
Seuls les comptes de gestion ou d'administrateur délégué d'une organisation peut créer un journal de suivi pour cette organisation. La création d'un parcours pour une organisation permet automatiquement l'intégration entre CloudTrail et Organizations. Pour de plus amples informations, veuillez consulter [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).  
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.

**Topics**
+ [Création et mise à jour d'un journal d'activité à l'aide de la console](cloudtrail-create-and-update-a-trail-by-using-the-console.md)
+ [Création, mise à jour et gestion de sentiers à l'aide du AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)
+ [Création de plusieurs parcours](create-multiple-trails.md)

# Création et mise à jour d'un journal d'activité à l'aide de la console
<a name="cloudtrail-create-and-update-a-trail-by-using-the-console"></a>

Vous pouvez utiliser la CloudTrail console pour créer, mettre à jour ou supprimer vos parcours. Les journaux de suivi créés à l'aide de la console sont multi-régions. Pour créer un journal qui enregistre les événements dans un seul fichier Région AWS, [utilisez le AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).

Vous pouvez créer jusqu'à cinq journaux de suivi pour chaque région. Après avoir créé un suivi, commence CloudTrail automatiquement à consigner les appels d'API et les événements associés dans votre compte dans le compartiment Amazon S3 que vous spécifiez.

Vous pouvez modifier les paramètres suivants pour votre parcours à l'aide de la CloudTrail console :
+ Vous pouvez modifier l'emplacement du compartiment S3 et spécifier un préfixe.
+ Le compte de gestion d'une AWS Organizations organisation peut convertir un suivi au niveau du compte en suivi de l'organisation, ou peut convertir un suivi de l'organisation en un suivi au niveau du compte.
+ Vous pouvez activer ou désactiver le chiffrement par clé KMS.
+ Vous pouvez activer ou désactiver la [validation du fichier journal](cloudtrail-log-file-validation-intro.md). La validation du fichier journal vous permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Par défaut, la validation du fichier journal est activée.
+ Vous pouvez configurer un suivi pour envoyer des notifications à une rubrique Amazon SNS.
+ Vous pouvez configurer un journal pour envoyer des événements à un groupe de CloudWatch journaux journaux. Le groupe de journaux et le rôle IAM doivent tous deux exister dans votre propre compte.
+ Vous pouvez mettre à jour les paramètres pour les événements de gestion, les événements de données, les événements d'activité réseau et les événements Insights.
+ Vous pouvez ajouter ou supprimer des balises. Vous pouvez ajouter jusqu'à 50 paires de clés d'étiquette pour vous aider à identifier vos sentiers.

L'utilisation de la CloudTrail console pour créer ou mettre à jour un journal présente les avantages suivants.
+ Si c'est la première fois que vous créez un parcours, l'utilisation de la CloudTrail console vous permet de visualiser les fonctionnalités et options disponibles.
+ Si vous configurez un journal pour consigner les événements liés aux données, la CloudTrail console vous permet de visualiser les types de données disponibles. Pour de plus amples informations, veuillez consulter [Journalisation des événements de données](logging-data-events-with-cloudtrail.md).
+ Si vous configurez un suivi des événements liés à l'activité réseau, l'utilisation de la CloudTrail console vous permet de visualiser les sources d'événements disponibles. Pour de plus amples informations, veuillez consulter [Enregistrement des événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md).

Pour obtenir des informations spécifiques à la création d'un suivi pour une organisation dans AWS Organizations, voir[Création d'un journal de suivi pour une organisation](creating-trail-organization.md).

**Topics**
+ [Création d'un parcours à l'aide de la CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md)
+ [Mettre à jour un parcours avec la CloudTrail console](cloudtrail-update-a-trail-console.md)
+ [Supprimer une trace à l'aide de la CloudTrail console](cloudtrail-delete-trails-console.md)
+ [Désactivation de la journalisation pour un journal d'activité](cloudtrail-turning-off-logging.md)

# Création d'un parcours à l'aide de la CloudTrail console
<a name="cloudtrail-create-a-trail-using-the-console-first-time"></a>

Un parcours peut être appliqué à toutes Régions AWS les zones [activées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) dans votre Compte AWS région ou peut être appliqué à une seule région. Un parcours qui s'applique à tous ceux Régions AWS qui sont activés dans votre compte Compte AWS est appelé *parcours multirégional*. À titre de bonne pratique, nous vous recommandons de créer un parcours multirégional, car il capture l'activité dans toutes les régions activées. Tous les sentiers créés à l'aide de la CloudTrail console sont des sentiers multirégionaux. Vous ne pouvez créer un suivi à région unique qu'à l'aide de l'opération AWS CLI ou de [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)l'API.

**Note**  
Après avoir créé un suivi, vous pouvez en configurer un autre Services AWS pour analyser plus en profondeur les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour de plus amples informations, veuillez consulter [AWS intégrations de services avec journaux CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations).

**Topics**
+ [Création d'un parcours à l'aide de la console](#creating-a-trail-in-the-console)
+ [Étapes suivantes](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)

## Création d'un parcours à l'aide de la console
<a name="creating-a-trail-in-the-console"></a>

Utilisez la procédure suivante pour créer un parcours multirégional. Pour journaliser les événements dans une région unique (non recommandé), [utilisez l' AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).

**Pour créer un CloudTrail parcours à l'aide du AWS Management Console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Sur la page d'accueil du CloudTrail service, sur la page des **sentiers** ou dans la section des **sentiers** de la page du tableau de **bord**, choisissez **Créer un parcours**.

1. Sur la page **Créer un journal de suivi**, tapez un nom pour votre journal de suivi dans la zone **Nom du journal de suivi**. Pour de plus amples informations, veuillez consulter [Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).

1. S'il s'agit d'un suivi d' AWS Organizations organisation, vous pouvez activer le suivi pour tous les comptes de votre organisation. Pour voir cette option, vous devez vous connecter à la console avec un utilisateur ou un rôle dans le compte de gestion ou d'administrateur délégué. Pour créer avec succès le journal de suivi d’une organisation, assurez-vous que l’utilisateur ou le rôle dispose d’[autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions). Pour plus d'informations, consultez [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).

1. Sous **Emplacement de stockage**, choisissez **Créer un nouveau compartiment S3** pour créer un nouveau compartiment. Lorsque vous créez un compartiment, CloudTrail crée et applique les stratégies nécessaires. Si vous choisissez de créer un nouveau compartiment S3, votre politique IAM doit inclure une autorisation pour l'`s3:PutEncryptionConfiguration`action, car le chiffrement côté serveur est activé par défaut pour le compartiment.
**Note**  
Si vous avez choisi **Utiliser un compartiment S3 existant**, spécifiez un compartiment dans **Nom du compartiment des journaux de suivi**, ou sélectionnez **Parcourir** pour choisir un compartiment. Si vous voulez utiliser un compartiment dans un autre compte, vous devez spécifier le nom du compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation d'y écrire. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

   Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé *préfixe*) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans **Préfixe**.

1. Pour le **chiffrement SSE-KMS des fichiers journaux**, choisissez **Activé** si vous souhaitez chiffrer vos fichiers journaux et digérer les fichiers à l'aide du chiffrement SSE-KMS au lieu du cryptage SSE-S3. La valeur par défaut est **Activé**. Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, voir [Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Pour plus d'informations sur SSE-S3, consultez [Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).

   **Si vous activez le chiffrement SSE-KMS, sélectionnez **Nouveau** ou Existant.** AWS KMS key Dans **AWS KMS Alias**, spécifiez un alias au format `alias/`*MyAliasName*. Pour plus d'informations, consultez[Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
**Note**  
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). La politique de clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et digérer les fichiers, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).

1. Sous **Paramètres supplémentaires**, configurez les événements suivants.

   1. Sous **Validation du fichier journal**, choisissez **Activé** pour que les fichiers de valeur de hachage soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).

   1. Pour l'**envoi de notifications SNS**, choisissez **Enabled** pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaque événement. Pour plus d'informations, consultez [Configuration des notifications Amazon SNS pour CloudTrail](configure-sns-notifications-for-cloudtrail.md).

      Si vous activez les notifications SNS, pour **Créer une nouvelle rubrique SNS**, choisissez **Nouveau** pour créer une rubrique, ou **Existant**, pour utiliser une rubrique existante. Si vous créez un suivi multirégional, les notifications SNS pour les livraisons de fichiers journaux provenant de toutes les régions activées sont envoyées à la rubrique SNS unique que vous créez.

      Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez **Existant**, choisissez une rubrique SNS dans la liste déroulante. Vous pouvez également saisir l'ARN d'une rubrique provenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plus d'informations, consultez [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md).

      Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement pour pouvoir utiliser une file d'attente Amazon SQS afin de gérer les notifications par programmation. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) dans le *Guide du développeur Amazon Simple Notification Service*.

1. Vous pouvez éventuellement configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs en choisissant **Enabled** in **CloudWatch Logs**. Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).

   1. Si vous activez l'intégration aux CloudWatch journaux, choisissez **Nouveau** pour créer un nouveau groupe de journaux ou **Existant** pour utiliser un groupe existant. Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.

   1. Si vous choisissez **Existant**, choisissez un groupe de journaux dans la liste déroulante.

   1. Choisissez **Nouveau** pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir **Existant** pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez **Document de politique**. Pour plus d'informations sur ce rôle, consultez [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Note**  
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.

1. Pour les **balises**, vous pouvez ajouter jusqu'à 50 paires de clés de balises pour vous aider à identifier, à trier et à contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser des groupes de ressources pour vos CloudTrail ressources. Pour plus d’informations, consultez [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) et [Étiquettes](cloudtrail-concepts.md#cloudtrail-concepts-tags).

1. Sur la page **Choisir des événements du journal**, choisissez les types d’événements que vous souhaitez consigner. Sous **Événements de gestion**, procédez comme suit.

   1. Pour **Activité d’API**, indiquez si vous souhaitez que votre journal de suivi journalise les événements en événements **Lecture** ou en événements **Écriture**, ou les deux. Pour de plus amples informations, veuillez consulter [Événements de gestion](logging-management-events-with-cloudtrail.md#logging-management-events).

   1. Choisissez **Exclure les AWS KMS événements** pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les AWS KMS événements.

      L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

      AWS KMS des actions telles que `Encrypt``Decrypt`, et génèrent `GenerateDataKey` généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements **Lecture**. Les AWS KMS actions pertinentes à faible volume telles que `Disable``Delete`, et `ScheduleKey` (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'**écriture**.

      Pour exclure des événements importants tels que`Encrypt`, et `Decrypt``GenerateDataKey`, tout en enregistrant les événements pertinents tels que`Disable`, `Delete` et`ScheduleKey`, choisissez de consigner les événements de gestion d'**écriture** et décochez la case **Exclure les AWS KMS événements**.

   1. Choisissez **Exclure les événements API de données Amazon RDS** pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez [Journalisation des appels d’API de données avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) dans le *Guide de l’utilisateur Amazon RDS pour Aurora*.

1. Pour journaliser les événements de données, choisissez **Événements de données**. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

1. 
**Important**  
Les étapes 12 à 16 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, ce qui est le cas par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de [types de ressources](logging-data-events-with-cloudtrail.md#logging-data-events) et de contrôler avec précision les événements de données capturés par votre parcours. Si vous avez choisi d'utiliser des sélecteurs d'événements de base, suivez les étapes décrites dans [Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base](#trail-data-events-basic-selectors), puis revenez à l'étape 17 de cette procédure.

   Pour **Type de ressource**, choisissez le type de ressource sur lequel vous souhaitez enregistrer les événements de données. Pour plus d'informations sur les types de ressources disponibles, consultez[Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events).

1. Choisissez un modèle de sélecteur de journaux. Vous pouvez choisir un modèle prédéfini ou choisir **Personnalisé** pour définir vos propres conditions de collecte d'événements.

   Vous pouvez choisir parmi les modèles prédéfinis suivants :
   + **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
   + **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
   + **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour consigner uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
   + **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
   + **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
**Note**  
Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.  
Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.  
Si vous créez un suivi multirégional, le choix d'un modèle prédéfini pour les fonctions Lambda permet d'enregistrer les événements de données pour toutes les fonctions actuellement présentes dans AWS votre compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous aurez terminé de créer le journal. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez terminé de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.  
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**

1. Si vous avez sélectionné **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**  
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.

   1. Choisissez parmi les options suivantes.
      + **`readOnly`**- `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements `Get*` ou `Describe*`. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour journaliser les deux événements `read` et `write`, n'ajoutez pas de sélecteur `readOnly`.
      + **`eventName`** - `eventName` peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que `PutBucket``GetItem`, ou`GetSnapshotBlock`.
      + **`eventSource`**— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.
      + **eventType** : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente `AwsServiceEvent` pour** l'exclure[Service AWS événements](non-api-aws-service-events.md). Pour une liste des types d'événements, voir [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
      + **sessionCredentialFromConsole** — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
      + **userIdentity.arn** : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
      + **`resources.ARN`**- Vous pouvez utiliser n'importe quel opérateur`resources.ARN`, mais si vous utilisez **égal** ou **non**, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de`resources.type`.
**Note**  
Vous ne pouvez pas utiliser le `resources.ARN` champ pour filtrer les types de ressources qui n'en ont pas ARNs.

        Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section [Actions, ressources et clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.

   1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur **Resources.ARN**, définir l'opérateur pour **ne commence pas par**, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.

      Pour ajouter le deuxième compartiment S3, choisissez **\$1 Conditions**, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.

      Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**  
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

   1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.

1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**. Répétez les étapes 12 à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.

1. Pour activer l'agrégation sur les événements de données, choisissez un ou plusieurs modèles d'agrégation. Ces modèles définissent la manière dont vos événements de données seront résumés. Vous pouvez choisir parmi les modèles suivants :

   1. **Activité de l'API** pour obtenir des résumés en 5 minutes des événements liés à vos données en fonction des appels d'API effectués. Utilisez-le pour comprendre les habitudes d'utilisation de vos API, notamment la fréquence, les appelants et la source.

   1. **Accès aux ressources** pour connaître les modèles d'activité de vos AWS ressources. Utilisez-le pour comprendre comment vos AWS ressources sont accessibles, combien de fois elles sont consultées dans la fenêtre de 5 minutes, qui accède à la ressource et quelles actions sont effectuées.

   1. **Actions de l'utilisateur** pour obtenir des modèles d'activité basés sur les principes IAM effectuant des appels d'API dans votre compte.
**Note**  
Les agrégations s'appliquent à tous les événements de données collectés dans votre parcours.

1. Pour enregistrer les événements d'activité réseau, sélectionnez **Événements d'activité réseau**. Les événements d'activité réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité du réseau. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

   Pour enregistrer les événements liés à l'activité du réseau, procédez comme suit :

   1. Dans **Source des événements d'activité réseau**, choisissez la source des événements d'activité réseau.

   1. Dans **Modèle de sélecteur de journaux**, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir **Personnaliser** pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que `eventName` et`vpcEndpointId`.

   1. (Facultatif) Entrez un nom pour identifier le sélecteur. **Le nom du sélecteur est répertorié sous la forme **Nom** dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.**

   1. Dans les **sélecteurs d'événements avancés, les sélecteurs** créent des expressions en choisissant des valeurs pour **Champ**, **Opérateur** et **Valeur**. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

      1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.
         + **`eventName`**— Vous pouvez utiliser n'importe quel opérateur avec`eventName`. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel que`CreateKey`.
         + **`errorCode`**— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge `errorCode` est`VpceAccessDenied`.
         +  **`vpcEndpointId`**— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec`vpcEndpointId`. 

      1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. 

      1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. 

   1. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez **Ajouter un sélecteur d'événements d'activité réseau**.

   1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

1. Choisissez **Insights events** si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.

   Dans **Type d’événement**, sélectionnez **Événements Insights**. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.

   CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md). Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour CloudTrail connaître les tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

   Les événements Insights sont transmis à un dossier différent nommé `/CloudTrail-Insight` dans le même compartiment S3 qui est spécifié dans la zone **Emplacement de stockage** de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`, le nom du compartiment S3 avec un nouveau préfixe se nommera `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.

1. Après avoir sélectionné les types d’événements à journaliser, choisissez **Suivant**.

1. Sur la page **Vérifier et créer**, vérifiez vos choix. Choisissez **Modifier** dans une section pour modifier les paramètres de journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez **Créer un journal de suivi**.

1. Le nouveau journal de suivi s’affiche sur la page **Journaux de suivi**. En 5 minutes environ, CloudTrail publie des fichiers journaux qui indiquent les appels AWS d'API effectués dans votre compte. Les fichiers journaux se trouvent dans le compartiment S3 que vous avez spécifié.

   Si vous avez activé les événements Insights pour un parcours, le lancement de ces événements CloudTrail peut prendre jusqu'à 36 heures, à condition qu'une activité inhabituelle soit détectée pendant cette période.
**Note**  
CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le [Contrat de niveau de service (SLA)AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).  
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.

### Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base
<a name="trail-data-events-basic-selectors"></a>

Vous pouvez utiliser des sélecteurs d'événements avancés pour configurer tous les types d'événements de données ainsi que les événements d'activité réseau. Les sélecteurs d'événements avancés vous permettent de créer des sélecteurs précis pour enregistrer uniquement les événements qui vous intéressent.

Si vous utilisez des sélecteurs d'événements de base pour enregistrer des événements de données, vous êtes limité à la journalisation des événements de données pour les compartiments, les AWS Lambda fonctions et les tables Amazon DynamoDB d'Amazon S3. Vous ne pouvez pas filtrer sur le `eventName` terrain à l'aide de sélecteurs d'événements de base. Vous ne pouvez pas non plus enregistrer les [événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md).

![\[Sélecteurs d'événements de base pour les événements de données sur un journal de suivi\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)


Utilisez la procédure suivante afin de configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base. 

**Pour configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base**

1. Dans **Événements**, sélectionnez **Événements de données** pour journaliser les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

1. Pour les compartiments Amazon S3 : 

   1. Pour **Data event source** (Source d'événements de données), choisissez **S3**.

   1. Il est possible de choisir de journaliser **Tous les compartiments S3 actuels et futurs** ou de spécifier des compartiments ou fonctions individuels. Par défaut, les événements de données sont journalisés pour tous les compartiments S3 actuels et futurs.
**Note**  
Le maintien de l'option par défaut **Tous les compartiments S3 actuels et futurs** active la journalisation des événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois que vous avez terminé de créer le journal. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.  
Si vous créez un parcours pour une seule région (à l'aide du AWS CLI), sélectionnez **Tous les compartiments S3 actuels et futurs** pour enregistrer les événements de données pour tous les compartiments de la même région que votre parcours et pour tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.

   1. Si vous laissez l’option par défaut, **Tous les compartiments S3 actuels et futurs**, choisissez de journaliser les événements de **lecture**, les événements d’**écriture**, ou les deux.

   1. Pour sélectionner des compartiments individuels, il convient de vider les boîtes de dialogue **Lecture** et **Écriture** pour **Tous les compartiments S3 actuels et futurs**. Dans **Sélection du compartiment individuel**, recherchez un compartiment sur lequel journaliser les événements de données. Recherchez des compartiments spécifiques en tapant un préfixe de compartiment pour le compartiment souhaité. Vous pouvez sélectionner plusieurs compartiments dans cette fenêtre. Choisissez **Ajouter un compartiment** pour journaliser les événements de données pour d’autres compartiments. Choisissez de journaliser les événements **Lecture** tels que `GetObject`, les événements **Écriture** tels que `PutObject`, ou les deux.

      Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les compartiments individuels. Par exemple, si vous spécifiez la journalisation des événements **Read (Lecture)** pour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour la journalisation des événements de données, **Read (Lecture)** est déjà sélectionné pour le compartiment que vous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurer l’option pour **Écriture**.

      Pour supprimer un compartiment de la journalisation, choisissez **X**.

1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**.

1. Pour les fonctions Lambda :

   1. Pour **Data event source** (Source d'événement de données), choisissez **Lambda**.

   1. Dans **Fonction Lambda**, choisissez **Toutes les régions** pour journaliser toutes les fonctions Lambda, ou **Fonction d’entrée en tant qu’ARN**, pour consigner les événements de données sur une fonction spécifique. 

      Pour enregistrer les événements de données relatifs à toutes les fonctions Lambda de votre AWS compte, sélectionnez **Enregistrer toutes les fonctions actuelles et futures.** Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les fonctions individuelles. Toutes les fonctions sont journalisées, même si elles ne sont pas toutes affichées.
**Note**  
Si vous créez un suivi multirégional, cette sélection active la journalisation des événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous aurez fini de créer le journal. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez terminé de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.  
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

   1. Si vous choisissez **Fonction d’entrée en tant qu’ARN**, saisissez l’ARN d’une fonction Lambda.
**Note**  
Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Vous pouvez toujours sélectionner l’option de journalisation de toutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez journaliser les événements de données de fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous connaissez son ARN. Vous pouvez également terminer la création du journal dans la console, puis utiliser la **put-event-selectors** commande AWS CLI et pour configurer la journalisation des événements de données pour des fonctions Lambda spécifiques. Pour de plus amples informations, veuillez consulter [Gérer les sentiers à l'aide du AWS CLI](cloudtrail-additional-cli-commands.md).

1. Pour Tables DynamoDB :

   1. Pour **Data event source** (Source d'événement de données), choisissez **DynamoDB**.

   1. Dans **Sélection d’une table DynamoDB**, choisissez **Parcourir** pour sélectionner une table ou coller dans l’ARN d’une table DynamoDB à laquelle vous avez accès. Un ARN de table DynamoDB utilise le format suivant :

      ```
      arn:partition:dynamodb:region:account_ID:table/table_name
      ```

      Pour ajouter une autre table, choisissez **Ajouter une ligne**, puis recherchez un tableau ou collez dans l’ARN d’une table à laquelle vous avez accès.

1. Pour configurer les événements Insights et d’autres paramètres pour votre piste, revenez à la procédure précédente dans cette rubrique, [Création d'un parcours à l'aide de la console](#creating-a-trail-in-the-console).

## Étapes suivantes
<a name="cloudtrail-create-a-trail-using-the-console-first-time-next-steps"></a>

Après avoir créé le journal de suivi, vous pouvez le modifier:
+ Si ce n'est pas déjà fait, vous pouvez configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs. Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
+ Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d'analyser l'activité de vos services AWS . Pour plus d'informations, consultez la section [Création d'une table pour les CloudTrail journaux dans la CloudTrail console](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) dans le guide de l'[utilisateur d'Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/).
+ Ajoutez des identifications personnalisées (paires clé-valeur) pour le journal de suivi.
+ Pour créer un autre journal de suivi, ouvrez la page **Journaux de suivi** et choisissez **Créer un journal de suivi**.

# Mettre à jour un parcours avec la CloudTrail console
<a name="cloudtrail-update-a-trail-console"></a>

Cette section décrit comment modifier les paramètres du journal de suivi.

Pour convertir un parcours unirégional en un parcours multirégional, ou pour mettre à jour un parcours multirégional afin d'enregistrer les événements d'une seule région, vous devez utiliser le. AWS CLI Pour plus d'informations sur la façon de convertir un parcours unirégional en un parcours multirégional, voir. [Conversion d'un sentier à région unique en un sentier multirégional](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert) Pour plus d'informations sur la mise à jour d'un suivi multirégional afin de consigner les événements d'une seule région, consultez[Convertir un journal de suivi multi-régions à un journal de suivi à région unique](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce).

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les `read` événements de gestion et les événements `write` de gestion. Vous ne pouvez pas mettre à jour un journal de suivi éligible de telle sorte qu'il ne réponde pas aux exigences de Security Lake. Par exemple, en modifiant le journal de suivi pour qu’il s’applique à une région unique ou en désactivant la journalisation des événements de gestion `read` et `write`.

**Note**  
CloudTrail met à jour les traces de l'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :  
une politique de compartiment Amazon S3 incorrecte
une politique de rubrique Amazon SNS incorrecte
impossibilité de livrer à un groupe de CloudWatch journaux Logs
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande.

**Pour mettre à jour un parcours à l'aide du AWS Management Console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Dans le panneau de navigation de gauche, choisissez **Trails** (Journaux de suivi), puis le nom du journal de suivi.

1. Dans **Renseignements généraux**, choisissez **Modifier** pour modifier les paramètres suivants. Vous ne pouvez pas modifier le nom d’un journal de suivi.
   + **Appliquer le parcours à mon organisation** - Indiquez si ce parcours est un parcours d' AWS Organizations organisation.
**Note**  
Seul le compte de gestion de l'organisation peut convertir un journal de suivi organisationnel en journal de suivi non lié à une organisation, ou effectuer la conversion inverse.
   + **Emplacement de journalisation du journal de suivi** : modifiez le nom du compartiment S3 ou du préfixe dans lequel vous stockez les journaux de ce journal de suivi.
   + **Chiffrement SSE-KMS des fichiers journaux** : choisissez d’activer ou de désactiver le chiffrement des fichiers journaux avec SSE-KMS au lieu de SSE-S3.
   + **Validation du fichier journal** : choisissez d’activer ou de désactiver la validation de l’intégrité des fichiers journaux.
   + **Livraison de notification SNS** : choisissez d’activer ou de désactiver les notifications Amazon Simple Notiﬁcation Service (Amazon SNS) selon lesquelles les fichiers journaux ont été livrés au compartiment spécifié pour le journal de suivi.

   1. Pour transformer le suivi en suivi d' AWS Organizations organisation, vous pouvez choisir d'activer le suivi pour tous les comptes de votre organisation. Pour de plus amples informations, veuillez consulter [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).

   1. Pour modifier le compartiment spécifié dans **Emplacement de stockage**, choisissez **Création d’un compartiment S3** pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises. Si vous choisissez de créer un nouveau compartiment S3, votre politique IAM doit inclure une autorisation pour l'`s3:PutEncryptionConfiguration`action, car le chiffrement côté serveur est activé par défaut pour le compartiment.
**Note**  
Si vous avez choisi **Utilisation du compartiment S3 existant**, spécifiez un compartiment dans **Nom du compartiment du journal de suivi**, ou sélectionnez **Parcourir** pour choisir un compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation d'y écrire. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

      Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé *préfixe*) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans **Préfixe**.

   1. Pour le **chiffrement SSE-KMS des fichiers journaux**, choisissez **Activé** si vous souhaitez chiffrer vos fichiers journaux et digérer les fichiers à l'aide du chiffrement SSE-KMS au lieu du cryptage SSE-S3. La valeur par défaut est **Activé**. Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, voir [Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Pour plus d'informations sur SSE-S3, consultez [Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).

      **Si vous activez le chiffrement SSE-KMS, sélectionnez **Nouveau** ou Existant.** AWS KMS key Dans **AWS KMS Alias**, spécifiez un alias au format `alias/`*MyAliasName*. Pour plus d'informations, consultez[Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
**Note**  
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). La politique de clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et digérer les fichiers, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour plus d'informations sur la modification manuelle de la politique de clés, consultez la page [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).

   1. Dans **Activer la validation du fichier journal**, choisissez **Oui** pour que les fichiers de valeur de hachage des journaux soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).

   1. Pour l'**envoi de notifications SNS**, choisissez **Enabled** pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaque événement. Pour plus d'informations, consultez [Configuration des notifications Amazon SNS pour CloudTrail](configure-sns-notifications-for-cloudtrail.md).

      Si vous activez les notifications SNS, pour **Créer une nouvelle rubrique SNS**, choisissez **Nouveau** pour créer une rubrique, ou **Existant**, pour utiliser une rubrique existante. Si vous créez un suivi multirégional, les notifications SNS pour les livraisons de fichiers journaux provenant de toutes les régions activées sont envoyées à la rubrique SNS unique que vous créez.

      Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez **Existant**, choisissez une rubrique SNS dans la liste déroulante. Vous pouvez également saisir l'ARN d'une rubrique provenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plus d'informations, consultez [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md).

      Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement pour pouvoir utiliser une file d'attente Amazon SQS afin de gérer les notifications par programmation. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) dans le *Guide du développeur Amazon Simple Notification Service*.

1. Dans **CloudWatch Logs**, choisissez **Modifier pour modifier** les paramètres d'envoi des fichiers CloudTrail CloudWatch journaux vers Logs. Choisissez **Activé** dans **CloudWatch les journaux** pour activer l'envoi de fichiers journaux. Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).

   1. Si vous activez l'intégration aux CloudWatch journaux, choisissez **Nouveau** pour créer un nouveau groupe de journaux, ou **Existant** pour utiliser un groupe existant. Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.

   1. Si vous choisissez **Existant**, choisissez un groupe de journaux dans la liste déroulante.

   1. Choisissez **Nouveau** pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir **Existant** pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez **Document de politique**. Pour plus d'informations sur ce rôle, consultez [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Note**  
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.

1. Dans **Balises**, choisissez **Modifier** pour modifier, ajouter ou supprimer des identifications dans le journal de suivi. Vous pouvez ajouter jusqu'à 50 paires de clés pour identifier, trier et contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser des groupes de ressources pour vos CloudTrail ressources. Pour plus d’informations, consultez [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) et [Étiquettes](cloudtrail-concepts.md#cloudtrail-concepts-tags).

1. Dans **Événements de gestion**, choisissez **Modifier** pour modifier les paramètres de journalisation des événements de gestion.

   1. Pour **Activité d'API**, choisissez si vous souhaitez que votre journal d'activité journalise les événements **Lire**, **Écrire** ou les deux. Pour de plus amples informations, veuillez consulter [Événements de gestion](logging-management-events-with-cloudtrail.md#logging-management-events).

   1. Choisissez **Exclure les AWS KMS événements** pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les événements AWS KMS .

      L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

      AWS KMS des actions telles que `Encrypt``Decrypt`, et génèrent `GenerateDataKey` généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements **Lecture**. Les AWS KMS actions pertinentes à faible volume telles que `Disable``Delete`, et `ScheduleKey` (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'**écriture**.

      Pour exclure les événements de volume important tels que `Encrypt`, `Decrypt` et `GenerateDataKey`, tout en continuant de journaliser les événements pertinents tels que `Disable`, `Delete` et `ScheduleKey`, choisissez de journaliser les événements de gestion **Écriture** et effacez la case à cocher pour **Exclure les événements AWS KMS **.

   1. Choisissez **Exclure les événements API de données Amazon RDS** pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez [Journalisation des appels d’API de données avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) dans le *Guide de l’utilisateur Amazon RDS pour Aurora*.

1. 
**Important**  
Les étapes 7 à 11 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, qui sont la valeur par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de [types d'événements de données](logging-data-events-with-cloudtrail.md#logging-data-events) et de contrôler avec précision les événements de données capturés par votre journal de suivi. Si vous prévoyez de consigner les événements liés à l'activité du réseau, vous devez utiliser des sélecteurs d'événements avancés. Si vous utilisez des sélecteurs d'événements de base, veuillez consulter [Mettre à jour les paramètres d'événements de données à l'aide de sélecteurs d'événements de base](#cloudtrail-update-basic-event-selectors-console), puis revenez à l'étape 12 de cette procédure. 

   Dans **Événements de données**, choisissez **Modifier** pour modifier les paramètres de journalisation des événements de données. Par défaut, les journaux de suivi ne journalisent pas les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour la tarification de CloudTrail, consultez [Tarification d'AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

   Pour **Type de ressource**, choisissez le type de ressource sur lequel vous souhaitez enregistrer les événements de données. Pour plus d'informations sur les types de ressources disponibles, consultez[Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events).

1. Choisissez un modèle de sélecteur de journaux. Vous pouvez choisir un modèle prédéfini ou choisir **Personnalisé** pour définir vos propres conditions de collecte d'événements.

   Vous pouvez choisir parmi les modèles prédéfinis suivants :
   + **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
   + **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
   + **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour consigner uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
   + **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
   + **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
**Note**  
Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité liée aux événements de données effectuée par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.  
Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Il ne va pas journaliser les d'événements de données pour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS .  
Si vous créez un journal multirégional, le choix d'un modèle prédéfini pour les fonctions Lambda permet de consigner les événements de données pour toutes les fonctions actuellement présentes dans AWS votre compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous avez terminé de créer le journal. Si vous créez un suivi pour une seule région (à l'aide du AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.  
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectués par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**

1. Si vous avez sélectionné **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**  
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.

   1. Choisissez parmi les options suivantes.
      + **`readOnly`**- `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements `Get*` ou `Describe*`. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour journaliser les deux événements `read` et `write`, n'ajoutez pas de sélecteur `readOnly`.
      + **`eventName`** - `eventName` peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que `PutBucket``GetItem`, ou`GetSnapshotBlock`.
      + **`eventSource`**— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.
      + **eventType** : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente `AwsServiceEvent` pour** l'exclure[Service AWS événements](non-api-aws-service-events.md). Pour une liste des types d'événements, voir [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
      + **sessionCredentialFromConsole** — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
      + **userIdentity.arn** : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
      + **`resources.ARN`**- Vous pouvez utiliser n'importe quel opérateur`resources.ARN`, mais si vous utilisez **égal** ou **non**, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de`resources.type`.
**Note**  
Vous ne pouvez pas utiliser le `resources.ARN` champ pour filtrer les types de ressources qui n'en ont pas ARNs.

        Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section [Actions, ressources et clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.

   1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur **Resources.ARN**, définir l'opérateur pour **ne commence pas par**, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.

      Pour ajouter le deuxième compartiment S3, choisissez **\$1 Conditions**, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.

      Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**  
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

   1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.

1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**. Répétez les étapes 3 à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.

1. Dans **Événements d'activité réseau**, choisissez **Modifier pour modifier** les paramètres de journalisation des événements d'activité réseau. Par défaut, les sentiers n'enregistrent pas les événements liés à l'activité du réseau. Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité du réseau. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

   Pour enregistrer les événements liés à l'activité du réseau, procédez comme suit :

   1. Dans **Source des événements d'activité réseau**, choisissez la source des événements d'activité réseau.

   1. Dans **Modèle de sélecteur de journaux**, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir **Personnaliser** pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que `eventName` et`vpcEndpointId`.

   1. (Facultatif) Entrez un nom pour identifier le sélecteur. **Le nom du sélecteur est répertorié sous la forme **Nom** dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.**

   1. Dans les **sélecteurs d'événements avancés, les sélecteurs** créent des expressions en choisissant des valeurs pour **Champ**, **Opérateur** et **Valeur**. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

      1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.
         + **`eventName`**— Vous pouvez utiliser n'importe quel opérateur avec`eventName`. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel que`CreateKey`.
         + **`errorCode`**— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge `errorCode` est`VpceAccessDenied`.
         +  **`vpcEndpointId`**— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec`vpcEndpointId`. 

      1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. 

      1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. 

   1. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez **Ajouter un sélecteur d'événements d'activité réseau**.

   1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

1. Dans **Événements Insights**, choisissez **Modifier** si vous souhaitez que votre journal enregistre les événements CloudTrail Insights.

   Dans **Type d’événement**, sélectionnez **Événements Insights**. 

    Dans **Événements Insights**, choisissez **Taux d’appels d’API**,**Taux d’erreurs d’API**, ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.

   CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md). Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

   Les événements Insights sont transmis à un dossier différent nommé `/CloudTrail-Insight` dans le même compartiment S3 qui est spécifié dans la zone **Emplacement de stockage** de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`, le nom du compartiment S3 avec un nouveau préfixe se nommera `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.

1. Une fois que vous avez terminé de modifier les paramètres sur votre journal de suivi, choisissez **Mettre à jour le journal d’activité**.

## Mettre à jour les paramètres d'événements de données à l'aide de sélecteurs d'événements de base
<a name="cloudtrail-update-basic-event-selectors-console"></a>

Vous pouvez utiliser des sélecteurs d'événements avancés pour configurer tous les types d'événements de données ainsi que les événements liés à l'activité du réseau. Les sélecteurs d'événements avancés vous permettent de créer des sélecteurs précis pour enregistrer uniquement les événements qui vous intéressent.

Si vous utilisez des sélecteurs d'événements de base pour enregistrer des événements de données, vous êtes limité à la journalisation des événements de données pour les compartiments, les AWS Lambda fonctions et les tables Amazon DynamoDB d'Amazon S3. Vous ne pouvez pas filtrer sur le `eventName` terrain à l'aide de sélecteurs d'événements de base. Vous ne pouvez pas non plus enregistrer les [événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md).

![\[Sélecteurs d'événements de base pour les événements de données sur un journal de suivi\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)


Utilisez la procédure suivante afin de configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base.

1. Dans **Événements de données**, choisissez **Modifier** pour modifier les paramètres de journalisation des événements de données. Avec les sélecteurs d'événements de base, vous pouvez spécifier des événements de données de journalisation pour les compartiments Amazon S3, AWS Lambda les fonctions, Dynamo DBtables ou une combinaison de ces ressources. Les types de ressources d'événements de données supplémentaires sont pris en charge par des sélecteurs d'événements avancés. Par défaut, les journaux de suivi ne journalisent pas les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour de plus amples informations, veuillez consulter [Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events). Pour la tarification de CloudTrail, consultez [Tarification d'AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

   Pour les compartiments Amazon S3 : 

   1. Pour **Data event source** (Source d'événements de données), choisissez **S3**.

   1. Il est possible de choisir de journaliser **Tous les compartiments S3 actuels et futurs** ou de spécifier des compartiments ou fonctions individuels. Par défaut, les événements de données sont journalisés pour tous les compartiments S3 actuels et futurs.
**Note**  
Le maintien de l'option par défaut **Tous les compartiments S3 actuels et futurs** active la journalisation des événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois que vous avez terminé de créer le journal. Il permet également de consigner l'activité liée aux événements de données effectuée par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.  
Si le journal de suivi s’applique à une seule région, le fait de choisir l’option **Sélectionner tous les compartiments S3 de votre compte** permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.

   1. Si vous laissez l’option par défaut, **Tous les compartiments S3 actuels et futurs**, choisissez de journaliser les événements de **lecture**, les événements d’**écriture**, ou les deux.

   1. Pour sélectionner des compartiments individuels, il convient de vider les boîtes de dialogue **Lecture** et **Écriture** pour **Tous les compartiments S3 actuels et futurs**. Dans **Sélection du compartiment individuel**, recherchez un compartiment sur lequel journaliser les événements de données. Pour rechercher des compartiments spécifiques, tapez un préfixe de compartiment pour le compartiment souhaité. Il est possible de sélectionner plusieurs compartiments dans cette fenêtre. Choisissez **Ajouter un compartiment** pour journaliser les événements de données pour d’autres compartiments. Choisissez de journaliser les événements **Lecture** tels que `GetObject`, les événements **Écriture** tels que `PutObject`, ou les deux.

      Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les compartiments individuels. Par exemple, si vous spécifiez la journalisation des événements **Read (Lecture)** pour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour la journalisation des événements de données, **Read (Lecture)** est déjà sélectionné pour le compartiment que vous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurer l’option pour **Écriture**.

      Pour supprimer un compartiment de la journalisation, choisissez **X**.

1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**.

1. Pour les fonctions Lambda :

   1. Pour **Data event source** (Source d'événement de données), choisissez **Lambda**.

   1. Dans **Fonction Lambda**, choisissez **Toutes les régions** pour journaliser toutes les fonctions Lambda, ou **Fonction d’entrée en tant qu’ARN**, pour consigner les événements de données sur une fonction spécifique. 

      Pour enregistrer les événements de données relatifs à toutes les fonctions Lambda de votre AWS compte, sélectionnez **Enregistrer toutes les fonctions actuelles et futures.** Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les fonctions individuelles. Toutes les fonctions sont journalisées, même si elles ne sont pas toutes affichées.
**Note**  
Si vous créez un suivi multirégional, cette sélection active la journalisation des événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous aurez fini de créer le journal. Si vous créez un suivi pour une seule région (à l'aide du AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.  
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectués par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

   1. Si vous choisissez **Fonction d’entrée en tant qu’ARN**, saisissez l’ARN d’une fonction Lambda.
**Note**  
Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Vous pouvez toujours sélectionner l’option de journalisation de toutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez journaliser les événements de données de fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous connaissez son ARN. Vous pouvez également terminer la création du journal de suivi dans la console, puis utiliser la AWS CLI et la commande **put-event-selectors** afin de configurer la journalisation d'événements de données pour des fonctions Lambda spécifiques. Pour de plus amples informations, veuillez consulter [Gérer les sentiers à l'aide du AWS CLI](cloudtrail-additional-cli-commands.md).

1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**.

1. Pour les tables DynamoDB :

   1. Pour **Data event source** (Source d'événement de données), choisissez **DynamoDB**.

   1. Dans **DynamoDB table selection (Sélection d'une table DynamoDB)**, choisissez **Browse (Parcourir)** pour sélectionner une table ou coller dans l'ARN d'une table DynamoDB à laquelle vous avez accès. Un ARN de table DynamoDB se présente sous le format suivant :

      ```
      arn:partition:dynamodb:region:account_ID:table/table_name
      ```

      Pour ajouter une autre table, choisissez **Ajouter une ligne**, puis recherchez un tableau ou collez dans l’ARN d’une table à laquelle vous avez accès.

1. Pour configurer les événements Insights et d’autres paramètres pour votre piste, revenez à la procédure précédente dans cette rubrique, [Mettre à jour un parcours avec la CloudTrail console](#cloudtrail-update-a-trail-console).

# Supprimer une trace à l'aide de la CloudTrail console
<a name="cloudtrail-delete-trails-console"></a>

Vous pouvez supprimer des pistes à l'aide de la CloudTrail console. Si le compte de gestion ou le compte d'administrateur délégué d'une organisation supprime un journal de suivi de l'organisation, le journal est supprimé de tous les comptes membres de l'organisation.

**Important**  
 Bien que la suppression d'un suivi soit une action irréversible, CloudTrail elle ne supprime pas les fichiers journaux du compartiment Amazon S3 associé à ce suivi, du compartiment Amazon S3 lui-même ou du groupe de journaux auquel le CloudWatch journal transmet les événements. CloudTrail La suppression d'un parcours multirégional arrêtera l'enregistrement des événements dans toutes les AWS régions activées dans votre Compte AWS. La suppression d'un suivi d'une seule région arrêtera l'enregistrement des événements dans cette région uniquement. Cela n'empêchera pas l'enregistrement des événements dans d'autres régions, même si les sentiers de ces autres régions portent des noms identiques à ceux du parcours supprimé.   
Pour plus d'informations sur la fermeture du compte et la suppression des CloudTrail pistes, consultez[Compte AWS fermeture et sentiers](cloudtrail-account-closure.md).

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les `read` événements de gestion et les événements `write` de gestion. Vous ne pouvez pas supprimer une piste si c'est la seule qui répond à cette exigence, sauf si vous désactivez les événements CloudTrail de gestion dans Security Lake.

**Pour supprimer une trace à l'aide de la CloudTrail console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Ouvrez la page **Trails** de la CloudTrail console.

1. Choisissez le nom du journal de suivi.

1. En haut de la page des détails du journal de suivi, choisissez **Delete** (Supprimer).

1. Lorsque vous êtes invité à confirmer la suppression, choisissez **Delete** (Supprimer) pour supprimer le journal de suivi de manière définitive. Le journal de suivi sera supprimé de la liste des journaux de suivi pour la région. Les fichiers journaux qui ont déjà été envoyés au compartiment Amazon S3 ne sont pas supprimés et continuent d'entraîner des frais S3.
**Note**  
Le contenu livré aux compartiments Amazon S3 peut contenir du contenu client. Pour plus d'informations sur la suppression de données sensibles, consultez les sections [Vidage d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) et [Suppression d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) dans le *guide de l'utilisateur Amazon S3*.

# Désactivation de la journalisation pour un journal d'activité
<a name="cloudtrail-turning-off-logging"></a>

Lorsque vous créez un journal d’activité, la journalisation est activée automatiquement. Vous pouvez désactiver la journalisation d'un parcours depuis la page de détails du parcours.

**Note**  
Lorsque vous désactivez la journalisation, les journaux existants sont toujours stockés dans le compartiment Amazon S3 pour le suivi et continuent d'entraîner des frais S3. Pour plus d'informations sur la tarification de S3, consultez la section [Tarification d'Amazon S3](https://aws.amazon.com/s3/pricing/).

**Livraison d'événements après l'arrêt de la journalisation**  
Une fois que vous avez désactivé la journalisation pour un parcours, celui-ci peut toujours recevoir des événements survenus avant la désactivation de l'enregistrement. Les événements peuvent être retardés pour diverses raisons, notamment un trafic réseau élevé, des problèmes de connectivité, une panne de service ou des mises à jour d'événements existants. CloudTrail utilise l'heure la plus récente à laquelle la journalisation a été désactivée pour déterminer s'il convient de transmettre des événements différés, plutôt que l'état de journalisation du suivi au moment où l'événement s'est produit. Par conséquent, les événements différés survenus avant la dernière interruption de l'exploitation forestière peuvent toujours être répercutés sur le sentier. Pour plus d'informations sur le report de la livraison d'un événement, consultez le `addendum` champ dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).  
En outre, les sélecteurs d'événements et les sélecteurs d'événements avancés ne sont pas évalués pour détecter les événements différés transmis à un parcours une fois la journalisation désactivée. Cela signifie qu'un sentier peut recevoir tout type d'événement survenu avant la désactivation de la journalisation, quelle que soit la configuration du sélecteur d'événements du sentier.

**Pour désactiver la journalisation d'un parcours à l'aide de la CloudTrail console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Dans le panneau de navigation de gauche, choisissez **Trails** (Journaux d'activité), puis le nom du journal d'activité.

1. En haut de la page détaillée du journal d'activité, choisissez **Stop logging** (Arrêter la journalisation) pour désactiver la journalisation du journal d'activité.

1. Lorsque vous êtes invité à confirmer, choisissez **Arrêter la journalisation**. CloudTrailarrête l'activité d'enregistrement pour ce sentier.

1. Pour reprendre la journalisation pour ce journal d'activité, choisissez **Start logging** (Démarrer la journalisation) sur la page de configuration du journal d'activité.

# Création, mise à jour et gestion de sentiers à l'aide du AWS CLI
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli"></a>

Vous pouvez utiliser le AWS CLI pour créer, mettre à jour et gérer vos sentiers. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre **--region** avec la commande.

**Note**  
Vous avez besoin des outils de ligne de AWS commande pour exécuter les commandes AWS Command Line Interface (AWS CLI) décrites dans cette rubrique. Assurez-vous d'avoir AWS CLI installé une version récente du. Pour plus d’informations, consultez le [Guide de l’utilisateur AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/). Pour obtenir de l'aide CloudTrail concernant les commandes en ligne de AWS CLI commande, tapez`aws cloudtrail help`.

## Commandes généralement utilisées pour la création, la gestion et l'état d'un journal de suivi
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-options"></a>

Parmi les commandes les plus couramment utilisées pour créer et mettre à jour des sentiers, CloudTrail citons : 
+ **[create-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md)** pour créer un journal de suivi.
+ **[update-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)** pour modifier la configuration d'un journal de suivi existant.
+ **[add-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-add-tag)** pour ajouter une ou plusieurs identifications (paires clé-valeur) à un journal de suivi existant.
+ **[remove-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-remove-tag)** pour supprimer une ou plusieurs identifications d'un journal de suivi.
+ **[list-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-list-tags)** pour renvoyer une liste des identifications associées à un journal de suivi.
+ **[put-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** pour ajouter ou modifier des sélecteurs d'événements pour un journal de suivi.
+ **[put-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html)** pour ajouter ou modifier des sélecteurs d'événements Insights pour un journal de suivi existant, et activer ou désactiver les événements Insights.
+ **[start-logging](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging)** pour commencer la journalisation des événements avec votre journal de suivi.
+ **[stop-logging](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)** pour interrompre la journalisation des événements avec votre journal de suivi.
+ **[delete-trail](cloudtrail-additional-cli-commands.md#cloudtrail-delete-trail-cli)** pour supprimer un journal de suivi. Cette commande ne supprime pas le compartiment Amazon S3 qui contient les fichiers journaux pour ce journal de suivi, le cas échéant.
+ **[describe-trails](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)**pour renvoyer des informations sur les sentiers d'une AWS région.
+ **[get-trail](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** pour renvoyer les informations sur les paramètres d'un journal de suivi.
+ **[get-trail-status](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** pour renvoyer des informations sur l’état actuel d’un journal de suivi.
+ **[get-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** pour renvoyer des informations sur les sélecteurs d'événements configurés pour un journal de suivi.
+ **[get-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html)** pour renvoyer des informations sur les sélecteurs d'événements Insights configurés pour un journal de suivi.

### Les commandes prises en charge pour la création et la mise à jour de journaux de suivi: create-trail et update-trail
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-ctut"></a>

Les commandes `create-trail` et `update-trail` offrent une variété de fonctionnalités pour la création et la gestion des journaux de suivi, y compris:
+ Créer un journal de suivi qui reçoit des journaux entre les régions, ou mettre à jour un journal de suivi avec l'option `--is-multi-region-trail`. Dans la plupart des cas, vous devez créer des sentiers qui enregistrent les événements dans toutes les AWS régions.
+ Création d'un journal qui reçoit les journaux de tous les AWS comptes d'une organisation avec l'**--is-organization-trail**option.
+ Convertir un journal de suivi multi-régions en un journal suivi à région unique avec l'option `--no-is-multi-region-trail`.
+ Activer ou désactiver le chiffrement des fichiers journaux avec l’option `--kms-key-id`. L'option indique une AWS KMS clé que vous avez déjà créée et à laquelle vous avez attaché une politique qui permet CloudTrail de chiffrer vos journaux. Pour de plus amples informations, veuillez consulter [Activation et désactivation du chiffrement pour les fichiers CloudTrail journaux, les fichiers condensés et les banques de données d'événements à l'aide du AWS CLI](cloudtrail-log-file-encryption-cli.md).
+ Activer ou désactiver la validation de fichiers journaux avec les options `--no-enable-log-file-validation` et `--enable-log-file-validation`. Pour de plus amples informations, veuillez consulter [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).
+ Spécification d'un groupe de CloudWatch journaux et d'un rôle CloudTrail permettant de transmettre des événements à un groupe de CloudWatch journaux de journaux. Pour de plus amples informations, veuillez consulter [Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).

### Commandes obsolètes: create-subscription et update-subscription
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-subs"></a>

**Important**  
Les commandes `create-subscription` et `update-subscription` ont été utilisées pour créer et mettre à jour des journaux de suivi, mais sont obsolètes. N’utilisez pas ces commandes. Elles n'offrent pas de fonctionnalités complètes pour la création et la gestion des journaux de suivi.  
Si vous avez configuré une automatisation qui utilise une ou deux de ces commandes, nous vous recommandons de mettre à jour votre code ou vos scripts pour utiliser les commandes prises en charge, par exemple **create-trail**.

# Utilisation de la `create-trail` commande pour créer un parcours
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail"></a>

Vous pouvez utiliser la commande `create-trail` pour créer des journaux de suivi qui sont spécifiquement configurés pour répondre aux besoins de votre entreprise. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre **--region** avec la commande.

## Création d'un sentier multirégional
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-mrt"></a>

Un parcours peut être appliqué à toutes Régions AWS les zones [activées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) dans votre Compte AWS région ou peut être appliqué à une seule région. Un parcours qui s'applique à tous ceux Régions AWS qui sont activés dans votre compte Compte AWS est appelé *parcours multirégional*. À titre de bonne pratique, nous vous recommandons de créer un parcours multirégional, car il capture l'activité dans toutes les régions activées.

Pour créer un parcours multirégional, utilisez l'`--is-multi-region-trail`option. Par défaut, la commande `create-trail` crée un journal de suivi qui journalise les événements uniquement dans la région AWS dans laquelle le journal de suivi a été créé. Pour vous assurer de consigner les événements de service mondiaux et de capturer toutes les activités liées à la gestion des événements dans votre AWS compte, vous devez créer des traces qui enregistrent les événements dans toutes les AWS régions.

**Note**  
Lorsque vous créez un suivi, si vous spécifiez un compartiment Amazon S3 qui n'a pas été créé avec CloudTrail, vous devez joindre la politique appropriée. Consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

L'exemple suivant crée un suivi multirégional avec le nom *my-trail* et une balise avec une clé nommée *Group* avec la valeur de *Marketing* qui transmet les journaux de toutes les régions activées de votre compte à un compartiment existant nommé*amzn-s3-demo-bucket*.

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```

Pour confirmer que votre parcours est multirégional, vérifiez que l'`IsMultiRegionTrail`élément affiché dans la sortie s'affiche`true`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

**Note**  
Utilisez la commande `start-logging` pour démarrer la journalisation pour votre journal de suivi.

## Démarrer la journalisation pour le journal de suivi
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging"></a>

Une fois la commande `create-trail` terminée, exécutez la commande `start-logging` pour démarrer la journalisation pour ce journal de suivi.

**Note**  
Lorsque vous créez un parcours avec la CloudTrail console, la journalisation est automatiquement activée.

L'exemple suivant démarre la journalisation pour un journal de suivi.

```
aws cloudtrail start-logging --name my-trail
```

Cette commande ne renvoie pas de résultat, mais vous pouvez utiliser la commande `get-trail-status` pour vérifier que la journalisation a démarré.

```
aws cloudtrail get-trail-status --name my-trail
```

Afin de confirmer que le journal de suivi réalise la journalisation, l'élément `IsLogging` dans le résultat affiche `true`.

```
{
    "LatestDeliveryTime": 1441139757.497,
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
    "IsLogging": true,
    "TimeLoggingStarted": "2015-09-01T00:54:02Z",
    "StartLoggingTime": 1441068842.76,
    "LatestDigestDeliveryTime": 1441140723.629,
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
    "TimeLoggingStopped": ""
}
```

## Créer un journal de suivi à région unique
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single"></a>

La commande suivante crée un journal de suivi à région unique. Le compartiment Amazon S3 spécifié doit déjà exister et les CloudTrail autorisations appropriées doivent être appliquées. Pour de plus amples informations, veuillez consulter [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```

Voici un exemple de sortie.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## Création d'un journal multirégional sur lequel la validation du fichier journal est activée
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-mrtlfi"></a>

Pour activer la validation du fichier journal lorsque vous utilisez `create-trail`, utilisez l’option `--enable-log-file-validation`.

Pour plus d’informations sur la validation de fichiers journaux, consultez [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).

L'exemple suivant crée un suivi multirégional qui fournit des journaux au compartiment spécifié. La commande utilise l’option `--enable-log-file-validation`. 

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```

Afin de confirmer que la validation de fichiers journaux est activée, l’élément `LogFileValidationEnabled` dans le résultat affiche `true`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

# Utilisation de la `update-trail` commande pour mettre à jour un parcours
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail"></a>

**Important**  
Depuis le 22 novembre 2021, la façon dont les sentiers capturent les événements liés au service mondial AWS CloudTrail a changé. Désormais, les événements créés par Amazon CloudFront AWS STS sont enregistrés dans la région dans laquelle ils ont été créés, la région USA Est (Virginie du Nord), us-east-1. Gestion des identités et des accès AWS Cela rend le CloudTrail traitement de ces services cohérent avec celui des autres services AWS mondiaux. Pour continuer à recevoir les événements de service global en dehors des USA Est (Virginie du Nord), veillez à convertir les *journaux de suivi à région unique* utilisant des événements de services mondiaux en dehors des USA Est (Virginie du Nord) en *journaux de suivi multi-régions*. Pour plus d’informations sur la capture des événements de services mondiaux, consultez [Activation et désactivation de la journalisation des événements de services mondiaux](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses) plus loin dans cette section.  
 En revanche, l'**historique des événements** de la CloudTrail console et la **aws cloudtrail lookup-events** commande afficheront ces événements Région AWS là où ils se sont produits.

Vous pouvez utiliser la commande `update-trail` pour modifier les paramètres de configuration d’un journal de suivi. Vous pouvez également utiliser les commandes **add-tags** et **remove-tags** pour ajouter et supprimer les identifications pour un journal de suivi. Vous ne pouvez mettre à jour les sentiers que depuis la AWS région où ils ont été créés (sa région d'origine). Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre **--region** avec la commande.

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les `read` événements de gestion et les événements `write` de gestion. Vous ne pouvez pas mettre à jour un journal de suivi éligible de telle sorte qu'il ne réponde pas aux exigences de Security Lake. Par exemple, en modifiant le journal de suivi pour qu’il s’applique à une région unique ou en désactivant la journalisation des événements de gestion `read` et `write`.

**Note**  
Si vous utilisez le AWS CLI ou l'un des AWS SDKs pour modifier un parcours, assurez-vous que la politique relative aux compartiments du parcours est la même up-to-date. Pour que votre bucket reçoive automatiquement les événements d'un nouveau Région AWS, la politique doit contenir le nom complet du service,`cloudtrail.amazonaws.com`. Pour de plus amples informations, veuillez consulter [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

**Topics**
+ [Conversion d'un sentier à région unique en un sentier multirégional](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [Convertir un journal de suivi multi-régions à un journal de suivi à région unique](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [Activation et désactivation de la journalisation des événements de services mondiaux](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [Activer la validation du fichier journal](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [Désactiver la validation du fichier journal](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)

## Conversion d'un sentier à région unique en un sentier multirégional
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert"></a>

Pour transformer un parcours unirégional existant en un sentier multirégional, utilisez l'`--is-multi-region-trail`option.

```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```

Pour confirmer que le parcours est désormais un parcours multirégional, vérifiez que l'`IsMultiRegionTrail`élément de la sortie s'affiche`true`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## Convertir un journal de suivi multi-régions à un journal de suivi à région unique
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce"></a>

Pour modifier un journal de suivi multi-régions existant afin qu'il s'applique uniquement à la région dans laquelle il a été créé, utilisez l'option `--no-is-multi-region-trail`. 

```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```

Afin de confirmer que le journal de suivi s'applique maintenant à une seule région, l'élément `IsMultiRegionTrail` dans le résultat affiche `false`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## Activation et désactivation de la journalisation des événements de services mondiaux
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses"></a>

Pour modifier un journal de suivi afin qu'il ne journalise pas les événements de services mondiaux, utilisez l'option `--no-include-global-service-events`. 

```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```

Pour confirmer que le journal de suivi ne journaliser plus d'événements de services mondiaux, l'élément `IncludeGlobalServiceEvents` dans le résultat indique `false`.

```
{
    "IncludeGlobalServiceEvents": false,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Pour modifier un journal de suivi afin qu'il journalise les événements de services mondiaux, utilisez l'option `--include-global-service-events`.

Les journaux de suivi à région unique ne recevront plus d'événements de services mondiaux à partir du 22 novembre 2021, sauf si le journal de suivi apparaît déjà dans la région USA Est (Virginie du Nord), us-east-1. Pour continuer à capturer les événements de services mondiaux, mettez à jour la configuration du journal de suivi en un journal de suivi multi-régions. Par exemple, cette commande met à jour un journal de suivi à région unique dans USA Est (Ohio), us-east-2, en un journal de suivi multi-régions. *myExistingSingleRegionTrailWithGSE*Remplacez-le par le nom de piste approprié à votre configuration.

```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```

Étant donné que les activités de services mondiaux ne sont disponibles dans la région USA Est (Virginie du Nord) qu'à partir du 22 novembre 2021, vous pouvez également créer un journal de suivi à région unique pour vous abonner aux activités de services mondiaux dans la région USA Est (Virginie du Nord), us-east-1. La commande suivante crée un suivi régional unique dans us-east-1 pour la réception, l'IAM et les CloudFront événements : AWS STS 

```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```

## Activer la validation du fichier journal
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi"></a>

Pour activer la validation du fichier journal pour un journal de suivi, utilisez l'option `--enable-log-file-validation`. Les fichiers de valeur de hachage sont livrés au compartiment Amazon S3 pour ce journal de suivi.

```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```

Afin de confirmer que la validation de fichiers journaux est activée, l’élément `LogFileValidationEnabled` dans le résultat affiche `true`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": true,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## Désactiver la validation du fichier journal
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable"></a>

Pour désactiver la validation du fichier journal pour un journal de suivi, utilisez l'option `--no-enable-log-file-validation`.

```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```

Afin de confirmer que la validation du fichier journal est désactivée, l’élément `LogFileValidationEnabled` dans le résultat affiche `false`.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Pour valider les fichiers journaux à l'aide du AWS CLI, voir[Validation de l'intégrité du fichier CloudTrail journal à l'aide du AWS CLI](cloudtrail-log-file-validation-cli.md).

# Gérer les sentiers à l'aide du AWS CLI
<a name="cloudtrail-additional-cli-commands"></a>

 AWS CLI Il inclut plusieurs autres commandes qui vous aident à gérer vos sentiers. Ces commandes ajoutent des identifications aux journaux de suivi pour obtenir le statut du journal de suivi, démarrer et arrêter la journalisation pour les journaux de suivi et supprimer un journal de suivi. Vous devez exécuter ces commandes depuis la même AWS région où le parcours a été créé (sa région d'origine). Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre **--region** avec la commande.

**Topics**
+ [Ajouter une ou plusieurs identifications à un journal de suivi](#cloudtrail-additional-cli-commands-add-tag)
+ [Liste des identifications pour un ou plusieurs journaux de suivi](#cloudtrail-additional-cli-commands-list-tags)
+ [Supprimer une ou plusieurs identifications à partir d'un journal de suivi](#cloudtrail-additional-cli-commands-remove-tag)
+ [Récupération des paramètres et de l'état d'un journal de suivi](#cloudtrail-additional-cli-commands-retrieve)
+ [Configuration des sélecteurs d'événements CloudTrail Insights](#configuring-insights-selector)
+ [Configuration des sélecteurs d’événements avancés](#configuring-adv-event-selector-examples)
+ [Configuration des sélecteurs d'événements de base](#configuring-event-selector-examples)
+ [Arrêt et démarrage de la journalisation pour un journal de suivi](#cloudtrail-start-stop-logging-cli-commands)
+ [Suppression d’un journal de suivi](#cloudtrail-delete-trail-cli)

## Ajouter une ou plusieurs identifications à un journal de suivi
<a name="cloudtrail-additional-cli-commands-add-tag"></a>

Pour ajouter une ou plusieurs identifications à un journal de suivi existant, utilisez la commande **add-tags**.

L'exemple suivant ajoute une balise portant le nom *Owner* et la valeur de *Mary* à un parcours dont l'ARN est situé *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** dans la région USA Est (Ohio). 

```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```

Si elle aboutit, cette commande ne renvoie rien.

## Liste des identifications pour un ou plusieurs journaux de suivi
<a name="cloudtrail-additional-cli-commands-list-tags"></a>

Pour afficher les identifications associées à un ou plusieurs journaux de suivi existants, utilisez la commande **list-tags**.

L'exemple suivant répertorie les balises pour *Trail1* et*Trail2*.

```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```

Si elle aboutit, cette commande renvoie un résultat similaire à ce qui suit.

```
{
 "ResourceTagList": [
     {
         "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
         "TagsList": [
             {
                 "Value": "Alice",
                 "Key": "Name"
             },
             {
                 "Value": "Ohio",
                 "Key": "Location"
             }
         ]
     },
     {
         "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
         "TagsList": [
             {
                 "Value": "Bob",
                 "Key": "Name"
             }
         ]
     }
  ]
}
```

## Supprimer une ou plusieurs identifications à partir d'un journal de suivi
<a name="cloudtrail-additional-cli-commands-remove-tag"></a>

Pour supprimer une ou plusieurs identifications d'un journal de suivi existant, utilisez la commande **remove-tags**.

L'exemple suivant supprime les balises portant les noms *Location* et *Name* d'une trace portant l'ARN de *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** dans la région USA Est (Ohio). 

```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```

Si elle aboutit, cette commande ne renvoie rien.

## Récupération des paramètres et de l'état d'un journal de suivi
<a name="cloudtrail-additional-cli-commands-retrieve"></a>

Exécutez la `describe-trails` commande pour récupérer des informations sur les sentiers d'une AWS région. L'exemple suivant renvoie des informations sur les journaux de suivi configurés dans la région USA Est (Ohio).

```
aws cloudtrail describe-trails --region us-east-2
```

Si la commande aboutit, vous obtenez un résultat similaire à ce qui suit. 

```
{
  "trailList": [
    {
      "Name": "my-trail",
      "S3BucketName": "amzn-s3-demo-bucket1",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-2"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": false,
    },
    {
      "Name": "my-special-trail",
      "S3BucketName": "amzn-s3-demo-bucket2",
      "S3KeyPrefix": "example-prefix",
      "IncludeGlobalServiceEvents": false,
      "IsMultiRegionTrail": false,
      "HomeRegion": "us-east-2",
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": true,
      "IsOrganizationTrail": false
    },
    {
      "Name": "my-org-trail",
      "S3BucketName": "amzn-s3-demo-bucket3",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-1"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": true
    }
  ]
}
```

Utilisez la commande `get-trail` pour récupérer les informations sur les paramètres d'un journal de suivi spécifique. L'exemple suivant renvoie les informations relatives aux paramètres d'une piste nommée*my-trail*.

```
aws cloudtrail get-trail - -name my-trail
```

Si elle aboutit, cette commande renvoie un résultat similaire à ce qui suit.

```
{
   "Trail": {
      "Name": "my-trail",
      "S3BucketName": "amzn-s3-demo-bucket",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-2"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": false,
   }
}
```

Exécutez la commande `get-trail-status` pour récupérer l'état d'un journal de suivi. Vous devez exécuter cette commande depuis la AWS région dans laquelle elle a été créée (la région d'origine) ou vous devez spécifier cette région en ajoutant le **--region** paramètre.

**Note**  
Si le parcours est un parcours d'organisation et que vous êtes un compte membre de l'organisation dans AWS Organizations, vous devez fournir l'ARN complet de ce parcours, et pas seulement son nom.

```
aws cloudtrail get-trail-status --name my-trail
```

Si la commande aboutit, vous obtenez un résultat similaire à ce qui suit. 

```
{
    "LatestDeliveryTime": 1441139757.497,
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
    "IsLogging": true,
    "TimeLoggingStarted": "2015-09-01T00:54:02Z",
    "StartLoggingTime": 1441068842.76,
    "LatestDigestDeliveryTime": 1441140723.629,
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
    "TimeLoggingStopped": ""
}
```

Outre les champs affichés dans le code JSON précédent, l'état contient les champs suivants si des erreurs sont survenues dans Amazon SNS ou Amazon S3 : 
+ `LatestNotificationError`. Contient l'erreur émise par Amazon SNS en cas d'échec d'un abonnement à une rubrique.
+ `LatestDeliveryError`. Contient l'erreur émise par Amazon S3 en cas d' CloudTrail impossibilité de fournir un fichier journal à un compartiment.

## Configuration des sélecteurs d'événements CloudTrail Insights
<a name="configuring-insights-selector"></a>

Activez les événements Insights sur un journal de suivi en exécutant **put-insight-selectors**, et en spécifiant `ApiCallRateInsight`, `ApiErrorRateInsight`, ou les deux comme valeur de `InsightType` l'attribut . Pour afficher les paramètres du sélecteur Insights pour un journal de suivi, exécutez la commande `get-insight-selectors`. Vous devez exécuter cette commande depuis la AWS région où le parcours a été créé (la région d'origine) ou vous devez spécifier cette région en ajoutant le **--region** paramètre à la commande.

**Note**  
 Pour journaliser les événements Insights pour `ApiCallRateInsight`, le journal de suivi doit journaliser les événements de gestion `write`. Pour journaliser les événements Insights pour `ApiErrorRateInsight`, le journal de suivi doit journaliser les événements de gestion `read` ou `write`. 

### Exemple : un journal de suivi qui journalise les événements Insights
<a name="configuring-insights-selector-example"></a>

L'exemple suivant permet **put-insight-selectors** de créer un sélecteur d'événements Insights pour un parcours nommé*TrailName3*. Cela permet de collecter des événements Insights pour le *TrailName3* sentier. Le sélecteur d'événements Insights journalise les deux `ApiErrorRateInsight` et `ApiCallRateInsight`Types d'événements Insights.

```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```

L'exemple montre comment renvoyer le sélecteur d'événements Insights configuré pour le journal de suivi.

```
{
   "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
   "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```

### Exemple: désactiver la collecte d'événements Insights pour un journal de suivi
<a name="configuring-insights-selector-example2"></a>

L'exemple suivant permet **put-insight-selectors** de supprimer le sélecteur d'événements Insights pour un parcours nommé*TrailName3*. La suppression de la chaîne JSON des sélecteurs Insights désactive la collecte d'événements Insights pour le *TrailName3* trail.

```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```

L'exemple renvoie le sélecteur d'événement Insights maintenant vide configuré pour le journal de suivi.

```
{
   "InsightSelectors": [ ],
   "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```

## Configuration des sélecteurs d’événements avancés
<a name="configuring-adv-event-selector-examples"></a>

Vous pouvez utiliser des sélecteurs d'événements avancés pour consigner les [événements de gestion, les événements](logging-management-events-with-cloudtrail.md) de [données](logging-data-events-with-cloudtrail.md) pour tous les types de ressources et les [événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md). En revanche, vous pouvez utiliser des sélecteurs d'événements de base pour enregistrer les événements de gestion et les événements de données pour les types de `AWS::S3::Object` ressources `AWS::DynamoDB::Table``AWS::Lambda::Function`, et. Vous pouvez utiliser des sélecteurs d'événements de base ou des sélecteurs d'événements avancés, mais pas les deux. Si vous appliquez des sélecteurs d'événements avancés à un parcours utilisant des sélecteurs d'événements de base, les sélecteurs d'événements de base sont remplacés.

Pour convertir une piste en sélecteurs d'événements avancés, exécutez la **get-event-selectors** commande pour confirmer les sélecteurs d'événements actuels, puis configurez les sélecteurs d'événements avancés pour qu'ils correspondent à la couverture des sélecteurs d'événements précédents, puis ajoutez des sélecteurs supplémentaires.

Vous devez soit exécuter la `get-event-selectors` commande à partir de l' Région AWS endroit où le parcours a été créé (la région d'origine), soit spécifier cette région en ajoutant le **--region** paramètre.

```
aws cloudtrail get-event-selectors --trail-name TrailName
```

**Note**  
Si le sentier est un sentier organisé par une organisation et que vous êtes connecté avec un compte de membre de l'organisation en AWS Organizations, vous devez fournir l'ARN complet du sentier, et pas seulement son nom.

L'exemple suivant montre les paramètres d'un parcours qui utilise des sélecteurs d'événements avancés pour consigner les événements de gestion. Par défaut, un journal est configuré pour consigner tous les événements de gestion et aucun événement lié aux données ou à l'activité réseau.

```
{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]

        }
    ]
}
```

Pour créer un sélecteur d'événements avancés, exécutez la commande `put-event-selectors`. Lorsqu'un événement se produit dans votre compte, CloudTrail évalue la configuration de vos sentiers. Si l'événement correspond à un sélecteur d'événements avancé pour un journal de suivi, il est traité et journalisé par le journal de suivi. Vous pouvez configurer jusqu'à 500 conditions sur un journal de suivi, y compris toutes les valeurs spécifiées pour tous les sélecteurs d'événements avancés de votre journal de suivi. Pour plus d’informations, consultez [Journalisation des événements de données](logging-data-events-with-cloudtrail.md) et [Enregistrement des événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md).

**Topics**
+ [Exemple: journal de suivi avec sélecteurs d'événements spécifiques avancés](#configuring-adv-event-selector-specific)
+ [Exemple de parcours utilisant des sélecteurs d'événements avancés personnalisés pour enregistrer Amazon S3 sur les événements liés aux AWS Outposts données](#configuring-adv-event-selector-outposts)
+ [Exemple de parcours utilisant des sélecteurs d'événements avancés pour exclure AWS Key Management Service des événements](#configuring-adv-event-selector-exclude)
+ [Exemple de parcours utilisant des sélecteurs d'événements avancés pour exclure les événements de gestion de l'API Amazon RDS Data](#configuring-adv-event-selector-exclude-rds)

### Exemple: journal de suivi avec sélecteurs d'événements spécifiques avancés
<a name="configuring-adv-event-selector-specific"></a>

L'exemple suivant crée des sélecteurs d'événements avancés personnalisés pour un journal nommé de manière *TrailName* à inclure les événements de gestion de lecture et d'écriture (en omettant le `readOnly` sélecteur), `PutObject` ainsi que des événements de `DeleteObject` données pour toutes les combinaisons de compartiment et de préfixe Amazon S3 à l'exception d'un compartiment nommé`amzn-s3-demo-bucket`, des événements de données pour une AWS Lambda fonction nommée `MyLambdaFunction` et des événements d'activité réseau pour les événements de AWS KMS refus d'accès sur un point de terminaison VPC. Comme il s'agit de sélecteurs d'événements avancés personnalisés, chaque ensemble de sélecteurs a un nom descriptif. Notez qu'une barre oblique de fin fait partie de la valeur ARN pour les compartiments S3.

```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  },
  {
     "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
     "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["NetworkActivity"]},
       { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
       { "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
     ]
  }
]'
```

L’exemple renvoie le sélecteur d’événements avancés configuré pour le journal de suivi.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type",
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN",
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
    {
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type",
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName",
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN",
          "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
        }
      ]
    },
    {
       "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
       "FieldSelectors": [
         {
           "Field": "eventCategory",
           "Equals": ["NetworkActivity"]
         },
         {
           "Field": "eventSource",
           "Equals": ["kms.amazonaws.com"]
         },
         {
           "Field": "errorCode",
           "Equals": ["VpceAccessDenied"]
         }
       ]
     }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### Exemple de parcours utilisant des sélecteurs d'événements avancés personnalisés pour enregistrer Amazon S3 sur les événements liés aux AWS Outposts données
<a name="configuring-adv-event-selector-outposts"></a>

L'exemple suivant montre comment configurer votre parcours pour inclure tous les événements de données relatifs à tous les Amazon S3 relatifs aux AWS Outposts objets de votre avant-poste. Dans cette version, la valeur prise en charge pour S3 sur les AWS Outposts événements du `resources.type` champ est`AWS::S3Outposts::Object`.

```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'
```

La commande renvoie l’exemple de résultat suivant.

```
{
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
  "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```

### Exemple de parcours utilisant des sélecteurs d'événements avancés pour exclure AWS Key Management Service des événements
<a name="configuring-adv-event-selector-exclude"></a>

L'exemple suivant crée un sélecteur d'événements avancé pour un journal nommé *TrailName* pour inclure les événements de gestion en lecture seule et en écriture seule (en omettant le `readOnly` sélecteur), mais pour exclure () les événements. AWS Key Management Service AWS KMSÉtant donné que les AWS KMS événements sont traités comme des événements de gestion et qu'ils peuvent être nombreux, ils peuvent avoir un impact important sur votre CloudTrail facture si vous disposez de plusieurs pistes qui enregistrent les événements de gestion. 

Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

Pour recommencer à enregistrer AWS KMS des événements dans un journal, supprimez le `eventSource` sélecteur et réexécutez la commande.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'
```

L’exemple renvoie le sélecteur d’événements avancés configuré pour le journal de suivi.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource",
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

Pour redémarrer la journalisation des événements exclus dans un journal de suivi, supprimez le sélecteur `eventSource`, comme indiqué dans la commande suivante.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'
```

### Exemple de parcours utilisant des sélecteurs d'événements avancés pour exclure les événements de gestion de l'API Amazon RDS Data
<a name="configuring-adv-event-selector-exclude-rds"></a>

L'exemple suivant crée un sélecteur d'événements avancé pour un journal nommé de manière *TrailName* à inclure les événements de gestion en lecture seule et en écriture seule (en omettant le `readOnly` sélecteur), mais pour exclure les événements de gestion de l'API Amazon RDS Data. Pour exclure les événements de gestion de l'API Amazon RDS Data, spécifiez la source de l'événement Amazon RDS Data API dans la valeur de chaîne du `eventSource` champ :. `rdsdata.amazonaws.com`

Si vous choisissez de ne pas enregistrer les événements de gestion, les événements de gestion de l'API Amazon RDS Data ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des événements de l'API Amazon RDS Data.

Pour recommencer à consigner les événements de gestion de l'API Amazon RDS Data dans un journal, supprimez le `eventSource` sélecteur et réexécutez la commande.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'
```

L’exemple renvoie le sélecteur d’événements avancés configuré pour le journal de suivi.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource",
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

Pour redémarrer la journalisation des événements exclus dans un journal de suivi, supprimez le sélecteur `eventSource`, comme indiqué dans la commande suivante.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'
```

## Configuration des sélecteurs d'événements de base
<a name="configuring-event-selector-examples"></a>

Vous ne pouvez utiliser que des sélecteurs d'événements de base pour consigner les événements de gestion et les événements de données pour `AWS::DynamoDB::Table` `AWS::Lambda::Function` les types de `AWS::S3::Object` ressources et. Vous pouvez enregistrer les événements de gestion, tous les types de ressources de données et les événements liés à l'activité du réseau à l'aide de sélecteurs d'événements avancés.

Vous pouvez utiliser des sélecteurs d'événements de base ou des sélecteurs d'événements avancés, mais pas les deux. Si vous appliquez des sélecteurs d'événements de base à un parcours utilisant des sélecteurs d'événements avancés, les sélecteurs d'événements avancés sont remplacés.

Pour afficher les paramètres du sélecteur d'événements pour un journal de suivi, exécutez la commande `get-event-selectors`. Vous devez exécuter cette commande à partir de l' Région AWS endroit où elle a été créée (la région d'origine) ou vous devez spécifier cette région à l'aide du **--region** paramètre. 

```
aws cloudtrail get-event-selectors --trail-name TrailName
```

**Note**  
Si le parcours est un parcours d'organisation et que vous êtes un compte membre de l'organisation dans AWS Organizations, vous devez fournir l'ARN complet de ce parcours, et pas seulement son nom.

L'exemple suivant montre les paramètres d'un parcours qui utilise des sélecteurs d'événements de base pour consigner les événements de gestion.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

Pour créer un sélecteur d’événements, exécutez la commande `put-event-selectors`. Si vous souhaitez journaliser les événements Insights sur le journal de suivi, assurez-vous que le sélecteur d'événements active la journalisation des types Insights pour lesquels vous souhaitez configurer votre journal de suivi. Pour plus d'informations sur la journalisation des événements Insights, veuillez consulter [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md). 

Lorsqu'un événement se produit dans votre compte, CloudTrail vérifie la configuration pour vos suivis. Si l'événement correspond à un sélecteur d'événements pour un journal de suivi, il est traité et journalisé par le journal de suivi. Vous pouvez configurer jusqu'à 5 sélecteurs d'événements et jusqu'à 250 ressources de données pour un journal de suivi. Pour plus d'informations, consultez [Journalisation des événements de données](logging-data-events-with-cloudtrail.md).

**Topics**
+ [Exemple: journal de suivi avec sélecteurs d'événements spécifiques](#configuring-event-selector-example1)
+ [Exemple: journal de suivi qui journalise tous les événements de gestion et de données](#configuring-event-selector-example2)
+ [Exemple de parcours qui ne consigne pas AWS Key Management Service les événements](#configuring-event-selector-example-kms)
+ [Exemple de journal qui enregistre les événements pertinents à faible volume AWS Key Management Service](#configuring-event-selector-log-kms)
+ [Exemple de journal de suivi qui ne journalise pas les événements d'API de données Amazon RDS](#configuring-event-selector-example-rds)

### Exemple: journal de suivi avec sélecteurs d'événements spécifiques
<a name="configuring-event-selector-example1"></a>

L'exemple suivant crée un sélecteur d'événements pour un journal nommé *TrailName* afin d'inclure des événements de gestion en lecture seule et en écriture seule, des événements de données pour deux bucket/prefix combinaisons Amazon S3 et des événements de données pour une seule fonction nommée. AWS Lambda *hello-world-python-function* 

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```

L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
                    ],
                    "Type": "AWS::S3::Object"
                },
                {
                    "Values": [
                        "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
                    ],
                    "Type": "AWS::Lambda::Function"
                },
            ],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### Exemple: journal de suivi qui journalise tous les événements de gestion et de données
<a name="configuring-event-selector-example2"></a>

L'exemple suivant crée un sélecteur d'événements pour un journal nommé *TrailName2* qui inclut tous les événements de gestion, y compris les événements de gestion en lecture seule et en écriture seule, ainsi que les événements de données pour tous les compartiments, AWS Lambda fonctions et tables Amazon DynamoDB d'Amazon S3 dans le. Compte AWS Comme cet exemple utilise des sélecteurs d'événements de base, il ne peut pas configurer la journalisation des événements S3 sur AWS Outposts, des appels Amazon Managed Blockchain JSON-RPC sur des nœuds Ethereum ou d'autres types de ressources de sélection d'événements avancés. Vous ne pouvez pas non plus enregistrer les événements liés à l'activité du réseau à l'aide de sélecteurs d'événements de base. Vous devez utiliser des sélecteurs d'événements avancés pour enregistrer les événements d'activité réseau et les événements de données pour tous les autres types de ressources. Pour de plus amples informations, veuillez consulter [Configuration des sélecteurs d’événements avancés](#configuring-adv-event-selector-examples).

**Note**  
Si le journal de suivi s'applique à une seule région, seuls les événements de cette région sont consignés, même si les paramètres du sélecteur d'événements spécifient tous les compartiments Amazon S3 et fonctions Lambda. Les sélecteurs d'événements s'appliquent uniquement aux régions dans lesquelles le journal de suivi est créé.

```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```

L'exemple renvoie les sélecteurs d'événements configurés pour le journal de suivi.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::"
                    ],
                    "Type": "AWS::S3::Object"
                },
                {
                    "Values": [
                        "arn:aws:lambda"
                    ],
                    "Type": "AWS::Lambda::Function"
                },
{
                    "Values": [
                        "arn:aws:dynamodb"
                    ],
                    "Type": "AWS::DynamoDB::Table"
                }
            ],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```

### Exemple de parcours qui ne consigne pas AWS Key Management Service les événements
<a name="configuring-event-selector-example-kms"></a>

L'exemple suivant crée un sélecteur d'événements pour un journal nommé *TrailName* pour inclure les événements de gestion en lecture seule et en écriture seule, mais pour exclure les événements (). AWS Key Management Service AWS KMSÉtant donné que les AWS KMS événements sont traités comme des événements de gestion et qu'ils peuvent être nombreux, ils peuvent avoir un impact important sur votre CloudTrail facture si vous disposez de plusieurs pistes qui enregistrent les événements de gestion. Dans cet exemple, l'utilisateur a choisi d'exclure les événements AWS KMS de chaque journal de suivi, sauf un. Pour exclure une source d’événement, ajoutez `ExcludeManagementEventSources` à vos sélecteurs d’événements et spécifiez une source d’événement dans la valeur de chaîne.

Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

Pour recommencer à AWS KMS consigner les événements dans un journal, transmettez un tableau vide comme valeur de`ExcludeManagementEventSources`.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```

L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

Pour recommencer à consigner les AWS KMS événements dans un journal, transmettez un tableau vide comme valeur de`ExcludeManagementEventSources`, comme indiqué dans la commande suivante.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

### Exemple de journal qui enregistre les événements pertinents à faible volume AWS Key Management Service
<a name="configuring-event-selector-log-kms"></a>

L'exemple suivant crée un sélecteur d'événements pour un parcours nommé de manière *TrailName* à inclure des événements de gestion en écriture seule et des événements. AWS KMS Étant donné que les AWS KMS événements sont traités comme des événements de gestion et qu'ils peuvent être nombreux, ils peuvent avoir un impact important sur votre CloudTrail facture si vous disposez de plusieurs pistes qui enregistrent les événements de gestion. Dans cet exemple, l'utilisateur a choisi d'inclure les événements AWS KMS **Write**, qui incluront `Disable``ScheduleKey`, `Delete` mais n'incluront plus les actions à volume élevé telles que `Encrypt``Decrypt`, et `GenerateDataKey` (elles sont désormais traitées comme des événements de **lecture**).

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi. Cela enregistre les événements de gestion en écriture uniquement, y compris AWS KMS les événements.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "WriteOnly"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### Exemple de journal de suivi qui ne journalise pas les événements d'API de données Amazon RDS
<a name="configuring-event-selector-example-rds"></a>

L'exemple suivant crée un sélecteur d'événements pour un journal nommé *TrailName* pour inclure les événements de gestion en lecture seule et en écriture seule, mais pour exclure les événements de l'API Amazon RDS Data. Étant donné que les événements de l'API Amazon RDS Data sont traités comme des événements de gestion et qu'ils peuvent être très nombreux, ils peuvent avoir un impact important sur votre CloudTrail facture si vous disposez de plusieurs traces qui capturent les événements de gestion. Dans cet exemple, l'utilisateur a choisi d'exclure les événements d'API de données Amazon RDS de chaque journal de suivi, sauf un. Pour exclure une source d'événement, ajoutez `ExcludeManagementEventSources` à vos sélecteurs d'événements et spécifiez une source d'événement d'API de données Amazon RDS dans la valeur de chaîne : `rdsdata.amazonaws.com`.

Si vous choisissez de ne pas journaliser les événements de gestion, les événements d’API de données Amazon RDS ne seront pas journalisés et vous ne pourrez pas modifier les paramètres de journalisation des événements.

Pour recommencer à consigner les événements de gestion de l'API Amazon RDS Data dans un journal, transmettez un tableau vide comme valeur de`ExcludeManagementEventSources`.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```

L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

Pour recommencer à consigner les événements de gestion de l'API Amazon RDS Data dans un journal, transmettez un tableau vide comme valeur de`ExcludeManagementEventSources`, comme indiqué dans la commande suivante.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

## Arrêt et démarrage de la journalisation pour un journal de suivi
<a name="cloudtrail-start-stop-logging-cli-commands"></a>

Les commandes suivantes démarrent et arrêtent la CloudTrail journalisation.

```
aws cloudtrail start-logging --name awscloudtrail-example
```

```
aws cloudtrail stop-logging --name awscloudtrail-example
```

**Note**  
Avant de supprimer un compartiment, exécutez la commande `stop-logging` pour arrêter de livrer des événements au compartiment. Si vous n'arrêtez pas la journalisation, CloudTrail tente de transférer les fichiers journaux vers un bucket portant le même nom pendant une période limitée.  
Si vous arrêtez de consigner ou supprimez un parcours, CloudTrail Insights est désactivé sur ce parcours.

**Livraison d'événements après l'arrêt de la journalisation**  
Une fois que vous avez arrêté la journalisation d'un sentier, celui-ci peut toujours recevoir des événements survenus avant l'arrêt de l'enregistrement. Les événements peuvent être retardés pour diverses raisons, notamment un trafic réseau élevé, des problèmes de connectivité, une panne de service ou des mises à jour d'événements existants. CloudTrail utilise l'heure la plus récente à laquelle la journalisation a été arrêtée pour déterminer s'il convient de transmettre des événements différés, plutôt que l'état de journalisation du suivi au moment où l'événement s'est produit. Par conséquent, les événements différés survenus avant la dernière interruption de l'exploitation forestière peuvent toujours être répercutés sur le sentier. Pour plus d'informations sur le report de la livraison d'un événement, consultez le `addendum` champ dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).  
En outre, les sélecteurs d'événements et les sélecteurs d'événements avancés ne sont pas évalués pour détecter les événements différés transmis à une piste après l'arrêt de la journalisation. Cela signifie qu'un sentier peut recevoir tout type d'événement survenu avant l'arrêt de la journalisation, quelle que soit la configuration du sélecteur d'événements du sentier.

## Suppression d’un journal de suivi
<a name="cloudtrail-delete-trail-cli"></a>

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les `read` événements de gestion et les événements `write` de gestion. Vous ne pouvez pas supprimer une piste si c'est la seule qui répond à cette exigence, sauf si vous désactivez les événements CloudTrail de gestion dans Security Lake.

Vous pouvez supprimer un journal de suivi avec la commande suivante. Vous pouvez supprimer un journal de suivi uniquement dans la région où il a été créé.

**Important**  
 Bien que la suppression d'un suivi soit une action irréversible, CloudTrail elle ne supprime pas les fichiers journaux du compartiment Amazon S3 associé à ce suivi, du compartiment Amazon S3 lui-même ou du groupe de journaux auquel le CloudWatch journal transmet les événements. CloudTrail La suppression d'un parcours multirégional arrêtera l'enregistrement des événements dans toutes les AWS régions activées dans votre Compte AWS. La suppression d'un suivi d'une seule région arrêtera l'enregistrement des événements dans cette région uniquement. Cela n'empêchera pas l'enregistrement des événements dans d'autres régions, même si les sentiers de ces autres régions portent des noms identiques à ceux du parcours supprimé.   
Pour plus d'informations sur la fermeture du compte et la suppression des CloudTrail pistes, consultez[Compte AWS fermeture et sentiers](cloudtrail-account-closure.md).

```
aws cloudtrail delete-trail --name awscloudtrail-example
```

Lorsque vous supprimez un journal de suivi, vous ne supprimez pas le compartiment Amazon S3 ni la rubrique Amazon SNS associée. Utilisez l'API AWS Management Console AWS CLI, ou service pour supprimer ces ressources séparément.

# Création de plusieurs parcours
<a name="create-multiple-trails"></a>

Vous pouvez utiliser les fichiers CloudTrail journaux pour résoudre les problèmes opérationnels ou de sécurité de votre AWS compte. Vous pouvez créer des journaux d'activité pour différents utilisateurs, qui eux-mêmes peuvent créer et gérer leurs propres journaux d'activité. Vous pouvez configurer les journaux d'activité de manière à livrer les fichiers journaux dans des compartiments S3 séparés ou partagés.

**Note**  
La première copie des événements de gestion Région AWS de chaque compte est gratuite. Si vous créez d'autres parcours proposant les mêmes événements de gestion vers d'autres destinations, ces livraisons ultérieures entraînent des CloudTrail coûts. Pour plus d'informations sur CloudTrail les coûts, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/) et[Gestion des coûts des CloudTrail sentiers](cloudtrail-trail-manage-costs.md).

Par exemple, vous pouvez avoir les utilisateurs suivants :
+ Un administrateur de sécurité crée un journal d'activité dans la Région Europe (Irlande) et configure le chiffrement des fichiers journaux KMS. Le journal d'activité livre les fichiers journaux dans un compartiment S3 dans la Région Europe (Irlande).
+ Un auditeur informatique crée une trace dans la région Europe (Irlande) et configure la validation de l'intégrité des fichiers journaux pour s'assurer que les fichiers journaux n'ont pas changé CloudTrail depuis leur livraison. Le journal d'activité est configuré pour livrer les fichiers journaux dans un compartiment S3 dans la Région Europe (Francfort)
+ Un développeur crée un parcours dans la région Europe (Francfort) et configure les CloudWatch alarmes pour recevoir des notifications relatives à une activité d'API spécifique. Le journal d'activité partage le même compartiment S3 que le journal d'activité configuré pour l'intégrité des fichiers journaux.
+ Un autre développeur crée un journal d'activité dans la Région Europe (Francfort) et configure SNS. Les fichiers journaux sont livrés dans un compartiment S3 distinct dans la Région Europe (Francfort).

L'image suivante illustre cet exemple.

![\[Un exemple d'envoi de fichiers journaux pour plusieurs journaux d'activité\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/eu-shared-01.png)


**Note**  
Vous pouvez créer jusqu'à cinq sentiers par Région AWS. Un sentier multirégional compte pour un sentier par région.

Vous pouvez utiliser des autorisations au niveau des ressources pour gérer la capacité d'un utilisateur à réaliser des opérations spécifiques sur CloudTrail.

Par exemple, vous pouvez accorder à un utilisateur l'autorisation d'afficher l'activité du journal d'activité, mais empêcher l'utilisateur de démarrer ou d'arrêter la journalisation pour un journal d'activité. Vous pouvez accorder à un autre utilisateur des autorisations complètes de création et de suppression de journaux d'activité. Cela vous permet un meilleur contrôle de vos journaux d'activité et des accès utilisateur.

Pour plus d'informations sur les autorisations au niveau des ressources, consultez [Exemples : créer et appliquer des politiques pour des actions sur des journaux de suivi spécifiques](security_iam_id-based-policy-examples.md#grant-custom-permissions-for-cloudtrail-users-resource-level). 

Pour plus d'informations sur les sentiers multiples, consultez le [CloudTrail FAQs](https://aws.amazon.com/cloudtrail/faqs/).