Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d’un journal de suivi pour votre organisation dans la console
Pour créer un journal d'organisation à partir de la CloudTrail console, vous devez vous connecter à la console en tant qu'utilisateur ou en tant que rôle dans le compte de gestion ou d'administrateur délégué [disposant des autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions). Si vous ne vous connectez pas avec le compte de gestion ou d'administrateur délégué, vous ne verrez pas l'option permettant d'appliquer un suivi à une organisation lorsque vous créez ou modifiez un journal depuis la CloudTrail console.
**Pour créer un parcours d'organisation à l'aide du AWS Management Console**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
Vous devez être connecté à l'aide d'une identité IAM dans le compte de gestion ou d'administrateur délégué avec des [autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions) pour créer un journal de suivi d'organisation.
1. Choisissez **Journaux de suivi**, puis **Créer un journal de suivi**.
1. Sur la page **Create Trail (Créer un journal d'activité)**, tapez un nom pour votre journal d'activité dans la zone **Trail Name (Nom du journal d'activité)**. Pour plus d'informations, consultez [Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).
1. Sélectionnez **Activer pour tous les comptes de mon organisation**. Cette option ne s'affiche que si vous vous connectez à la console avec un utilisateur ou un rôle du compte de gestion ou d'administrateur délégué. Pour créer avec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôle dispose d'[autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions).
1. Sous **Storage location** (Emplacement de stockage), sélectionnez **Create new S3 bucket** (Créer un nouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises.
**Note**
Si vous avez choisi **Utilisation du compartiment S3 existant**, spécifiez un compartiment dans **Nom du compartiment du journal de suivi**, ou sélectionnez **Parcourir** pour choisir un compartiment. Vous pouvez choisir un bucket appartenant à n'importe quel compte, mais la politique du bucket doit CloudTrail autoriser l'écriture dans ce compartiment. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé *préfixe*) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans **Préfixe**.
1. Pour le **chiffrement SSE-KMS des fichiers journaux**, choisissez **Activé** si vous souhaitez chiffrer vos fichiers journaux et digérer les fichiers à l'aide du chiffrement SSE-KMS au lieu du cryptage SSE-S3. La valeur par défaut est **Activé**. Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, consultez [Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Pour plus d'informations sur SSE-S3, consultez [Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
**Si vous activez le chiffrement SSE-KMS, sélectionnez **Nouveau** ou Existant.** AWS KMS key Dans **AWS KMS Alias**, spécifiez un alias au format `alias/`{{MyAliasName}}. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md).
**Note**
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). La politique de clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et digérer les fichiers, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Sous **Paramètres supplémentaires**, configurez les événements suivants.
1. Sous **Validation du fichier journal**, choisissez **Activé** pour que les fichiers de valeur de hachage soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).
1. Pour l'**envoi de notifications SNS**, choisissez **Enabled** pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaque événement. Pour plus d'informations, consultez [Configuration des notifications Amazon SNS pour CloudTrail](configure-sns-notifications-for-cloudtrail.md).
Si vous activez les notifications SNS, pour **Créer une nouvelle rubrique SNS**, choisissez **Nouveau** pour créer une rubrique, ou **Existant**, pour utiliser une rubrique existante. Si vous créez un journal multirégional, les notifications SNS pour les livraisons de fichiers journaux provenant de toutes les régions sont envoyées à la rubrique SNS unique que vous créez.
Si vous choisissez **Nouveau**, vous CloudTrail spécifiez le nom du nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez **Existant**, choisissez une rubrique SNS dans la liste déroulante. Vous pouvez également saisir l'ARN d'une rubrique provenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plus d'informations, consultez [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md).
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement pour pouvoir utiliser une file d'attente Amazon SQS afin de gérer les notifications par programmation. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) dans le *Guide du développeur Amazon Simple Notification Service*.
1. Vous pouvez éventuellement configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs en choisissant **Enabled** in **CloudWatch Logs**. Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
**Note**
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.
1. Si vous activez l'intégration aux CloudWatch journaux, choisissez **Nouveau** pour créer un nouveau groupe de journaux ou **Existant** pour utiliser un groupe existant. Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.
1. Si vous choisissez **Existant**, choisissez un groupe de journaux dans la liste déroulante.
1. Choisissez **Nouveau** pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir **Existant** pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez **Document de politique**. Pour plus d’informations sur ce rôle, consultez [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Note**
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique Amazon SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.
1. Pour les **balises**, vous pouvez ajouter jusqu'à 50 paires de clés de balises pour vous aider à identifier, à trier et à contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser les groupes de ressources pour vos ressources CloudTrail . Pour plus d’informations, consultez [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) et [Étiquettes](cloudtrail-concepts.md#cloudtrail-concepts-tags).
1. Sur la page **Choisir des événements du journal**, choisissez les types d’événements que vous souhaitez consigner. Sous **Événements de gestion**, procédez comme suit.
1. Pour **Activité d’API**, indiquez si vous souhaitez que votre journal de suivi journalise les événements en événements **Lecture** ou en événements **Écriture**, ou les deux. Pour de plus amples informations, veuillez consulter [Événements de gestion](logging-management-events-with-cloudtrail.md#logging-management-events).
1. Choisissez **Exclure les AWS KMS événements** pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les événements AWS KMS .
L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.
AWS KMS des actions telles que `Encrypt``Decrypt`, et génèrent `GenerateDataKey` généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements **Lecture**. Les AWS KMS actions pertinentes à faible volume telles que `Disable``Delete`, et `ScheduleKey` (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'**écriture**.
Pour exclure les événements de volume important tels que `Encrypt`, `Decrypt` et `GenerateDataKey`, tout en continuant de journaliser les événements pertinents tels que `Disable`, `Delete` et `ScheduleKey`, choisissez de journaliser les événements de gestion **Écriture** et effacez la case à cocher pour **Exclure les événements AWS KMS **.
1. Choisissez **Exclure les événements API de données Amazon RDS** pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez [Journalisation des appels d’API de données avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) dans le *Guide de l’utilisateur Amazon RDS pour Aurora*.
1. Pour journaliser les événements de données, choisissez **Événements de données**. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
1.
**Important**
Les étapes 12 à 16 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, ce qui est le cas par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de [types de ressources](logging-data-events-with-cloudtrail.md#logging-data-events) et de contrôler avec précision les événements de données capturés par votre parcours. Si vous prévoyez de consigner les événements liés à l'activité du réseau, vous devez utiliser des sélecteurs d'événements avancés. Si vous utilisez des sélecteurs d'événements de base, suivez les étapes décrites dans[Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base](cloudtrail-create-a-trail-using-the-console-first-time.md#trail-data-events-basic-selectors), puis revenez à l'étape 17 de cette procédure.
Pour **Type de ressource**, choisissez le type de ressource sur lequel vous souhaitez enregistrer les événements de données. Pour plus d'informations sur les types de ressources disponibles, consultez[Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events).
1. Choisissez un modèle de sélecteur de journaux. Vous pouvez choisir un modèle prédéfini ou choisir **Personnalisé** pour définir vos propres conditions de collecte d'événements.
Vous pouvez choisir parmi les modèles prédéfinis suivants :
+ **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
+ **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
+ **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
+ **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
+ **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
**Note**
Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.
Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Il ne va pas journaliser les d'événements de données pour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS .
Si vous créez un journal multirégional, le choix d'un modèle prédéfini pour les fonctions Lambda permet de consigner les événements de données pour toutes les fonctions actuellement présentes dans AWS votre compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous avez terminé de créer le journal. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
1. Si vous avez sélectionné **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.
1. Choisissez parmi les options suivantes.
+ **`readOnly`**- `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements `Get*` ou `Describe*`. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour journaliser les deux événements `read` et `write`, n'ajoutez pas de sélecteur `readOnly`.
+ **`eventName`** - `eventName` peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que `PutBucket``GetItem`, ou`GetSnapshotBlock`.
+ **`eventSource`**— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.
+ **eventType** : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente `AwsServiceEvent` pour** l'exclure[Service AWS événements](non-api-aws-service-events.md). Pour une liste des types d'événements, voir [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromConsole** — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
+ **userIdentity.arn** : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Vous pouvez utiliser n'importe quel opérateur`resources.ARN`, mais si vous utilisez **égal** ou **non**, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de`resources.type`.
**Note**
Vous ne pouvez pas utiliser le `resources.ARN` champ pour filtrer les types de ressources qui n'en ont pas ARNs.
Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section [Actions, ressources et clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
1. Pour chaque champ, choisissez **\+ Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur **Resources.ARN**, définir l'opérateur pour **ne commence pas par**, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.
Pour ajouter le deuxième compartiment S3, choisissez **\+ Conditions**, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.
Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.
1. Choisir **\+ champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.
1. Pour ajouter un type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**. Répétez les étapes 12 à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.
1. Pour enregistrer les événements d'activité réseau, sélectionnez **Événements d'activité réseau**. Les événements d'activité réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Pour enregistrer les événements liés à l'activité du réseau, procédez comme suit :
1. Dans **Source des événements d'activité réseau**, choisissez la source des événements d'activité réseau.
1. Dans **Modèle de sélecteur de journaux**, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir **Personnaliser** pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que `eventName` et`vpcEndpointId`.
1. (Facultatif) Entrez un nom pour identifier le sélecteur. **Le nom du sélecteur est répertorié sous la forme **Nom** dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.**
1. Dans les **sélecteurs d'événements avancés, les sélecteurs** créent des expressions en choisissant des valeurs pour **Champ**, **Opérateur** et **Valeur**. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.
1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.
+ **`eventName`**— Vous pouvez utiliser n'importe quel opérateur avec`eventName`. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel que`CreateKey`.
+ **`errorCode`**— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge `errorCode` est`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec`vpcEndpointId`.
1. Pour chaque champ, choisissez **\+ Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.
1. Choisir **\+ champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.
1. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez **Ajouter un sélecteur d'événements d'activité réseau**.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Choisissez **Insights events** si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.
Dans **Type d’événement**, sélectionnez **Événements Insights**. Dans **Événements Insights**, choisissez **Taux d’appels d’API**,**Taux d’erreurs d’API**, ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.
CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md). Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
Les événements Insights sont transmis à un dossier différent nommé `/CloudTrail-Insight` dans le même compartiment S3 qui est spécifié dans la zone **Emplacement de stockage** de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/`, le nom du compartiment S3 avec un nouveau préfixe se nommera `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/`.
1. Après avoir sélectionné les types d’événements à journaliser, choisissez **Suivant**.
1. Sur la page **Vérifier et créer**, vérifiez vos choix. Choisissez **Modifier** dans une section pour modifier les paramètres de journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez **Créer un journal de suivi**.
1. Le nouveau journal de suivi s’affiche sur la page **Journaux de suivi**. La création d'un journal d'organisation peut prendre jusqu'à 24 heures dans toutes les régions activées et sur tous les comptes membres. La page **Journaux de suivi** affiche les journaux de suivi de votre compte pour toutes les Régions. En 5 minutes environ, CloudTrail publie des fichiers journaux qui indiquent les appels AWS d'API effectués dans votre organisation. Il est possible de voir les fichiers journaux se trouvent dans le compartiment Amazon S3 que vous avez spécifiés.
**Note**
Vous ne pouvez pas renommer un journal de suivi une fois qu'il a été créé. Au lieu de cela, vous pouvez supprimer le journal de suivi et en créer un nouveau.
## Étapes suivantes
Après avoir créé le journal de suivi, vous pouvez le modifier :
+ Modifiez la configuration de votre journal de suivi. Pour de plus amples informations, veuillez consulter [Mettre à jour un parcours avec la CloudTrail console](cloudtrail-update-a-trail-console.md).
+ Si nécessaire, configurez le compartiment Amazon S3 pour autoriser des utilisateurs spécifiques des comptes membres à lire les fichiers journaux de l'organisation. Pour de plus amples informations, veuillez consulter [Partage de fichiers CloudTrail journaux entre AWS comptes](cloudtrail-sharing-logs.md).
+ Configurez CloudTrail pour envoyer des fichiers journaux à CloudWatch Logs. Pour plus d'informations, voir [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) et [l'élément CloudWatch Logs](creating-an-organizational-trail-prepare.md#cwl-org-pb) in[Se préparer pour la création d'un journal de suivi pour son organisation](creating-an-organizational-trail-prepare.md).
**Note**
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux journaux pour le journal d'une organisation.
+ Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d’analyser l’activité de vos services AWS . Pour plus d'informations, consultez la section [Création d'une table pour les CloudTrail journaux dans la CloudTrail console](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) dans le guide de l'[utilisateur d'Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/).
+ Ajoutez des identifications personnalisées (paires clé-valeur) pour le journal de suivi.
+ Pour créer un autre journal de suivi d'organisation, revenez à la page **Trails** (Journaux de suivi) et choisissez **Create trail** (Créer un journal de suivi).
**Note**
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment Amazon S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.