Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance et journalisation pour AWS Trusted Advisor
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité Trusted Advisor et des performances de vos autres AWS solutions. AWS fournit les outils de surveillance suivants pour surveiller Trusted Advisor, signaler tout problème et prendre des mesures automatiques le cas échéant :
+ *Amazon EventBridge* fournit un flux d'événements système en temps quasi réel qui décrivent les modifications apportées aux AWS ressources. EventBridge permet une informatique automatisée axée sur les événements, car vous pouvez écrire des règles qui surveillent certains événements et déclenchent des actions automatisées dans d'autres AWS services lorsque ces événements se produisent.
Trusted Advisor Fournit, par exemple, la vérification des **autorisations du compartiment Amazon S3**. Cette vérification permet de déterminer si vous avez des compartiments dotés d'autorisations d'accès ouvert ou autorisant l'accès à un utilisateur authentifié. AWS Si l'autorisation d'un bucket change, le statut de la Trusted Advisor vérification change. EventBridge détecte cet événement puis vous envoie une notification afin que vous puissiez prendre des mesures. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
+ AWS Trusted Advisor les contrôles identifient les moyens de réduire les coûts, d'améliorer les performances et d'améliorer la sécurité de votre AWS compte. Vous pouvez l'utiliser EventBridge pour surveiller l'état des Trusted Advisor chèques. Vous pouvez ensuite utiliser Amazon CloudWatch pour créer des alarmes sur Trusted Advisor les métriques. Ces alarmes vous avertissent lorsque le statut d'une Trusted Advisor vérification change, par exemple lorsqu'une ressource est mise à jour ou que le quota de service est atteint.
+ *AWS CloudTrail*capture les appels d'API et les événements associés effectués par ou pour le compte de votre AWS compte et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Pour plus d’informations, consultez le [AWS CloudTrail Guide de l’utilisateur ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Surveillance des résultats des AWS Trusted Advisor contrôles avec Amazon EventBridge](cloudwatch-events-ta.md)
+ [Création d' CloudWatch alarmes Amazon pour surveiller AWS Trusted Advisor les métriques](cloudwatch-metrics-ta.md)
+ [Journalisation des actions de AWS Trusted Advisor la console avec AWS CloudTrail](logging-using-cloudtrail-for-aws-trusted-advisor.md)
# Surveillance des résultats des AWS Trusted Advisor contrôles avec Amazon EventBridge
**Important**
Avis de fin de support : le support aux développeurs sera interrompu le 1er janvier 2027. Les clients bénéficiant de l'assistance aux développeurs peuvent continuer à utiliser leur plan existant ou choisir de passer à Business Support\$1 à tout moment avant le 1er janvier 2027. Business Support\$1 fournit une assistance basée sur l'IA qui comprend le contexte de vos opérations, avec un accès 24 heures sur 24, 7 jours sur 7 à des AWS experts pour un minimum de 29\$1 par mois par compte. Pour plus d'informations, consultez les détails du [plan Business Support\$1](https://aws.amazon.com/premiumsupport/plans/business-plus/)
Avis de fin de support : le support aux entreprises sera interrompu le 1er janvier 2027. Les clients bénéficiant du Business Support peuvent continuer à utiliser leur plan existant ou choisir de passer à Business Support\$1 à tout moment avant le 1er janvier 2027. Business Support\$1 fournit une assistance basée sur l'IA qui comprend le contexte de vos opérations, avec un accès 24 heures sur 24, 7 jours sur 7 à des AWS experts pour un minimum de 29\$1 par mois par compte. Pour plus d'informations, voir les détails du [plan Business Support\$1](https://aws.amazon.com/premiumsupport/plans/business-plus/)
Avis de fin de support : Enterprise On-Ramp AWS cessera le 1er janvier 2027. Tout au long de 2026, les clients d'Enterprise On-Ramp passeront automatiquement au AWS support Enterprise lors du renouvellement de leur contrat ou par lots périodiques. Les clients recevront une notification par e-mail un mois avant leur mise à niveau. Aucune action supplémentaire n’est requise. Enterprise Support fournit une attribution TAM dédiée, des temps de réponse de 15 minutes et Réponse aux incidents de sécurité AWS est disponible sans frais supplémentaires, le tout pour un minimum inférieur de 5 000\$1 (au lieu de 15 000\$1). Pour plus d'informations, consultez la section [Détails Support du plan AWS Enterprise](https://aws.amazon.com/premiumsupport/plans/enterprise/).
Pour de plus amples informations, veuillez consulter [Fin du support pour les développeurs, les entreprises et les entreprises](support-plans-eos.md).
Le support aux développeurs, le support aux entreprises et Enterprise On-Ramp resteront disponibles dans la AWS GovCloud (US) région.
Vous pouvez l'utiliser EventBridge pour détecter le moment où vous vérifiez l'état du Trusted Advisor changement. Ensuite, en fonction des règles que vous créez, EventBridge invoque une ou plusieurs actions cibles lorsque le statut passe à une valeur que vous spécifiez dans une règle.
En fonction du changement de statut, vous pouvez envoyer des notifications, capturer les informations de statut, prendre des mesures correctives, déclencher des événements ou prendre d'autres mesures. Par exemple, vous pouvez spécifier les types de cible suivants si une vérification change de statut, passant d'aucun problème détecté (vert) à action recommandée (rouge).
+ Utilisez une AWS Lambda fonction pour transmettre une notification à une chaîne Slack.
+ Envoyer les données relatives à la vérification à un flux Amazon Kinesis pour prendre en charge la surveillance complète et en temps réel du statut.
+ Envoyer une rubrique Amazon Simple Notification Service à votre e-mail.
+ Recevez une notification d'une action CloudWatch d'alarme Amazon.
Pour plus d'informations sur l'utilisation EventBridge des fonctions Lambda pour automatiser les réponses Trusted Advisor, consultez les [Trusted Advisor outils](https://github.com/aws/Trusted-Advisor-Tools) dans. GitHub
**Remarques**
Trusted Advisor organise des événements dans la mesure du possible. Les événements ne sont pas toujours garantis d'être fournis à EventBridge.
Vous devez disposer d'un plan AWS Business Support\$1, AWS Enterprise Support ou AWS Unified Operations pour créer une règle de Trusted Advisor vérification. Pour de plus amples informations, veuillez consulter [AWS Support Plans de changement](changing-support-plans.md).
Comme Trusted Advisor c'est le cas pour un service mondial, tous les événements sont diffusés EventBridge dans la région de l'est des États-Unis (Virginie du Nord).
Suivez cette procédure pour créer une EventBridge règle pour Trusted Advisor. Avant de créer des règles d'événement, effectuez les opérations suivantes :
+ Familiarisez-vous avec les événements, les règles et les cibles dans EventBridge. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) dans le *guide de EventBridge l'utilisateur Amazon*.
+ Créez la cible que vous allez utiliser dans votre règle d'événement.
**Pour créer une EventBridge règle pour Trusted Advisor**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Pour changer de région, utilisez **Region selector** (Sélecteur de région) dans l'angle supérieur droit de la page et choisissez **USA Est (Virginie du Nord)**.
1. Dans le panneau de navigation, choisissez **Rules**.
1. Choisissez **Create rule** (Créer une règle).
1. Sur la page **Define rule detail** (Définir les informations de la règle), saisissez un nom et une description pour votre règle.
1. Conservez les valeurs par défaut pour **Event bus** (Bus d'événement) et **Rule Type** (Type de règle), puis choisissez **Next** (Suivant).
1. Sur la page **Créer un modèle d'événement**, dans **Source d'événement**, sélectionnez **AWS événements ou événements EventBridge partenaires**.
1. Sous **Event pattern** (Modèle d'événement), conservez la valeur par défaut pour **Services AWS**.
1. Pour **Service AWS**, choisissez **Trusted Advisor**.
1. Pour **Event type** (Type d'événement), choisissez **Check Item Refresh Status** (Statut d'actualisation d'un élément de vérification).
1. Choisissez l'une des options suivantes pour les statuts de vérification :
+ Choisissez **Any status** (Tout statut) pour créer une règle qui surveille toute modification de statut.
+ Choisissez **Specific status(es)** (Statuts spécifiques), puis choisissez les valeurs que vous voulez que votre règle surveille.
+ **ERREUR** : Trusted Advisor recommande une action pour le contrôle.
+ **INFO** : Trusted Advisor impossible de déterminer le statut du contrôle.
+ **OK**, aucun problème Trusted Advisor n'est détecté lors de la vérification.
+ **WARN** — Trusted Advisor détecte un éventuel problème lors de la vérification et recommande une enquête.
1. Choisissez l'une des options suivantes pour vos vérifications :
+ Choisissez **Any check** (Toute vérification).
+ Choisissez **Specific check(s)** (Vérifications spécifiques), puis choisissez un ou plusieurs noms de vérifications dans la liste.
1. Choisissez l'une des options suivantes pour les AWS ressources :
+ Choisissez **Any resource ID** (Tout ID de ressource) pour créer une règle qui surveille toutes les ressources.
+ Choisissez **un ou plusieurs ID de ressource spécifiques par ARN**, puis entrez les noms de ressources Amazon que vous souhaitez. ARNs
1. Choisissez **Suivant**.
1. Sur la page **Select target(s)** (Sélectionner la(les) cible(s)), choisissez le type de cible que vous avez créé pour cette règle, puis configurez toutes les options supplémentaires requises pour ce type. Par exemple, vous pouvez envoyer l'événement à une file d'attente Amazon SQS ou à une rubrique Amazon SNS.
1. Choisissez **Suivant**.
1. (Facultatif) Sur la page **Configure tags** (Configurer des étiquettes), ajoutez des étiquettes, puis choisissez **Next** (Suivant).
1. Sur la page **Vérifier et créer**, examinez la configuration de votre règle et assurez-vous qu’elle répond à vos exigences en matière de surveillance d’événements.
1. Choisissez **Créer une règle**. Votre règle surveillera désormais les Trusted Advisor vérifications, puis enverra l'événement à la cible que vous avez spécifiée.
# Création d' CloudWatch alarmes Amazon pour surveiller AWS Trusted Advisor les métriques
Lorsque vous AWS Trusted Advisor actualisez vos vérifications, Trusted Advisor publie les statistiques relatives aux CloudWatch résultats de vos vérifications sur. Vous pouvez afficher les métriques dans CloudWatch. Vous pouvez également créer des alarmes pour détecter les changements d'état, Trusted Advisor les contrôles et les changements d'état des ressources, ainsi que l'utilisation des quotas de service (anciennement appelés limites).
Suivez cette procédure pour créer une CloudWatch alarme pour une Trusted Advisor métrique spécifique.
**Topics**
+ [Conditions préalables](#prerequisites-cloudwatch-metrics)
+ [CloudWatch métriques pour Trusted Advisor](#cloudwatch-metrics-dimensions-for-trusted-advisor)
+ [Trusted Advisor métriques et dimensions](#trusted-advisor-metrics-dimensions)
## Conditions préalables
Avant de créer des CloudWatch alarmes pour Trusted Advisor les métriques, consultez les informations suivantes :
+ Découvrez comment CloudWatch utilise les métriques et les alarmes. Pour plus d'informations, consultez la section [Comment CloudWatch fonctionne](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_architecture.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Utilisez la Trusted Advisor console ou l' AWS Support API pour actualiser vos vérifications et obtenir les derniers résultats des vérifications. Pour de plus amples informations, veuillez consulter [Actualiser les résultats de vérifications](get-started-with-aws-trusted-advisor.md#refresh-check-results).
**Pour créer une CloudWatch alarme pour les Trusted Advisor métriques**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Utilisez le **sélecteur de région** et choisissez la région **USA Est (Virginie du Nord)** AWS .
1. Dans le panneau de navigation, cliquez sur **Alarms (Alarmes)**.
1. Choisissez **Create alarm (Créer une alerte)**.
1. Choisissez **Sélectionner une métrique**.
1. Pour **Metrics (Métriques)**, saisissez une ou plusieurs valeurs de dimension afin de filtrer la liste des métriques. Par exemple, vous pouvez saisir le nom de la métrique **ServiceLimitUsage**ou la dimension, par exemple le nom du Trusted Advisor chèque.
**Astuce**
Vous pouvez rechercher **Trusted Advisor** pour répertorier toutes les métriques du service.
Pour obtenir une liste des noms de métriques et de dimensions, consultez [Trusted Advisor métriques et dimensions](#trusted-advisor-metrics-dimensions).
1. Dans la table des résultats, cochez la case pour la métrique.
Dans l'exemple suivant, le nom du contrôle est **IAM Access Key Rotation** et le nom de la métrique est **YellowResources**.
![\[Capture d'écran du nom de vérification de la politique de mot de passe IAM Trusted Advisor dans la CloudWatch console.\]](http://docs.aws.amazon.com/fr_fr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_iam_access_key_rotation.png)
1. Choisissez **Select metric** (Sélectionner une métrique).
1. Sur la page **Spécifier la métrique et les conditions**, vérifiez que le **nom de la métrique** et **CheckName**celui que vous avez choisi apparaissent sur la page.
1. Pour **Period (Période)**, vous pouvez spécifier la période pendant laquelle vous souhaitez que l'alarme démarre lorsque l'état de la vérification change, par exemple 5 minutes.
1. Sous **Conditions**, choisissez **Static (Statique)**, puis spécifiez la condition d'alarme pour le moment où l'alarme doit démarrer.
Par exemple, si vous choisissez **Greater/Equal >=threshold (Supérieur/égal >=seuil)** et saisissez **1** pour la valeur seuil, cela signifie que l'alarme démarre lorsque Trusted Advisor détecte au moins une clé d'accès IAM n'ayant pas fait l'objet d'une rotation au cours des 90 derniers jours.
**Remarques**
Pour les **YellowResources**métriques **GreenChecks**,,, et **RedChecks**,, **YellowChecks**,, **RedResources**,,,,,,,,,,,,,,,,,,,,,,,,,,, vous pouvez spécifier un seuil qui est un nombre entier supérieur ou égal à zéro
Trusted Advisor n'envoie pas de métriques pour **GreenResources**les ressources pour lesquelles aucun problème Trusted Advisor n'a été détecté.
1. Choisissez **Suivant**.
1. Dans la page **Configure actions (Configuration d'actions)**, pour **Alarm state trigger (déclencheur d'état d'alarme)**, choisissez **In alarm (avec alarme)**.
1. Pour **Select an SNS topic (Sélectionner une rubrique SNS)**, choisissez une rubrique Amazon Simple Notification Service (Amazon SNS) existante ou créez-en une.
![\[Capture d'écran des paramètres de notification pour une alarme destinée à surveiller une Trusted Advisor métrique dans la CloudWatch console.\]](http://docs.aws.amazon.com/fr_fr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_SNS_topic.png)
1. Choisissez **Suivant**.
1. Pour **Name and description (Nom et description)**, saisissez un nom et une description pour votre alarme.
1. Choisissez **Suivant**.
1. Dans la page **Preview and create (Aperçu et création)**, passez en revue les détails de votre alarme, puis choisissez **Create alarm (Créer une alarme)**.
Lorsque l'état de la vérification **IAM Access Key Rotation (Rotation des clés d'accès IAM)** change et est rouge pendant 5 minutes, votre alarme enverra une notification à votre rubrique SNS.
**Example : notification par e-mail pour une CloudWatch alarme**
Le message électronique suivant indique qu'une alarme a détecté une modification dans la vérification **IAM Access Key Rotation (Rotation des clés d'accès IAM)**.
```
You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state,
because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC".
View this alarm in the AWS Management Console:
https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm
Alarm Details:
- Name: IAMAcessKeyRotationCheckAlarm
- Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days.
- State Change: INSUFFICIENT_DATA -> ALARM
- Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition).
- Timestamp: Friday 26 March, 2021 22:49:42 UTC
- AWS Account: 123456789012
- Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm
Threshold:
- The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds.
Monitored Metric:
- MetricNamespace: AWS/TrustedAdvisor
- MetricName: RedResources
- Dimensions: [CheckName = IAM Access Key Rotation]
- Period: 300 seconds
- Statistic: Average
- Unit: not specified
- TreatMissingData: missing
State Change Actions:
- OK:
- ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic]
- INSUFFICIENT_DATA:
```
## CloudWatch métriques pour Trusted Advisor
Vous pouvez utiliser la CloudWatch console ou le AWS Command Line Interface (AWS CLI) pour trouver les métriques disponibles pour Trusted Advisor.
Pour obtenir la liste des espaces de noms, des métriques et des dimensions de tous les services qui publient des métriques, consultez la section [AWS Services qui publient CloudWatch des métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/aws-services-cloudwatch-metrics.html) dans le *guide de l' CloudWatch utilisateur Amazon*.
### Afficher Trusted Advisor les métriques (console)
Vous pouvez vous connecter à la CloudWatch console et consulter les statistiques disponibles pour Trusted Advisor.
**Pour consulter Trusted Advisor les statistiques disponibles (console)**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Utilisez le **sélecteur de région** et choisissez la région **USA Est (Virginie du Nord)** AWS .
1. Dans le volet de navigation, sélectionnez **Metrics** (Métriques).
1. Entrez un espace de noms de métrique, tel que **TrustedAdvisor**.
1. Sélectionnez une dimension de métrique, telle que **Check Metrics (Métriques de vérification)**.
1. L'onglet **All metrics (Toutes les métriques)** affiche les métriques pour cette dimension dans l'espace de nom. Vous pouvez effectuer les opérations suivantes :
1. Pour trier le tableau, choisissez l'en-tête de colonne.
1. Pour représenter graphiquement une métrique, cochez la case en regard de la métrique. Pour sélectionner toutes les métriques, cochez la case dans la ligne d’en-tête du tableau.
1. Pour filtrer par métrique, choisissez le nom de la métrique, puis **Ajouter à la recherche**.
L'exemple suivant illustre les résultats de la vérification **Security Groups - Specific Ports Unrestricted (Groupes de sécurité :Ports spécifiques non restreints)**. Le chèque identifie 13 ressources jaunes. Trusted Advisor vous recommande d'examiner les chèques jaunes.
![\[Un graphique qui inclut deux mesures de ressources pour le check Security Groups - Specific Ports Unrestricted dans la CloudWatch console.\]](http://docs.aws.amazon.com/fr_fr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_unrestricted_access_check_names.png)
1. (Facultatif) Pour ajouter ce graphique à un CloudWatch tableau de bord, choisissez **Actions**, puis sélectionnez **Ajouter au tableau de bord**.
Pour plus d'informations sur la création d'un graphique permettant de visualiser vos statistiques, consultez la section [Représentation graphique d'une métrique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_a_metric.html) dans le *guide de l' CloudWatch utilisateur Amazon*.
### Afficher Trusted Advisor les métriques (CLI)
Vous pouvez utiliser la AWS CLI commande [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) pour afficher les métriques disponibles pour. Trusted Advisor
**Example : Répertoriez toutes les mesures pour Trusted Advisor**
L'exemple suivant indique l'espace de `AWS/TrustedAdvisor` noms pour lequel afficher toutes les métriques. Trusted Advisor
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor
```
Le résultat peut être similaire à ce qui suit.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Magnetic (standard) volume storage (TiB)"
},
{
"Name": "Region",
"Value": "ap-northeast-2"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Overutilized Amazon EBS Magnetic Volumes"
}
],
"MetricName": "YellowResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "eu-west-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "ap-south-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example : liste de toutes les métriques pour une dimension**
L'exemple suivant spécifie l'espace de nom `AWS/TrustedAdvisor` et la dimension `Region` afin d'afficher les métriques disponibles pour la région AWS spécifiée.
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1
```
Le résultat peut être similaire à ce qui suit.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "SES"
},
{
"Name": "ServiceLimit",
"Value": "Daily sending quota"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "AutoScaling"
},
{
"Name": "ServiceLimit",
"Value": "Launch configurations"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "CloudFormation"
},
{
"Name": "ServiceLimit",
"Value": "Stacks"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example : liste les métriques d'un nom de métrique spécifique**
L'exemple suivant spécifie l'espace de nom `AWS/TrustedAdvisor` et un nom de métrique `RedResources` pour afficher les résultats uniquement pour la métrique spécifiée.
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources
```
Le résultat peut être similaire à ce qui suit.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Amazon RDS Security Group Access Risk"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Exposed Access Keys"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Large Number of Rules in an EC2 Security Group"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Auto Scaling Group Health Check"
}
],
"MetricName": "RedResources"
},
...
]
}
```
## Trusted Advisor métriques et dimensions
Consultez les tableaux suivants pour connaître les Trusted Advisor mesures et les dimensions que vous pouvez utiliser pour vos CloudWatch alarmes et vos graphiques.
### Trusted Advisor métriques au niveau du contrôle
Vous pouvez utiliser les mesures suivantes pour les Trusted Advisor contrôles.
| Métrique | Description |
| --- | --- |
| RedResources | Nombre de ressources à l'état rouge (action recommandée). |
| YellowResources | Nombre de ressources à l'état jaune (investigation recommandée). |
### Trusted Advisor mesures relatives aux quotas de service
Vous pouvez utiliser les mesures suivantes pour les Service AWS quotas.
| Métrique | Description |
| --- | --- |
| ServiceLimitUsage | Pourcentage d'utilisation des ressources par rapport à un quota de service (anciennement appelé limites). |
### Dimensions pour les métriques de niveau de vérification
Vous pouvez utiliser la dimension suivante pour les Trusted Advisor contrôles.
| Dimension | Description |
| --- | --- |
| CheckName | Le nom du Trusted Advisor chèque. Vous pouvez trouver tous les noms des vérifications dans la [console Trusted Advisor](https://console.aws.amazon.com/trustedadvisor/home) ou la [AWS Trusted Advisor vérifier la référence](trusted-advisor-check-reference.md). |
### Dimensions pour les métriques de quotas de service
Vous pouvez utiliser les dimensions suivantes pour les mesures Trusted Advisor de quota de service.
| Dimension | Description |
| --- | --- |
| Region | Le Région AWS pour un quota de service. |
| ServiceName | Le nom de l' Service AWS. |
| ServiceLimit | Le nom du quota de service. Pour de plus amples informations sur les quotas de service, veuillez consulter [Quotas Service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) dans le *Références générales AWS*. |
# Journalisation des actions de AWS Trusted Advisor la console avec AWS CloudTrail
Trusted Advisor est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Trusted Advisor. CloudTrail capture les actions Trusted Advisor sous forme d'événements. Les appels capturés incluent les appels provenant de la Trusted Advisor console. Si vous créez un suivi, vous pouvez activer la diffusion continue des CloudTrail événements vers un bucket Amazon Simple Storage Service (Amazon S3), y compris les événements pour. Trusted Advisor Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite Trusted Advisor, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.
Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Trusted Advisor informations dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans la Trusted Advisor console, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique** des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements à l'aide de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour Trusted Advisor, créez un parcours. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d'ensemble de la création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Trusted Advisor prend en charge la journalisation d'un sous-ensemble des actions de la Trusted Advisor console sous forme d'événements dans des fichiers CloudTrail journaux. CloudTrail enregistre les actions suivantes :
+ ` [ BatchUpdateRecommendationResourceExclusion ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) `
+ `CreateEngagement`
+ `CreateEngagementAttachment`
+ `CreateEngagementCommunication`
+ `CreateExcelReport`
+ `DescribeAccount`
+ `DescribeAccountAccess`
+ `DescribeCheckItems`
+ `DescribeCheckRefreshStatuses`
+ `DescribeCheckSummaries`
+ `DescribeChecks`
+ `DescribeNotificationPreferences`
+ `DescribeOrganization`
+ `DescribeOrganizationAccounts`
+ `DescribeReports`
+ `DescribeServiceMetadata`
+ `ExcludeCheckItems`
+ `GenerateReport`
+ `GetEngagement`
+ `GetEngagementAttachment`
+ `GetEngagementType`
+ `GetExcelReport`
+ ` [ GetOrganizationRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetOrganizationRecommendation.html) `
+ ` [ GetRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetRecommendation.html) `
+ `IncludeCheckItems`
+ `ListAccountsForParent`
+ ` [ListChecks](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListChecks.html) `
+ `ListEngagementCommunications`
+ `ListEngagementTypes`
+ `ListEngagements`
+ ` [ ListOrganizationRecommendationAccounts ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationAccounts.html) `
+ ` [ ListOrganizationRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationResources.html) `
+ ` [ ListOrganizationRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendations.html) `
+ `ListOrganizationalUnitsForParent`
+ ` [ ListRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendationResources.html) `
+ ` [ ListRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendations.html) `
+ `ListRoots`
+ `RefreshCheck`
+ `SetAccountAccess`
+ `SetOrganizationAccess`
+ `UpdateEngagement`
+ `UpdateEngagementStatus`
+ `UpdateNotificationPreferences`
+ ` [ UpdateOrganizationRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateOrganizationRecommendationLifecycle.html) `
+ ` [ UpdateRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateRecommendationLifecycle.html) `
Pour obtenir la liste complète des actions de Trusted Advisor console, consultez[Trusted Advisor actions](security-trusted-advisor.md#trusted-advisor-operations).
**Note**
CloudTrail enregistre également les opérations Trusted Advisor d'API dans la [référence AWS Support d'API](https://docs.aws.amazon.com/awssupport/latest/APIReference/). Pour plus d'informations, consultez[Journalisation des appels d' AWS Support API avec AWS CloudTrail](logging-using-cloudtrail.md).
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été faite avec les informations d'identification de l'utilisateur root ou Gestion des identités et des accès AWS (IAM).
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour plus d'informations, consultez l'élément [CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Exemple : entrées dans le fichier Trusted Advisor journal
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
**Example : entrée de journal pour RefreshCheck**
L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'`RefreshCheck`action à effectuer pour le contrôle de version des compartiments Amazon S3 (IDR365s2Qddf).
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:06:33Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"RefreshCheck",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.136",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"checkId":"R365s2Qddf"
},
"responseElements":{
"status":{
"checkId":"R365s2Qddf",
"status":"enqueued",
"millisUntilNextRefreshable":3599993
}
},
"requestID":"d23ec729-8995-494c-8054-dedeaEXAMPLE",
"eventID":"a49d5202-560f-4a4e-b38a-02f1cEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : entrée de journal pour UpdateNotificationPreferences**
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`UpdateNotificationPreferences`action.
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:09:49Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"UpdateNotificationPreferences",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.167",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"contacts":[
{
"id":"billing",
"type":"email",
"active":false
},
{
"id":"operational",
"type":"email",
"active":false
},
{
"id":"security",
"type":"email",
"active":false
}
],
"language":"en"
},
"responseElements":null,
"requestID":"695295f3-c81c-486e-9404-fa148EXAMPLE",
"eventID":"5f923d8c-d210-4037-bd32-997c6EXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : entrée de journal pour GenerateReport**
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`GenerateReport`action. Cette action crée un rapport pour votre organisation AWS .
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-11-03T13:03:10Z"
}
}
},
"eventTime":"2020-11-03T13:04:29Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"GenerateReport",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.36.171",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"refresh":false,
"includeSuppressedResources":false,
"language":"en",
"format":"JSON",
"name":"organizational-view-report",
"preference":{
"accounts":[
],
"organizationalUnitIds":[
"r-j134"
],
"preferenceName":"organizational-view-report",
"format":"json",
"language":"en"
}
},
"responseElements":{
"status":"ENQUEUED"
},
"requestID":"bb866dc1-60af-47fd-a660-21498EXAMPLE",
"eventID":"2606c89d-c107-47bd-a7c6-ec92fEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```