Génération des logs des comptes OVHcloud avec Logs Data Platform
4139 vues
11.02.2025 
IAM
Objectif
Dans ce guide, vous apprendrez à transformer vos événements de compte client OVHcloud en données exploitables grâce à Logs Data Platform, une solution entièrement gérée qui vous aide à stocker, archiver, interroger et visualiser vos logs.
Pour découvrir Logs Data Platform avant de poursuivre ce guide, référez-vous à cette documentation.
Prérequis
- Disposer d'un compte client OVHcloud.
- Disposer d'un compte Logs Data Platform (LDP) au sein de votre compte OVHcloud avec au moins un flux actif configuré. Ce guide vous guidera dans toutes les étapes nécessaires.
Glossaire
Logs Data Platform : Plateforme de gestion de logs entièrement gérée et sécurisée proposée par OVHcloud. Retrouvez plus d'informations sur la Logs Data Platform service page.
Flux de données : partition logique de logs que vous créez dans un compte LDP et que vous utiliserez lors de l'ingestion, la visualisation ou l'interrogation de vos logs. Plusieurs sources peuvent être stockées dans le même flux de données, et il s’agit de l’unité de définition d’un pipeline de logs (politique de rétention, archivage, streaming live, etc.), de droits d’accès et de politiques d’alertes.
Redirection de logs : Fonctionnalité intégrée à un produit OVHcloud pour ingérer les logs de ses services vers un flux de données d'un compte LDP dans le même compte OVHcloud. La fonctionnalité doit être activée par le client pour chaque service.
Abonnement au transfert de logs : Lors de l'activation du transfert de logs pour un service OVHcloud donné vers un flux de données LDP donné, un abonnement est créé et attaché au flux de données pour une gestion ultérieure par le client.
En pratique
Types de logs des comptes OVHcloud
Le compte OVHcloud propose 3 niveaux de logs :
- Journaux d'audit : Fournit un ensemble chronologique d'enregistrements pertinents pour la sécurité, documentant la séquence d'actions dans votre compte OVHcloud (connexions, changement de mot de passe, etc.).
- Journaux d'activité : Fournit tous les enregistrements des actions de votre compte OVHcloud à partir des appels API et des actions effectuées dans l'espace client.
- Logs de politique d'accès : Fournit tous les enregistrements d'évaluation d'accès dans votre compte OVHcloud, y compris les actions d'intégration tierce (c'est-à-dire les actions autorisées ou non autorisées par les politiques IAM).
Activer le transfert de logs
Vous pouvez activer la redirection des logs des comptes OVHcloud via API. Vous devrez cibler un flux de l’un de vos comptes LDP. Les logs seront transférés vers ce flux. L'activation du transfert créera un abonnement pour cet ID de flux.
Notez que l'activation du transfert est gratuite, mais vous serez facturé pour l'utilisation de votre service Logs Data Platform selon le tarif standard. Pour la tarification du LDP, consultez la Logs Data Platform product page.
Pour activer la redirection, utilisez les API suivantes :
Description: Transfert des logs d'audit des comptes vers un flux de données dédié
Description: Transfert des logs de l'API OVHcloud et de l'espace client vers un flux de données dédié
Description: Transfert des logs de politique d'accès IAM du compte vers un flux de données dédié
Par exemple, pour les journaux d'audit :
L'API nécessite:
- un
streamId, qui correspond au flux de données cible de votre compte LDP vers lequel vos journaux de compte OVHcloud seront transférés ; - un
kind, qui correspond à la catégorie de journaux que vous souhaitez transferez dans ce flux de données.
Vous obtiendrez en réponse un operationId afin de pouvoir l'utiliser pour récupérer le subscriptionId. Ceci à des fins de gestion ultérieure à l'aide du point de terminaison de l'opération de lecture de Logs Data Platform suivant :
Vous pouvez retrouver votre streamId dans la partie Logs Data Platform de l'espace client OVHcloud :
- Rendez-vous sur la page
Flux de donnéesde votre compte Logs Data Platform. Dans le tableau qui s'affiche, cliquez sur le bouton...à droite du flux de donnés cible puis cliquez surCopier l'identifiant du flux.
Vous pouvez également récupérer vos flux à l'aide de l'API Logs Data Platform :
Vous pouvez retrouver les différents kind possibles en utilisant les appels API suivants :
Description: Lister les catégories de logs d'audit
Description: Lister les catégories de logs de l'API et de l'espace client
Description: Lister les catégories des logs de politiques d'accès IAM
Accès aux logs des comptes OVHcloud
Maintenant que vos logs de compte OVHcloud sont ingérés et stockés dans votre flux Logs Data Platform, vous pouvez interroger vos logs et construire des tableaux de bord pour avoir une représentation graphique à l'aide de l'interface utilisateur web de Graylog.
- Récupérez l'utilisateur admin (nom du service Logs Data Platform) et le mot de passe sur la page d'accueil de votre compte Logs Data Platform.
-
Ouvrez Graylog
web-ui. Vous pouvez récupérer le lien depuis la page d'accueil de votre compte ou utiliser votre point d'accès en fonction de la région de votre compte (par exemple, la région de Gravelines : https://gra1.logs.ovh.com/). -
Connectez-vous à Graylog en utilisant votre nom de service Logs Data Platform et mot de passe.
- Parcourez vos logs dans le flux de données de votre compte Logs Data Platform. Consultez la documentation de Graylog Writing Search Queries pour plus de détails sur la syntaxe de recherche.
Pour plus de détails sur l'utilisation de vos logs avec Logs Data Platform, reportez-vous à la documentation Logs Data Platform - Visualisation, interrogation et exploitation de vos logs. Cela comprend :
- Comment mettre en place les alertes.
- Comment consulter les logs en temps réel via un WebSocket.
- Comment créer une visualisation avec les tableaux de bord OpenSearch.
- Comment intégrer l'API OpenSearch.
- Comment se connecter avec Grafana.
Détails des logs générés
Audit logs
Pour chaque action liée à la sécurité du compte OVHcloud, une entrée est générée. Les logs générés sont :
- Pour la connexion
| Champ | Valeur | Description |
|---|---|---|
| account | String | Compte OVHcloud concerné par l'action |
| authDetails_userDetails_type | ACCOUNT, PROVIDER ou USER | Indiquez si l'utilisateur est un compte racine (ACCOUNT), un utilisateur local (USER) ou un utilisateur issu d'un SSO (PROVIDER) |
| authDetails_userDetails_user | String | Nom de l'utilisateur |
| client_ip | String | IP de l'utilisateur qui a effectué l'action |
| client_ip_geolocation | String | Géolocalisation de l'utilisateur qui a effectué l'action |
| client_ip_city_name | String | Nom de la ville de l'utilisateur qui a effectué l'action (si disponible) |
| client_ip_country_code | String | Code pays de l'utilisateur qui a effectué l'action |
| loginSuccessDetails_mfaType | String | Indiquez le type d'utilisation de l'authentification multifacteur : BACKUP_COD, MAIL, NONE, SMS, TOTP, U2F, UNKNOWN |
| loginSuccessDetails_userAgent | String | Agent utilisateur de l'utilisateur |
| source | String | iam.ovhcloud |
| type | String | LOGIN_SUCCESS |
- Pour le changement de mot de passe
| Champ | Valeur | Description |
|---|---|---|
| account | String | Compte OVHcloud concerné par l'action |
| client_ip | String | IP de l'utilisateur qui a effectué l'action |
| client_ip_geolocation | String | Géolocalisation de l'utilisateur qui a effectué l'action |
| client_ip_city_name | String | Nom de la ville de l'utilisateur qui a effectué l'action (si disponible) |
| client_ip_country_code | String | Code pays de l'utilisateur qui a effectué l'action |
| source | String | iam.ovhcloud |
| type | String | ACCOUNT_PASSWORD_CHANGED, USER_PASSWORD_CHANGED |
| userPasswordChangedDetails | String | Connexion de l'utilisateur affecté par la modification du mot de passe |
Activity logs
Pour chaque action effectuée par les utilisateurs via l'API ou l'espace client, une entrée est générée avec les données suivantes :
| Champ | Valeur | Description |
|---|---|---|
| account | String | Compte OVHcloud concerné par l'action |
| client_ip | String | IP de l'utilisateur qui a effectué l'action |
| client_ip_geolocation | String | Géolocalisation de l'utilisateur qui a effectué l'action |
| client_ip_city_name | String | Nom de la ville de l'utilisateur qui a effectué l'action (si disponible) |
| client_ip_country_code | String | Code pays de l'utilisateur qui a effectué l'action |
| identities_array | Array of String | Liste des identités de l'utilisateur qui a effectué l'action (URN utilisateur et URN groupes utilisateur) |
| method | GET, POST, PUT ou DELETE | Method of the API |
| path | String | Appel d'API concerné par l'action |
| request_id | String | ID unique de la demande |
| service_name | String | Services OVHcloud concernés par l'action |
| source | manager ou api | Si l'action a été effectuée via le Panneau de configuration (manager) ou l'API (api) |
| status_int | Number | Code HTTP du résultat de la demande |
| url | String | URL appelée sur l'action |
| user_agent | String | Agent utilisateur de l'utilisateur qui a effectué l'action |
| username | String | Nom d'utilisateur de l'utilisateur qui a effectué l'action |
Access Policies logs
Pour chaque action évaluée par l’IAM d’OVHcloud, une entrée est générée avec les données suivantes :
| Champ | Valeur | Description |
|---|---|---|
| account | String | Compte OVHcloud concerné par l'action |
| identities_array | Array of String | Liste des identités de l'utilisateur qui a effectué l'action (URN utilisateur et URN groupes utilisateur) |
| requested_actions_array | Array of String | Liste des actions demandées par l'utilisateur |
| resource | String | URN de la ressource OVHcloud concernée par l'action |
| authorized_actions_array | Array of String | Liste des actions autorisées après l'évaluation de la stratégie |
| unauthorized_actions_array | Array of String | Liste des actions non autorisées après l'évaluation de la stratégie |
Gérer les abonnements
À tout moment, vous pouvez récupérer les abonnements attachés à votre flux Logs Data Platform et choisir de désactiver la redirection en annulant votre abonnement sur votre flux. Afin que votre flux Logs Data Platform ne reçoive plus vos logs d'audit.
Notez que cela ne supprime pas les journaux qui ont été stockés avant la résiliation de l'abonnement, car les données stockées dans un flux de journaux sont immuables sauf si vous supprimez le flux entier.
Actuellement, vous ne pouvez gérer vos abonnements que via l'API de Logs Data Platform.
Les trois routes API Logs Data Platform suivantes vous permettent respectivement de :
- Récupérer une liste de
subscriptionIds associés à un flux de logs spécifique en fonction de sonstreamId.
- Récupérer les informations (telles que type de ressource, ici api-compte, iam-compte et audit-compte, et nom de ressource - nom du compte OVHcloud) du service associé à l'abonnement basé sur son
subscriptionId.
- Supprimer un abonnement basé sur son
subscriptionId.
Aller plus loin
Échangez avec notre communauté d'utilisateurs.
Comment utiliser les politiques IAM depuis votre espace client
26644