Prisma Cloud : l'événement d'audit RQL affiche « Aucun résultat » malgré la lecture seule des événements d'audit

Prisma Cloud : l'événement d'audit RQL affiche « Aucun résultat » malgré la lecture seule des événements d'audit

2869
Created On 01/22/24 21:55 PM - Last Modified 01/07/25 04:22 AM


Symptom


AssumeRole log occurs AWS Cloudtrail, for read only events.

Cloudtrail_readonly_option.png


Despite having read only CloudTrail events, there is no result for the Audit Even RQL query in PrismaCloud.
Cloud account status is green under (Settings > Cloud Account). 
event from cloud.audit_logs where operation = 'AssumeRole'

GUI Path: Investigate Page > RQL
Prisma_Operation_AssumeRole_log.png

Environment


  • Nuage de prisme
  • Événement d'audit RQL

Cause


Prisma Cloud n'ingère pas les journaux en lecture seule . L'équipe de développement a la possibilité de créer des exceptions spécifiques et d'autoriser l'ingestion de certains événements de lecture, mais il ne s'agit pas d'une ingestion générale de tous les événements en lecture seule . Prisma Cloud a une limitation interne de 10 événements en lecture seule à ingérer. Dans le cas contraire, il y aurait un délai d'expiration de la limitation du débit de l'API.

Resolution


Par conséquent, Prisma Cloud prend uniquement en charge les événements d'écriture dans AWS CloudTrail.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WiKCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language