CloudTrail Inhalt aufzeichnen - AWS CloudTrail
Datensatzfelder von Insights-EreignissenBeispiel für eine sharedEvent ID

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Inhalt aufzeichnen

Der Hauptteil des Datensatzes enthält Felder, mit deren Hilfe Sie die angeforderte Aktion bestimmen können sowie wann und wo die Anforderung gestellt wurde. Wenn der Wert von Optional True ist, ist das Feld nur vorhanden, wenn es für den Dienst- oder Ereignistyp gilt. API Der optionale Wert False bedeutet, dass das Feld entweder immer vorhanden ist oder dass sein Vorhandensein nicht vom Dienst- oder Ereignistyp abhängt. API Ein Beispiel ist responseElements, das in Ereignissen für Aktionen vorhanden ist, die Änderungen vornehmen (Erstellungs-, Aktualisierungs- oder Löschungsaktionen).

eventTime

Datum und Uhrzeit, zu der die Anforderung abgeschlossen wurde, in koordinierter Weltzeit (UTC). Der Zeitstempel eines Ereignisses stammt von dem lokalen Host, der den API Dienstendpunkt bereitstellt, auf dem der API Anruf getätigt wurde. Beispielsweise würde ein CreateBucket API Ereignis, das in der Region USA West (Oregon) ausgeführt wird, seinen Zeitstempel von der Uhrzeit auf einem AWS Host erhalten, auf dem der Amazon S3 S3-Endpunkt ausgeführt wirds3.us-west-2.amazonaws.com. Im Allgemeinen verwenden AWS Dienste das Network Time Protocol (NTP), um ihre Systemuhren zu synchronisieren.

Seit: 1.0

Optional: False

eventVersion

Die Version des Protokollereignisformats. Die aktuelle Version ist 1.11.

Der eventVersion Wert ist eine Haupt- und eine Nebenversion in der Formmajor_version. minor_version. Sie können beispielsweise einen eventVersion-Wert von 1.10 haben, wobei 1 die Hauptversion und 10 die Nebenversion ist.

CloudTrail erhöht die Hauptversion, wenn eine Änderung an der Ereignisstruktur vorgenommen wird, die nicht abwärtskompatibel ist. Dazu gehört das Entfernen eines bereits vorhandenen JSON Felds oder das Ändern der Darstellung des Feldinhalts (z. B. eines Datumsformats). CloudTrail erhöht die Nebenversion, wenn der Ereignisstruktur durch eine Änderung neue Felder hinzugefügt werden. Dies kann der Fall sein, wenn neue Informationen für einige oder alle vorhandenen Ereignisse verfügbar sind oder wenn neue Informationen nur für neue Ereignistypen verfügbar sind. Anwendungen können neue Felder ignorieren, um weiter kompatibel mit neuen Nebenversionen der Ereignisstruktur zu sein.

Wenn neue Ereignistypen CloudTrail eingeführt werden, die Struktur des Ereignisses aber ansonsten unverändert bleibt, ändert sich die Eventversion nicht.

Um sicherzustellen, dass Ihre Anwendungen die Ereignisstruktur analysieren können, empfehlen wir Ihnen, einen Gleichheitsvergleich der Hauptversionsnummer durchzuführen. Um sicherzugehen, dass die Felder, die von Ihrer Anwendung erwartet werden, vorhanden sind, empfehlen wir außerdem, für die Nebenversion einen greater-than-or-equal -to-Vergleich durchzuführen. Es gibt keine führenden Nullen in der Nebenversion. Sie können sowohl als auch major_version minor_version als Zahlen interpretieren und Vergleichsoperationen durchführen.

Seit: 1.0

Optional: False

userIdentity

Informationen über die IAM Identität, die eine Anfrage gestellt hat. Weitere Informationen finden Sie unter CloudTrail userIdentity Element.

Seit: 1.0

Optional: False

eventSource

Der Service, bei dem die Anforderung gestellt wurde. Dieser Name ist normalerweise eine Kurzform des Servicenamens ohne Leerzeichen plus .amazonaws.com. Beispielsweise:

  • AWS CloudFormation istcloudformation.amazonaws.com.

  • Amazon EC2 istec2.amazonaws.com.

  • Amazon Simple Workflow Service ist swf.amazonaws.com.

Zu dieser Konvention gibt es einige Ausnahmen. Zum Beispiel CloudWatch ist das eventSource für Amazonmonitoring.amazonaws.com.

Seit: 1.0

Optional: False

eventName

Die angeforderte Aktion, bei der es sich um eine der Aktionen im API für diesen Service handelt.

Seit: 1.0

Optional: False

awsRegion

Die AWS-Region , an die die Anfrage gestellt wurde, z. us-east-2 B. Siehe CloudTrail unterstützte Regionen.

Seit: 1.0

Optional: False

sourceIPAddress

Die IP-Adresse, von der die Anforderung erfolgt ist. Bei Aktionen, die von der Servicekonsole ausgehen, ist die gemeldete Adresse die der zugrunde liegenden Kundenressource, nicht die des Konsolen-Webservers. Für Dienste in AWS wird nur der DNS Name angezeigt.

Anmerkung

Bei aus AWS stammenden Ereignissen ist der Inhalt dieses Felds in der Regel AWS Internal/#, wobei # eine Zahl ist, die für interne Zwecke verwendet wird.

Seit: 1.0

Optional: False

userAgent

Der Agent, über den die Anfrage gestellt wurde, z. B. der AWS Management Console, ein AWS Service, der AWS SDKs oder der AWS CLI. Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Es folgen Beispielwerte:

  • lambda.amazonaws.com – Die Anforderung wurde mit AWS Lambda erstellt.

  • aws-sdk-java – Die Anforderung wurde mit AWS SDK for Java erstellt.

  • aws-sdk-ruby – Die Anforderung wurde mit AWS SDK for Ruby erstellt.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— Die Anfrage wurde mit dem auf Linux AWS CLI installierten System gestellt.

Anmerkung

Für Ereignisse, die von AWS, wenn CloudTrail weiß, wer den Aufruf AWS-Service getätigt hat, ausgelöst wurden, ist dieses Feld die Ereignisquelle des aufrufenden Dienstes (zum Beispielec2.amazonaws.com). Andernfalls ist dieses Feld eine ZahlAWS Internal/#, # die für interne Zwecke verwendet wird.

Seit: 1.0

Optional: Wahr

errorCode

Der AWS Dienstfehler, wenn die Anfrage einen Fehler zurückgibt. Ein Beispiel, das dieses Feld zeigt, finden Sie unter Beispiel für ein Protokoll mit Fehlercode und Fehlermeldung. Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten.

Bei Netzwerkaktivitätsereignissen, bei denen ein Verstoß gegen die VPC Endpunktrichtlinie vorliegt, lautet der FehlercodeVpceAccessDenied.

Seit: 1.0

Optional: Wahr

errorMessage

Die Beschreibung des Fehlers, sofern die Anforderung einen Fehler zurückgegeben hat. Diese Nachricht enthält Meldungen zu Autorisierungsfehlern. CloudTrail erfasst die vom Dienst bei der Ausnahmebehandlung protokollierte Nachricht. Ein Beispiel finden Sie unter Beispiel für ein Protokoll mit Fehlercode und Fehlermeldung. Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten.

Wenn bei Netzwerkaktivitätsereignissen ein Verstoß gegen die VPC Endpunktrichtlinie vorliegt, errorMessage wird immer die folgende Meldung angezeigt:The request was denied due to a VPC endpoint policy. Weitere Informationen zu Ereignissen mit Zugriffsverweigerung aufgrund von Verstößen gegen VPC Endpunktrichtlinien finden Sie unter Beispiele für Fehlermeldungen mit IAM Zugriffsverweigerung im Benutzerhandbuch. Ein Beispiel für ein Netzwerkaktivitätsereignis, das einen Verstoß gegen die VPC Endpunktrichtlinie zeigt, finden Sie unter Netzwerkaktivitätsereignisse in diesem Handbuch.

Anmerkung

Einige AWS Dienste stellen die Felder errorCode und errorMessage als Felder auf oberster Ebene für das Ereignis bereit. Andere AWS -Services stellen Fehlerinformationen im Rahmen von responseElements bereit.

Seit: 1.0

Optional: Wahr

requestParameters

Die Parameter, die mit der Anforderung gesendet wurden, sofern zutreffend. Diese Parameter sind in der API Referenzdokumentation für den entsprechenden AWS Dienst dokumentiert. Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der requestParameters Inhalt weggelassen.

Seit: 1.0

Optional: False

responseElements

Die Antwortelemente, falls vorhanden, für Aktionen, die Änderungen vornehmen (Aktionen erstellen, aktualisieren oder löschen). Wenn die Aktion gibt keine Antwortelemente zurück, dieses Feld schonnull. Wenn eine Aktion ändert den Status nicht (z. B. eine Anforderung, Objekte abzurufen oder aufzulisten), dieses Element wird weggelassen. Die Reaktionselemente für Maßnahmen sind in der API Referenz dokumentiert Dokumentation für die entsprechenden AWS-Service. Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der reponseElements Inhalt weggelassen.

Der responseElements Wert ist nützlich, um Ihnen bei der Nachverfolgung einer Anfrage zu helfen mit AWS Support. Sowohl x-amz-request-id als x-amz-id-2 enthalten Informationen, die Ihnen helfen, eine Anfrage nachzuverfolgen AWS Support. Diese Werte sind dieselben wie diejenigen, die der Dienst in der Antwort auf die Anfrage zurückgibt initiiert die Ereignisse, sodass Sie sie verwenden können, um das Ereignis dem zuzuordnen Anfrage.

Seit: 1.0

Optional: False

additionalEventData

Zusätzliche Daten zu dem Ereignis, die nicht Teil der Anforderung oder Antwort waren. Dieses Feld hat eine maximale Größe von 28 KB. Wenn die Feldgröße 28 KB überschreitet, wird der additionalEventData Inhalt weggelassen.

Der Inhalt von additionalEventData ist variabel. additionalEventDataKönnte bei AWS Management Console Anmeldeereignissen beispielsweise das MFAUsed Feld mit dem Wert angeben, Yes ob die Anfrage von einem IAM Root-Benutzer oder einem Benutzer mit Multi-Faktor-Authentifizierung () MFA gestellt wurde.

Seit: 1.0

Optional: Wahr

requestID

Der Wert, anhand dessen die Anforderung identifiziert wird. Der aufgerufene Service generiert diesen Wert. Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten.

Seit: 1.01

Optional: Wahr

eventID

GUIDgeneriert von CloudTrail , um jedes Ereignis eindeutig zu identifizieren. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. Beispiel: Sie können die ID als Primärschlüssel zum Abrufen von Protokolldaten aus einer durchsuchbaren Datenbank verwenden.

Seit: 1.01

Optional: False

eventType

Identifiziert den Typ des Ereignisses, das den Ereignisdatensatz generiert hat. Dabei kann es sich um einen der folgenden Werte handeln:

  • AwsApiCall— Ein API wurde gerufen.

  • AwsServiceEvent – Der Service hat ein Ereignis mit Bezug zu Ihrem Trail generiert. Beispiel: Dies kann auftreten, wenn ein anderes Konto einen Aufruf mit einer Ressource getätigt hat, deren Eigentümer Sie sind.

  • AwsConsoleAction— In der Konsole wurde eine Aktion ausgeführt, bei der es sich nicht um einen API Anruf handelte.

  • AwsConsoleSignIn— Ein Benutzer in Ihrem Konto (rootIAM, federatedSAML, oder SwitchRole) hat sich bei dem AWS Management Console angemeldet.

  • AwsCloudTrailInsight— Wenn Insights-Ereignisse aktiviert sind, werden Insights-Ereignisse CloudTrail generiert, wenn ungewöhnliche Betriebsaktivitäten CloudTrail erkannt werden, wie z. B. hohe Ressourcenbereitstellungen oder Ausbrüche von AWS Identity and Access Management () Aktionen. IAM

    AwsCloudTrailInsight-Ereignisse verwenden nicht die folgenden Felder:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— CloudTrail Netzwerkaktivitätsereignisse (in der Vorschauversion) ermöglichen es VPC Endpunktbesitzern, AWS API Anrufe aufzuzeichnen, die über ihre VPC Endgeräte getätigt wurden, von einem privaten Gerät zum. VPC AWS-Service Um Netzwerkaktivitätsereignisse aufzuzeichnen, muss der VPC Endpunktbesitzer Netzwerkaktivitätsereignisse für die Ereignisquelle aktivieren.

Seit: 1.02

Optional: False

apiVersion

Identifiziert die API Version, die dem AwsApiCall eventType Wert zugeordnet ist.

Seit: 1.01

Optional: Wahr

managementEvent

Ein boolescher Wert, der angibt, ob es sich bei dem Ereignis um ein Verwaltungsereignis handelt. managementEvent wird in einem Ereignisdatensatz angezeigt, wenn eventVersion 1.06 oder höher und der Ereignistyp einer der folgenden ist:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Seit: 1.06

Optional: Wahr

readOnly

Gibt an, ob es sich um einen schreibgeschützten Vorgang handelt. Dabei kann es sich um einen der folgenden Werte handeln:

  • true – Der Vorgang ist schreibgeschützt (z. B. DescribeTrails).

  • false – Der Vorgang ist lesegeschützt (z. B. DeleteTrail).

Seit: 1.01

Optional: Wahr

resources

Eine Liste der Ressourcen, auf die bei dem Ereignis zugegriffen wurde. Das Feld kann die folgenden Informationen enthalten:

  • Ressource ARNs

  • Konto-ID des Ressourceneigentümers

  • Ressourcentyp-ID im folgenden Format: AWS::aws-service-name::data-type-name

Wenn beispielsweise ein AssumeRole-Ereignis protokolliert wird, kann das Feld resources wie folgt angezeigt werden:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • Konto-ID: 123456789012

  • Ressourcentyp-ID: AWS::IAM::Role

Beispiele für Protokolle mit dem resources Feld finden Sie unter AWS STS APIEreignis in CloudTrail Protokolldatei im IAMBenutzerhandbuch oder AWS KMS APIAufrufen protokollieren im AWS Key Management Service Entwicklerhandbuch.

Seit: 1.01

Optional: Wahr

recipientAccountId

Repräsentiert die Konto-ID, die das Ereignis empfangen hat. Die recipientAccountID kann von der CloudTrail userIdentity Element accountId abweichen. Dies kann bei kontoübergreifendem Ressourcenzugriff vorkommen. Wenn beispielsweise ein KMS Schlüssel, auch bekannt als, von einem separaten Konto verwendet wurde AWS KMS key, um Encrypt aufzurufenAPI, sind die recipientAccountID Werte accountId und für das Ereignis identisch, das an das Konto gesendet wurde, das den Anruf getätigt hat, aber die Werte unterscheiden sich für das Ereignis, das an das Konto übermittelt wird, dem der KMS Schlüssel gehört.

Seit: 1.02

Optional: Wahr

serviceEventDetails

Identifiziert das Serviceereignis, einschließlich des Auslösers des Ereignisses und des Ergebnisses. Weitere Informationen finden Sie unter AWS-Service Ereignisse. Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der serviceEventDetails Inhalt weggelassen.

Seit: 1.05

Optional: Wahr

sharedEventID

GUIDgeneriert von CloudTrail , um CloudTrail Ereignisse aus derselben AWS Aktion, die an verschiedene AWS Konten gesendet wurde, eindeutig zu identifizieren.

Wenn ein Konto beispielsweise ein Konto verwendet, AWS KMS keydas zu einem anderen Konto gehört, erhalten das Konto, das den KMS Schlüssel verwendet hat, und das Konto, dem der KMS Schlüssel gehört, separate CloudTrail Ereignisse für dieselbe Aktion. Jedes CloudTrail Ereignis, das für diese AWS Aktion bereitgestellt wird, hat dasselbesharedEventID, hat aber auch ein eindeutiges eventID undrecipientAccountID.

Weitere Informationen finden Sie unter Beispiel für eine sharedEvent ID.

Anmerkung

Das sharedEventID Feld ist nur vorhanden, wenn CloudTrail Ereignisse an mehrere Konten übermittelt werden. Wenn dasselbe AWS -Konto Aufrufer und Eigentümer ist, sendet CloudTrail nur ein Ereignis und das Feld sharedEventID ist nicht vorhanden.

Seit: 1.03

Optional: Wahr

vpcEndpointId

Identifiziert den VPC Endpunkt, an dem Anfragen von einem VPC an einen anderen AWS Service, z. B. Amazon, gestellt wurdenEC2.

Seit: 1.04

Optional: Wahr

vpcEndpointAccountId

Identifiziert die AWS-Konto ID des VPC Endpunktbesitzers für den entsprechenden Endpunkt, für den eine Anfrage eingegangen ist.

Seit: 1.09

Optional: Wahr

eventCategory

Zeigt die Event-Kategorie an. Die Ereigniskategorie wird in LookupEventsAnrufen verwendet, um nach Management- oder Insights-Ereignissen zu filtern.

  • Bei Verwaltungsereignissen lautet der Wert Management.

  • Bei Datenereignissen lautet der Wert Data.

  • Bei Insights-Ereignissen lautet der Wert Insight.

  • Für Netzwerkaktivitätsereignisse ist der WertNetworkActivity.

Seit: 1.07

Optional: False

addendum

Wenn eine Ereigniszustellung verzögert wurde oder zusätzliche Informationen zu einem vorhandenen Ereignis verfügbar werden, nachdem das Ereignis protokolliert wurde, zeigt ein Zusatzfeld Informationen darüber an, warum das Ereignis verzögert wurde. Wenn Informationen zu einem bestehenden Ereignis fehlten, enthält das Nachtragsfeld die fehlenden Informationen und einen Grund für das Fehlen. Die Inhalte sind folgende.

  • reason – Der Grund, dass das Ereignis oder einige seiner Inhalte fehlten. Werte können einer der folgenden sein.

    • DELIVERY_DELAY— Es gab eine Verzögerung bei der Lieferung von Ereignissen. Dies kann durch hohen Netzwerkverkehr, Verbindungsprobleme oder ein CloudTrail Dienstproblem verursacht werden.

    • UPDATED_DATA – Ein Feld im Ereignisdatensatz fehlte oder hatte einen falschen Wert.

    • SERVICE_OUTAGE— Ein Dienst, der Ereignisse protokolliert, CloudTrail hatte einen Ausfall und konnte keine Ereignisse protokollieren. CloudTrail Dies ist außergewöhnlich selten.

  • updatedFields – Die Ereignisdatensatzfelder, die durch das Addendum aktualisiert werden. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

  • originalRequestID – Die ursprüngliche eindeutige ID der Anfrage. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

  • originalEventID – Die ursprüngliche Ereignis-ID. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

Seit: 1.08

Optional: Wahr

sessionCredentialFromConsole

Zeigt an, ob ein Ereignis aus einer AWS Management Console Sitzung stammt oder nicht. Dieses Feld wird nur angezeigt, wenn der Wert „ist“true, was bedeutet, dass der Client, der für den API Anruf verwendet wurde, entweder ein Proxy oder ein externer Client war. Wenn ein Proxy-Client verwendet wurde, wird das tlsDetails-Ereignisfeld nicht angezeigt.

Seit: 1.08

Optional: Wahr

edgeDeviceDetails

Zeigt Informationen zu Edge-Geräten an, die Ziele einer Anforderung sind. Derzeit enthalten S3 Outposts-Gerätereignisse dieses Feld. Dieses Feld hat eine maximale Größe von 28 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten.

Seit: 1.08

Optional: Wahr

tlsDetails

Zeigt Informationen über die Transport Layer Security (TLS) -Version, die Cipher Suites und den vollqualifizierten Domänennamen (FQDN) des vom Client bereitgestellten Hostnamens an, der im API Serviceaufruf verwendet wurde. Dabei handelt es sich in der Regel um den Namen FQDN des Dienstendpunkts. CloudTrailprotokolliert immer noch unvollständige TLS Details, wenn die erwarteten Informationen fehlen oder leer sind. Wenn beispielsweise die TLS Version und die Cipher Suite vorhanden sind, der HOST Header jedoch leer ist, werden die verfügbaren TLS Details dennoch im CloudTrail Ereignis protokolliert.

  • tlsVersion- Die TLS Version einer Anfrage.

  • cipherSuite – Die Verschlüsselungssuite (Kombination der verwendeten Sicherheitsalgorithmen) einer Anfrage.

  • clientProvidedHostHeader— Der vom Client bereitgestellte Hostname, der im API Serviceaufruf verwendet wird. Dabei handelt es sich in der Regel um den Namen FQDN des Dienstendpunkts.

Anmerkung

Es gibt Fälle, in denen das Feld tlsDetails in einem Ereignisdatensatz nicht vorhanden ist.

  • Das tlsDetails Feld ist nicht vorhanden, wenn der API Anruf von einem in AWS-Service Ihrem Namen getätigt wurde. Das invokedBy Feld im userIdentity Element identifiziert den AWS-Service , der den API Anruf getätigt hat.

  • Wenn sessionCredentialFromConsole vorhanden mit dem Wert true tlsDetails ist, ist es in einem Ereignisdatensatz nur vorhanden, wenn ein externer Client für den API Anruf verwendet wurde.

Seit: 1.08

Optional: Wahr

Datensatzfelder von Insights-Ereignissen

Die folgenden Attribute werden in der JSON Struktur eines Insights-Ereignisses angezeigt und unterscheiden sich von denen in einem Verwaltungs- oder Datenereignis.

sharedEventId

A sharedEventID für CloudTrail Insights-Ereignisse unterscheidet sich von den CloudTrail Ereignissen sharedEventID für die Verwaltung und die Datentypen. Bei Insights-Ereignissen sharedEventID ist a ein, GUID das von CloudTrail Insights generiert wird, um ein Insights-Ereignis eindeutig zu identifizieren. sharedEventIDist bei Insights-Ereignissen am Anfang und am Ende üblich und hilft dabei, beide Ereignisse miteinander zu verbinden, um ungewöhnliche Aktivitäten eindeutig zu identifizieren. Sie können sich die sharedEventID als allgemeine ID für Insights-Ereignisse vorstellen.

Seit: 1.07

Optional: False

insightDetails

Nur Insights-Ereignisse. Zeigt Informationen über die zugrunde liegenden Auslöser eines Insights-Ereignisses an, z. B. die Ereignisquelle, den Benutzeragenten, Statistiken, den API Namen und ob das Ereignis der Beginn oder das Ende des Insights-Ereignisses ist. Weitere Informationen über den Inhalt des Blocks insightDetails finden Sie unter CloudTrail insightDetailsElement „Einblicke“.

Seit: 1.07

Optional: False

Beispiel für eine sharedEvent ID

Im folgenden Beispiel wird beschrieben, wie CloudTrail zwei Ereignisse für dieselbe Aktion gesendet werden:

  1. Alice hat ein AWS Konto (111111111111) und erstellt ein. AWS KMS key Sie ist die Besitzerin dieses Schlüssels. KMS

  2. Bob hat ein AWS Konto (222222222222). Alice gibt Bob die Erlaubnis, den Schlüssel zu benutzen. KMS

  3. Jedes Konto verfügt über einen Trail und einen separaten Bucket.

  4. Bob benutzt den KMS Schlüssel, um die anzurufen EncryptAPI.

  5. CloudTrail sendet zwei separate Ereignisse.

    • Ein Ereignis wird an Bob gesendet. Das Ereignis zeigt, dass er den KMS Schlüssel benutzt hat.

    • Ein Ereignis wird an Alice gesendet. Das Ereignis zeigt, dass Bob den KMS Schlüssel benutzt hat.

    • Die Ereignisse haben dieselbe sharedEventID, aber eventID und recipientAccountID sind eindeutig.

Wie das sharedEvent ID-Feld in den Protokollen angezeigt wird

Gemeinsames Ereignis IDs in CloudTrail Insights

A sharedEventID für CloudTrail Insights-Ereignisse unterscheidet sich von Ereignissen sharedEventID für die Verwaltung und die Datentypen von CloudTrail Ereignissen. Bei Insights-Ereignissen sharedEventID ist a ein, GUID das von CloudTrail Insights generiert wird, um ein Start- und Endpaar von Insights-Ereignissen eindeutig zu identifizieren. sharedEventIDist häufig zwischen dem Start- und dem Endereignis von Insights und hilft dabei, eine Korrelation zwischen beiden Ereignissen herzustellen, um ungewöhnliche Aktivitäten eindeutig zu identifizieren.

Sie können sich die sharedEventID als allgemeine ID für Insights-Ereignisse vorstellen.