Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CloudTrail contenido del registro
El cuerpo del registro contiene campos que le ayudan a determinar la acción solicitada, así como cuándo y dónde se realizó la solicitud. Si el valor de Opcional es Verdadero, el campo solo está presente cuando se aplica al tipo de servicio o evento. API Un valor opcional de False significa que el campo está siempre presente o que su presencia no depende del servicio o del tipo de evento. API Un ejemplo es .responseElements
, que está presente en los eventos de acciones que realizan cambios (acciones de creación, actualización o eliminación).
eventTime
-
La fecha y la hora en que se completó la solicitud, en hora universal coordinada (UTC). La marca horaria de un evento proviene del host local que proporciona el API punto final del servicio en el que se realizó la API llamada. Por ejemplo, un CreateBucket API evento que se ejecute en la región EE.UU. Oeste (Oregón) obtendría su marca horaria a partir de la hora de un AWS host que ejecute el punto de conexión Amazon S3,
s3.us-west-2.amazonaws.com
. En general, AWS los servicios utilizan el Network Time Protocol (NTP) para sincronizar los relojes del sistema.Desde: 1.0
Opcional: Falso
eventVersion
-
La versión del formato del evento de registro. La versión actual es la 1.11.
El
eventVersion
valor es una versión principal y una secundaria del formulariomajor_version
.minor_version
. Por ejemplo, puede tener un valoreventVersion
de1.10
, donde1
es la versión principal y10
es la versión secundaria.CloudTrail incrementa la versión principal si se realiza un cambio en la estructura del evento que no sea compatible con versiones anteriores. Esto incluye eliminar un JSON campo que ya existe o cambiar la forma en que se representa el contenido de un campo (por ejemplo, un formato de fecha). CloudTrail incrementa la versión secundaria si un cambio agrega nuevos campos a la estructura del evento. Esto puede ocurrir si se proporciona información nueva para algunos o todos los eventos existentes o si la información nueva solo se proporciona para los tipos de eventos nuevos. Las aplicaciones deben ignorar los campos nuevos para mantener la compatibilidad con versiones secundarias de la estructura de eventos.
Si CloudTrail introduce nuevos tipos de eventos, pero la estructura del evento no cambia por lo demás, la versión del evento no cambia.
Para asegurarse de que las aplicaciones pueden analizar la estructura de eventos, le recomendamos que haga una comparación de igualdad con el número de la versión principal. Para asegurarte de que existen los campos esperados por la aplicación, también te recomendamos que realices una greater-than-or-equal comparación entre valores en la versión secundaria. No hay ceros a la izquierda en la versión secundaria. Puede interpretar ambos números
major_version
yminor_version
como números y realizar operaciones de comparación.Desde: 1.0
Opcional: Falso
userIdentity
-
Información sobre la IAM identidad que realizó la solicitud. Para obtener más información, consulte CloudTrail userIdentity elemento.
Desde: 1.0
Opcional: Falso
eventSource
-
El servicio de para el que se realizó la solicitud. Este nombre suele ser una forma abreviada del nombre del servicio sin espacios más
.amazonaws.com
. Por ejemplo:-
AWS CloudFormation es
cloudformation.amazonaws.com
. -
Amazon EC2 lo es
ec2.amazonaws.com
. -
Amazon Simple Workflow Service es
swf.amazonaws.com
.
Esta convención tiene algunas excepciones. Por ejemplo,
eventSource
para Amazon CloudWatch esmonitoring.amazonaws.com
.Desde: 1.0
Opcional: Falso
-
eventName
-
La acción solicitada, que es una de las acciones API de ese servicio.
Desde: 1.0
Opcional: Falso
awsRegion
-
El Región de AWS destinatario de la solicitud, por ejemplo
us-east-2
. Consulte Regiones compatibles con CloudTrail.Desde: 1.0
Opcional: Falso
sourceIPAddress
-
La dirección IP desde la que se realizó la solicitud. Para las acciones que se originan desde la consola del servicio, la dirección registrada es para el recurso del cliente subyacente, no para el servidor web de la consola. En el caso de los servicios en AWS, solo se muestra el DNS nombre.
nota
En el caso de eventos originados por AWS, este campo es normalmente
AWS Internal/
, donde#
es un número usado para fines internos.#
Desde: 1.0
Opcional: Falso
userAgent
-
El agente a través del cual se realizó la solicitud, como el AWS Management Console, un AWS servicio, el AWS SDKs o el AWS CLI. Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca. A continuación se incluyen valores de ejemplo:
-
lambda.amazonaws.com
: la solicitud se realizó con AWS Lambda. -
aws-sdk-java
: la solicitud se realizó con AWS SDK for Java. -
aws-sdk-ruby
: la solicitud se realizó con AWS SDK for Ruby. -
aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5
— La solicitud se realizó con el AWS CLI instalado en Linux.
nota
En el caso de los eventos originados por AWS(si CloudTrail sabe quién Servicio de AWS realizó la llamada), este campo es la fuente de eventos del servicio que realiza la llamada (por ejemplo,
ec2.amazonaws.com
). De lo contrario, este campo es
, donde#
AWS Internal/
es un número que se usa para fines internos.#
Desde: 1.0
Opcional: Verdadero
-
errorCode
-
El error del AWS servicio si la solicitud devuelve un error. Para ver un ejemplo que muestra este campo, consulte Ejemplo de código de error y registro de mensajes. Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca.
En el caso de los eventos de actividad de la red, cuando se infringe la política de VPC puntos finales, el código de error es
VpceAccessDenied
.Desde: 1.0
Opcional: Verdadero
errorMessage
-
Si la solicitud devuelve un error, la descripción del error. Este mensaje incluye mensajes sobre errores de autorización. CloudTrail captura el mensaje registrado por el servicio en su gestión de excepciones. Para ver un ejemplo, consulta Ejemplo de código de error y registro de mensajes. Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca.
En el caso de los eventos de actividad de la red, cuando se produce una infracción de la política de VPC puntos finales, siempre
errorMessage
aparecerá el siguiente mensaje:The request was denied due to a VPC endpoint policy
. Para obtener más información sobre los eventos de acceso denegado por infracciones de la política de VPC puntos finales, consulte los ejemplos de mensajes de error de acceso denegado en la Guía del IAM usuario. Para ver un ejemplo de un evento de actividad de red que muestre VPC una infracción de la política de puntos finales, consulte Eventos de actividad de red en esta guía.nota
Algunos AWS servicios proporcionan los campos
errorCode
yerrorMessage
como campos de nivel superior en caso de que se trate. Otros servicios de AWS proporcionan información del error como parte deresponseElements
.Desde: 1.0
Opcional: Verdadero
requestParameters
-
Los parámetros, si hay alguno, que se enviaron con la solicitud. Estos parámetros se documentan en la documentación de API referencia del AWS servicio correspondiente. Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite el
requestParameters
contenido.Desde: 1.0
Opcional: Falso
responseElements
-
Los elementos de respuesta, si los hay, de las acciones que realizaron cambios (acciones de creación, actualización o eliminación). Si la acción no devuelve elementos de respuesta, este campo es
null
. Si una acción no cambia el estado (por ejemplo, una solicitud para obtener o enumerar objetos), este elemento se omite. Los elementos de respuesta a las acciones se documentan en la referencia API documentación para lo apropiado Servicio de AWS. Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite elreponseElements
contenido.El
responseElements
valor es útil para ayudarle a rastrear una solicitud con AWS Support. Tantox-amz-request-id
comox-amz-id-2
contienen información que ayuda a rastrear una solicitud con AWS Support. Estos valores son los mismos que los que devuelve el servicio en respuesta a la solicitud que inicia los eventos, por lo que se pueden utilizar para emparejar el evento con la solicitud.Desde: 1.0
Opcional: Falso
-
additionalEventData
-
Datos adicionales sobre el evento que no forman parte de la solicitud o la respuesta. Este campo tiene un tamaño máximo de 28 KB. Cuando el tamaño del campo supera los 28 KB, se omite el
additionalEventData
contenido.El contenido de
additionalEventData
es variable. Por ejemplo, para los eventos de AWS Management Console inicio de sesión,additionalEventData
podría incluir elMFAUsed
campo con el valor deYes
si la solicitud la realizó un root o un IAM usuario que utilizó la autenticación multifactorial ()MFA.Desde: 1.0
Opcional: Verdadero
requestID
-
El valor que identifica la solicitud. El servicio al que se llama genera este valor. Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca.
Desde: 1.01
Opcional: Verdadero
eventID
-
GUIDgenerado por CloudTrail para identificar de forma única cada evento. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.
Desde: 1.01
Opcional: Falso
eventType
-
Identifica el tipo de evento que generó el registro del evento. Puede ser uno de los siguientes valores:
-
AwsApiCall
— Se API llamaba An. -
AwsServiceEvent
: el servicio generó un evento relacionado con su registro de seguimiento. Por ejemplo, esto puede ocurrir cuando otra cuenta realiza una llamada con un recurso de su propiedad. -
AwsConsoleAction
— Se realizó una acción en la consola que no era una API llamada. -
AwsConsoleSignIn
— Un usuario de tu cuenta (root IAMSAML, federada o SwitchRole) ha iniciado sesión en. AWS Management Console -
AwsCloudTrailInsight
— Si los eventos de Insights están habilitados, CloudTrail genera eventos de Insights cuando CloudTrail detecta una actividad operativa inusual, como picos en el aprovisionamiento de recursos o ráfagas de AWS Identity and Access Management () acciones. IAMLos eventos de
AwsCloudTrailInsight
no utilizan los siguientes campos:-
eventName
-
eventSource
-
sourceIPAddress
-
userAgent
-
userIdentity
-
-
AwsVpceEvents
— Los eventos CloudTrail de actividad de la red (en versión preliminar) permiten a los propietarios de VPC terminales grabar AWS API las llamadas realizadas desde sus VPC puntos de conexión desde una ubicación privada a otra. VPC Servicio de AWS Para registrar los eventos de actividad de la red, el propietario del VPC terminal debe habilitar los eventos de actividad de la red para la fuente del evento.
Desde: 1.02
Opcional: Falso
-
apiVersion
-
Identifica la API versión asociada al
AwsApiCall
eventType
valor.Desde: 1.01
Opcional: Verdadero
managementEvent
-
Un valor booleano que identifica si el evento es un evento de administración.
managementEvent
se muestra en un registro de eventos sieventVersion
es 1.06 o superior y el tipo de evento es uno de los siguientes:-
AwsApiCall
-
AwsConsoleAction
-
AwsConsoleSignIn
-
AwsServiceEvent
Desde: 1.06
Opcional: Verdadero
-
-
readOnly
-
Identifica si esta operación es una operación de solo lectura. Puede ser uno de los valores siguientes:
-
true
: la operación es de solo lectura (por ejemplo,DescribeTrails
). -
false
: la operación es de solo escritura (por ejemplo,DeleteTrail
).
Desde: 1.01
Opcional: Verdadero
-
-
resources
-
Una lista de los recursos a los que ha obtenido acceso el evento. El campo puede contener la siguiente información:
-
Recurso ARNs
-
El ID de cuenta del propietario del recurso
-
El identificador de tipo de recurso en el formato:
AWS::
aws-service-name
::data-type-name
Por ejemplo, cuando se registra un evento
AssumeRole
, el camporesources
puede tener un aspecto similar al siguiente:-
ARN:
arn:aws:iam::123456789012:role/
myRole
-
ID de cuenta:
123456789012
-
Identificador de tipo de recurso:
AWS::
IAM
::Role
Para ver, por ejemplo, los registros con el
resources
campo, consulte AWS STS APIEvento en el archivo de CloudTrail registro en la Guía del IAM usuario o Registro de AWS KMS API llamadas en la Guía del AWS Key Management Service desarrollador.Desde: 1.01
Opcional: Verdadero
-
recipientAccountId
-
Representa el ID de cuenta que recibió este evento. El
recipientAccountID
puede ser diferente de CloudTrail userIdentity elementoaccountId
. Esto puede ocurrir en el acceso de recursos entre cuentas. Por ejemplo, si una cuenta independiente utilizó una KMS clave AWS KMS key, también conocida como, para llamar a Encrypt API, losrecipientAccountID
valoresaccountId
y serán los mismos para el evento entregado a la cuenta que realizó la llamada, pero serán diferentes para el evento que se entregue a la cuenta propietaria de la KMS clave.Desde: 1.02
Opcional: Verdadero
serviceEventDetails
-
Identifica el evento del servicio, incluido lo que activó el evento y el resultado. Para obtener más información, consulte Eventos de Servicio de AWS. Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite el
serviceEventDetails
contenido.Desde: 1.05
Opcional: Verdadero
sharedEventID
-
GUIDgenerado por CloudTrail para identificar de forma única CloudTrail los eventos de la misma AWS acción que se envían a AWS cuentas diferentes.
Por ejemplo, cuando una cuenta usa una AWS KMS keyque pertenece a otra cuenta, la cuenta que usó la KMS clave y la cuenta propietaria de la KMS clave reciben CloudTrail eventos separados para la misma acción. Cada CloudTrail evento generado para esta AWS acción comparte lo mismo
sharedEventID
, pero también tiene uneventID
y únicorecipientAccountID
.Para obtener más información, consulte sharedEventID de ejemplo.
nota
El
sharedEventID
campo solo está presente cuando CloudTrail los eventos se envían a varias cuentas. Si el intermediario y el propietario son la misma cuenta de AWS , CloudTrail envía solo un evento y no se muestra el camposharedEventID
.Desde: 1.03
Opcional: Verdadero
-
vpcEndpointId
-
Identifica el VPC punto final en el que se realizaron las solicitudes desde un AWS servicio VPC a otro, como AmazonEC2.
Desde: 1.04
Opcional: Verdadero
-
vpcEndpointAccountId
-
Identifica el Cuenta de AWS ID del propietario del VPC punto final correspondiente por el que se ha transferido una solicitud.
Desde: 1.09
Opcional: Verdadero
eventCategory
-
Muestra la categoría del evento. La categoría del evento se usa en las llamadas de
LookupEvents
para filtrar los eventos de administración o de Insights.-
Para los eventos de administración, el valor es
Management
. -
Para los eventos de datos de, el valor es
Data
. -
Para los eventos de Insights, el valor es
Insight
. -
En el caso de los eventos de actividad de la red, el valor es
NetworkActivity
.
Desde: 1.07
Opcional: Falso
-
addendum
-
Si se ha retrasado la entrega de un evento o queda disponible información adicional sobre un evento existente después de registrar el evento, un campo anexado muestra información sobre el motivo del retraso del evento. Si falta información de un evento existente, el campo anexado incluye la información que falta y un motivo. El contenido incluye lo siguiente:
-
reason
: el motivo por el que faltaba el evento o algunos de sus contenidos. Los valores pueden ser cualquiera de los siguientes.-
DELIVERY_DELAY
: se produjo un retraso en la entrega de eventos. Esto puede deberse a un tráfico de red elevado, a problemas de conectividad o a un problema de CloudTrail servicio. -
UPDATED_DATA
: faltó un campo en el registro de eventos o había un valor incorrecto. -
SERVICE_OUTAGE
— Un servicio que registra los eventos CloudTrail relacionados con una interrupción y no puede registrarlos CloudTrail. Esto es excepcionalmente raro.
-
-
updatedFields
: los campos del registro de eventos que se actualizan con la información agregada. Esto solo se proporciona si el motivo esUPDATED_DATA
. -
originalRequestID
: el ID único original de la solicitud. Esto solo se proporciona si el motivo esUPDATED_DATA
. -
originalEventID
: el ID del evento original. Esto solo se proporciona si el motivo esUPDATED_DATA
.
Desde: 1.08
Opcional: Verdadero
-
sessionCredentialFromConsole
-
Muestra si un evento se originó o no en una AWS Management Console sesión. Este campo no se muestra a menos que el valor lo sea
true
, lo que significa que el cliente que se utilizó para realizar la API llamada era un proxy o un cliente externo. Si se ha utilizado un cliente proxy, el campo del eventotlsDetails
no se muestra.Desde: 1.08
Opcional: Verdadero
edgeDeviceDetails
-
Muestra información sobre los dispositivos de borde que son destinos de una solicitud. En la actualidad, los dispositivos
S3 Outposts
incluyen este campo. Este campo tiene un tamaño máximo de 28 KB; el contenido que supere ese límite se trunca. Desde: 1.08
Opcional: Verdadero
tlsDetails
-
Muestra información sobre la versión de Transport Layer Security (TLS), los conjuntos de cifrado y el nombre de dominio completo (FQDN) del nombre de host proporcionado por el cliente y utilizado en la API llamada de servicio, que suele ser el FQDN del punto final del servicio. CloudTrailsigue registrando TLS detalles parciales si falta la información esperada o está vacía. Por ejemplo, si la TLS versión y el conjunto de cifrado están presentes, pero el
HOST
encabezado está vacío, los TLS detalles disponibles se seguirán registrando en ese CloudTrail caso.-
tlsVersion
- La TLS versión de una solicitud. -
cipherSuite
: el conjunto de cifrado (combinación de algoritmos de seguridad utilizados) de una solicitud. -
clientProvidedHostHeader
- El nombre de host proporcionado por el cliente y utilizado en la API llamada de servicio, que suele ser el del punto FQDN final del servicio.
nota
Hay algunos casos en los que el campo
tlsDetails
no está presente en un registro de eventos.-
El
tlsDetails
campo no está presente si la API llamada la realizó una persona Servicio de AWS en su nombre. ElinvokedBy
campo deluserIdentity
elemento identifica a la persona Servicio de AWS que realizó la API llamada. -
Si
sessionCredentialFromConsole
está presente con un valor verdadero, solotlsDetails
está presente en un registro de eventos si se utilizó un cliente externo para realizar la API llamada.
Desde: 1.08
Opcional: Verdadero
-
Campos de registro de eventos de Insights
Los siguientes son atributos que se muestran en la JSON estructura de un evento de Insights que difieren de los de un evento de administración o de datos.
sharedEventId
-
La A
sharedEventID
para los eventos de CloudTrail Insights difiere de lasharedEventID
correspondiente a los tipos de CloudTrail eventos de administración y datos. En los eventos de Insights, asharedEventID
es un GUID evento generado por CloudTrail Insights para identificar de forma exclusiva un evento de Insights.sharedEventID
es común entre el inicio y el final de los eventos de Insights y ayuda a conectar ambos eventos para identificar de forma única una actividad inusual.sharedEventID
puede considerarse como el ID general de evento de Insights.Desde: 1.07
Opcional: Falso
insightDetails
-
Solo eventos de Insights. Muestra información sobre los desencadenantes subyacentes de un evento de Insights, como el origen del evento, el agente de usuario, las estadísticas, el API nombre y si el evento es el inicio o el final del evento de Insights. Para obtener más información sobre el contenido del bloque
insightDetails
, consulte Elemento insightDetails CloudTrail InsightsDesde: 1.07
Opcional: Falso
sharedEventID de ejemplo
A continuación se muestra un ejemplo que describe cómo se CloudTrail entregan dos eventos para la misma acción:
-
Alice tiene una AWS cuenta (1111) y crea una AWS KMS key. Es la dueña de esta KMS clave.
-
Bob tiene una AWS cuenta (222222222222). Alice le da permiso a Bob para usar la KMS clave.
-
Cada cuenta tiene un registro de seguimiento y un bucket independiente.
-
Bob usa la KMS tecla para llamar al
Encrypt
API. -
CloudTrail envía dos eventos separados.
-
Un evento se envía a Bob. El evento muestra que usó la KMS clave.
-
Un evento se envía a Alice. El evento muestra que Bob usó la KMS llave.
-
Los eventos tienen el mismo
sharedEventID
, pero eleventID
yrecipientAccountID
son únicos.
-
Evento compartido IDs en CloudTrail Insights
La A sharedEventID
para los eventos de CloudTrail Insights difiere de la sharedEventID
para los tipos de CloudTrail eventos de administración y datos. En los eventos de Insights, a sharedEventID
es un GUID evento generado por CloudTrail Insights para identificar de forma exclusiva un par de eventos de inicio y fin de Insights. sharedEventID
es común entre el inicio y el final de un evento de Insights, y ayuda a crear una correlación entre ambos eventos para identificar de forma única una actividad inusual.
sharedEventID
puede considerarse como el ID general de evento de Insights.