CloudTrail enregistrer le contenu - AWS CloudTrail
Champs d'enregistrement pour les événements InsightsExemple sharedEvent d'ID

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail enregistrer le contenu

Le corps de l’enregistrement contient les champs qui permettent de déterminer l’action demandée, ainsi que le moment et l’endroit où la demande a été effectuée. Lorsque la valeur de Facultatif est True, le champ n'est présent que lorsqu'il s'applique au service ou au type d'événement. API La valeur facultative False signifie que le champ est toujours présent ou que sa présence ne dépend pas du service ou du type d'événement. API Voici un exemple : responseElements, qui est présent dans les événements pour les actions qui apportent des modifications (actions de création, de mise à jour ou de suppression).

CloudTrail tronque un champ si son contenu dépasse la taille maximale du champ. Si un champ est tronqué, omitted est présent avec une valeur de true.

eventTime

Date et heure auxquelles la demande a été traitée, en temps universel coordonné (UTC). L'horodatage d'un événement provient de l'hôte local qui fournit le point de API terminaison de service sur lequel l'APIappel a été effectué. Par exemple, un CreateBucket API événement organisé dans la région de l'ouest des États-Unis (Oregon) sera horodaté à partir de l'heure sur un AWS hôte exécutant le point de terminaison Amazon S3,s3.us-west-2.amazonaws.com. En général, les AWS services utilisent le protocole Network Time Protocol (NTP) pour synchroniser les horloges de leur système.

Depuis : 1.0

Facultatif : False

eventVersion

Version du format de l’événement du journal. La version actuelle est la 1.10.

La eventVersion valeur est une version majeure et une version mineure du formulaire major_version.minor_version. Par exemple, vous pouvez avoir une eventVersion valeur de1.09, où se 1 trouve la version majeure et 09 est la version mineure.

CloudTrail incrémente la version principale si une modification non rétrocompatible est apportée à la structure de l'événement. Cela inclut la suppression d'un JSON champ qui existe déjà ou la modification de la façon dont le contenu d'un champ est représenté (par exemple, un format de date). CloudTrail augmente la version mineure si une modification ajoute de nouveaux champs à la structure de l'événement. Cela peut se produire si de nouvelles informations sont disponibles pour tout ou partie des événements existants, ou si de nouvelles informations sont disponibles seulement pour des types d’événements nouvellement introduits. Les applications peuvent ignorer les nouveaux champs pour être compatibles avec de nouvelles versions mineures de la structure de l'événement.

Si de CloudTrail nouveaux types d'événements sont introduits, mais que la structure de l'événement reste inchangée, la version de l'événement ne change pas.

Pour vous assurer que vos applications puissent analyser la structure de l’événement, nous vous recommandons d’effectuer une comparaison égal à sur le numéro de version majeure. Pour être sûr que les champs attendus par votre application existent, nous vous recommandons également d'effectuer une comparaison greater-than-or-equal -to sur la version mineure. La version mineure ne comporte pas de zéros au début. Vous pouvez interpréter les deux major_version and minor_version sous forme de nombres, et effectuez des opérations de comparaison.

Depuis : 1.0

Facultatif : False

userIdentity

Informations sur l'IAMidentité de l'auteur de la demande. Pour de plus amples informations, veuillez consulter CloudTrail userIdentity élément.

Depuis : 1.0

Facultatif : False

eventSource

Service auprès duquel la demande a été faite. Ce nom est généralement une forme abrégée du nom du service sans espaces, plus .amazonaws.com. Par exemple :

  • AWS CloudFormation estcloudformation.amazonaws.com.

  • Amazon EC2 l'estec2.amazonaws.com.

  • Amazon Simple Workflow Service est swf.amazonaws.com.

Cette convention présente quelques exceptions. Par exemple, eventSource pour Amazon, CloudWatch c'estmonitoring.amazonaws.com.

Depuis : 1.0

Facultatif : False

eventName

L'action demandée, qui est l'une des actions API du service correspondant.

Depuis : 1.0

Facultatif : False

awsRegion

Le Région AWS destinataire de la demande, tel queus-east-2. Consultez CloudTrail Régions prises en charge.

Depuis : 1.0

Facultatif : False

sourceIPAddress

Adresse IP à partir de laquelle la demande a été faite. Pour les actions qui sont créées à partir de la console de service, l’adresse présentée est celle de la ressource du client sous-jacent, non le serveur Web de la console. Pour les services en AWS, seul le DNS nom est affiché.

Note

Pour les événements émis par AWS, ce champ est généralement AWS Internal/#, où # est un nombre utilisé à des fins internes.

Depuis : 1.0

Facultatif : False

userAgent

L'agent par l'intermédiaire duquel la demande a été faite, tel que le AWS Management Console, un AWS service, le AWS SDKs ou le AWS CLI. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Voici quelques exemples de valeurs :

  • lambda.amazonaws.com – La demande a été effectuée avec AWS Lambda.

  • aws-sdk-java – La demande a été effectuée avec le AWS SDK for Java.

  • aws-sdk-ruby – La demande a été effectuée avec le AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— La demande a été faite avec le système AWS CLI installé sur Linux.

Note

Pour les événements créés par AWS, si CloudTrail vous savez qui Service AWS a effectué l'appel, ce champ est la source de l'événement du service d'appel (par exemple,ec2.amazonaws.com). Dans le cas contraire, ce champ estAWS Internal/#, où # est un numéro utilisé à des fins internes.

Depuis : 1.0

Facultatif : True

errorCode

Erreur de AWS service si la demande renvoie une erreur. Pour obtenir un exemple qui montre ce champ, consultez Exemple de code d'erreur et de journal de messages. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Pour les événements liés à l'activité réseau, en cas de violation de la politique des VPC terminaux, le code d'erreur estVpceAccessDenied.

Depuis : 1.0

Facultatif : True

errorMessage

Si la demande renvoie une erreur, description de l’erreur. Ce message inclut des messages relatifs à des échecs d'autorisation. CloudTrail capture le message enregistré par le service dans sa gestion des exceptions. Pour voir un exemple, consultez Exemple de code d'erreur et de journal de messages. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Pour les événements d'activité réseau, en cas de violation de la politique du point de VPC terminaison, le message suivant errorMessage sera toujours le suivant :The request was denied due to a VPC endpoint policy. Pour plus d'informations sur les événements de refus d'accès liés à des violations de la politique des VPC terminaux, consultez les exemples de messages d'erreur de refus d'accès dans le guide de IAM l'utilisateur. Pour un exemple d'événement d'activité réseau illustrant une violation de la politique des VPC terminaux, consultez la section Événements d'activité réseau de ce guide.

Note

Certains AWS services fournissent les champs errorCode et errorMessage en tant que champs de haut niveau lors de l'événement. D’autres services AWS fournissent des informations d’erreur dans le cadre de responseElements.

Depuis : 1.0

Facultatif : True

requestParameters

Les paramètres, le cas échéant, qui ont été envoyées avec la demande. Ces paramètres sont documentés dans la documentation de API référence du AWS service approprié. Ce champ a une taille maximale de 100 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.0

Facultatif : False

responseElements

Les éléments de réponse, le cas échéant, pour les actions apportant des modifications (actions de création, de mise à jour ou de suppression). Si l'action ne renvoie pas d'éléments de réponse, ce champ l'estnull. Si une action ne change pas d'état (par exemple, une demande pour obtenir ou répertorier des objets), cet élément est omis. Les éléments de réponse aux actions sont documentés dans la API référence documentation pour le produit approprié Service AWS. Ce champ a une taille maximale de 100 Ko ; le contenu dépassant cette limite est tronqué.

La responseElements valeur est utile pour vous aider à suivre une demande avec AWS Support. Les deux x-amz-request-id et x-amz-id-2 contiennent des informations qui vous aident à suivre une demande auprès de AWS Support. Ces valeurs sont les mêmes que ceux que le service renvoie en réponse à la demande initie les événements, afin que vous puissiez les utiliser pour faire correspondre l'événement à demande.

Depuis : 1.0

Facultatif : False

additionalEventData

Des données supplémentaires sur l’événement qui ne faisaient pas partie de la demande ou de la réponse. Ce champ a une taille maximale de 28 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.0

Facultatif : True

requestID

Valeur qui identifie la demande. Le service appelé génère cette valeur. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.01

Facultatif : True

eventID

GUIDgénéré par CloudTrail pour identifier de manière unique chaque événement. Vous pouvez utiliser cette valeur pour identifier un événement unique. Par exemple, vous pouvez utiliser l’ID comme clé primaire pour récupérer les données des journaux à partir d’une base de données dans laquelle vous pouvez effectuer des recherches.

Depuis : 1.01

Facultatif : False

eventType

Identifie le type d’événement qui a généré l’enregistrement de l’événement. Il peut s’agir de l’une des valeurs suivantes :

  • AwsApiCall— On m'APIa appelé.

  • AwsServiceEvent – Le service a généré un événement lié à votre journal d'activité. Par exemple, cela peut se produire lorsqu’un autre compte a effectué un appel avec une ressource dont vous êtes propriétaire.

  • AwsConsoleAction— Une action qui n'était pas un API appel a été effectuée dans la console.

  • AwsConsoleSignIn— Un utilisateur de votre compte (rootIAM, fédéré ou SwitchRole) s'est connecté au AWS Management Console. SAML

  • AwsCloudTrailInsight— Si les événements Insights sont activés, CloudTrail génère des événements Insights lorsqu'une activité opérationnelle inhabituelle est CloudTrail détectée, telle que des pics d'approvisionnement en ressources ou des rafales d'actions AWS Identity and Access Management ()IAM.

    Les événements AwsCloudTrailInsight n'utilisent pas les champs suivants :

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— les événements d'activité CloudTrail réseau (en version préliminaire) permettent aux propriétaires de VPC terminaux d'enregistrer les AWS API appels passés à l'aide de leurs VPC terminaux depuis un terminal privé VPC vers le Service AWS. Pour enregistrer les événements d'activité réseau, le propriétaire du VPC terminal doit activer les événements d'activité réseau pour la source de l'événement.

Depuis : 1.02

Facultatif : False

apiVersion

Identifie la API version associée à la AwsApiCall eventType valeur.

Depuis : 1.01

Facultatif : True

managementEvent

Valeur booléenne qui identifie si l’événement est un événement de gestion. managementEvent s’affiche dans un enregistrement d’événement si eventVersion est la version 1.06 ou supérieure et que le type d’événement est l’un des types suivants :

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Depuis : 1.06

Facultatif : True

readOnly

Identifie si cette opération est en lecture seule. Il peut s’agir de l’une des valeurs suivantes :

  • true – L’opération est en lecture seule (par exemple, DescribeTrails).

  • false – L’opération est en écriture seule (par exemple, DeleteTrail).

Depuis : 1.01

Facultatif : True

resources

Une liste des ressources consultées dans l'événement. Le champ peut contenir les informations suivantes :

  • Ressource ARNs

  • ID de compte du propriétaire de la ressource

  • Identifiant du type de ressource au format : AWS::aws-service-name::data-type-name

Par exemple, quand un événement AssumeRole est consigné, le champ resources peut apparaître comme ce qui suit :

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID de compte : 123456789012

  • Identifiant du type de ressource : AWS::IAM::Role

Par exemple, enregistre avec le resources champ, voir AWS STS APIÉvénement dans le fichier CloudTrail journal dans le guide de IAM l'utilisateur ou journalisation AWS KMS API des appels dans le guide du AWS Key Management Service développeur.

Depuis : 1.01

Facultatif : True

recipientAccountId

Représente l’ID du compte qui a reçu cet événement. L’élément recipientAccountID peut être différent de CloudTrail userIdentity élément accountId. Cela peut se produire dans l’accès aux ressources entre comptes. Par exemple, si une KMS clé, également connue sous le nom de AWS KMS key, a été utilisée par un compte distinct pour appeler le chiffrement API, recipientAccountID les valeurs accountId et seront les mêmes pour l'événement transmis au compte qui a effectué l'appel, mais les valeurs seront différentes pour l'événement transmis au compte propriétaire de la KMS clé.

Depuis : 1.02

Facultatif : True

serviceEventDetails

Identifie l’événement de service, y compris ce qui le déclenche et le résultat. Pour plus d'informations, consultez Service AWS événements. Ce champ a une taille maximale de 100 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.05

Facultatif : True

sharedEventID

GUIDgénéré par CloudTrail pour identifier de manière unique les CloudTrail événements AWS d'une même action envoyée à différents AWS comptes.

Par exemple, lorsqu'un compte utilise un AWS KMS keycompte appartenant à un autre compte, le compte qui a utilisé la KMS clé et le compte propriétaire de la KMS clé reçoivent des CloudTrail événements distincts pour la même action. Chaque CloudTrail événement organisé pour cette AWS action partage la même chosesharedEventID, mais possède également un eventID et uniquerecipientAccountID.

Pour de plus amples informations, veuillez consulter Exemple sharedEvent d'ID.

Note

Le sharedEventID champ n'est présent que lorsque les CloudTrail événements sont transmis à plusieurs comptes. Si l'appelant et le propriétaire sont le même AWS compte, CloudTrail envoie un seul événement et le sharedEventID champ n'est pas présent.

Depuis : 1.03

Facultatif : True

vpcEndpointId

Identifie le VPC point de terminaison sur lequel les demandes ont été adressées VPC à un autre AWS service, tel qu'AmazonEC2.

Depuis : 1.04

Facultatif : True

vpcEndpointAccountId

Identifie l' Compte AWS ID du propriétaire du VPC point de terminaison correspondant pour lequel une demande a été transmise.

Depuis : 1.09

Facultatif : True

eventCategory

Affiche la catégorie de l'événement. La catégorie d'événement est utilisée dans les LookupEventsappels pour filtrer les événements de gestion ou Insights.

  • Pour les événements de gestion, la valeur est Management.

  • Pour les événements de données, la valeur est Data.

  • Pour les événements Insights, la valeur est Insight.

  • Pour les événements liés à l'activité du réseau, la valeur estNetworkActivity.

Depuis : 1.07

Facultatif : False

addendum

Si la livraison d'un événement a été retardée ou si des informations supplémentaires sur un événement existant sont disponibles après l'enregistrement de l'événement, un champ addenda affiche des informations sur les raisons pour lesquelles l'événement a été retardé. Si des informations manquaient dans un événement existant, le champ addenda inclut les informations manquantes et une raison pour laquelle elles étaient manquantes. Le contenu comprend les éléments suivants :

  • reason - La raison pour laquelle l'événement ou une partie de son contenu était manquant. Il peut s'agir de l'une des valeurs suivantes :

    • DELIVERY_DELAY – Il y a eu un retard de livraison des événements. Cela peut être dû à un trafic réseau élevé, à des problèmes de connectivité ou à un problème CloudTrail de service.

    • UPDATED_DATA – Un champ de l'enregistrement d'événement manquait ou comportait une valeur incorrecte.

    • SERVICE_OUTAGE— Un service qui enregistre les événements en CloudTrail cas de panne et qui n'a pas pu les enregistrer CloudTrail. Ceci est extrêmement rare.

  • updatedFields - Les champs d'enregistrement d'événement mis à jour par l'addenda. Ceci n'est fourni que si la raison est UPDATED_DATA.

  • originalRequestID - ID unique d'origine de la demande. Ceci n'est fourni que si la raison est UPDATED_DATA.

  • originalEventID - ID d'événement d'origine. Ceci n'est fourni que si la raison est UPDATED_DATA.

Depuis : 1.08

Facultatif : True

sessionCredentialFromConsole

Indique si un événement est issu d'une AWS Management Console session. Ce champ n'est pas affiché sauf si la valeur esttrue, ce qui signifie que le client utilisé pour effectuer l'APIappel était un proxy ou un client externe. Si un client proxy a été utilisé, le champ d'événement tlsDetails n'est pas affiché.

Depuis : 1.08

Facultatif : True

edgeDeviceDetails

Affiche des informations sur les périphériques cibles d'une demande. Actuellement, les événements du périphérique S3 Outposts incluent ce champ. Ce champ a une taille maximale de 28 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.08

Facultatif : True

tlsDetails

Affiche des informations sur la version de Transport Layer Security (TLS), les suites de chiffrement et le nom de domaine complet (FQDN) du nom d'hôte fourni par le client et utilisé dans l'APIappel de service, qui est généralement celui du point de terminaison FQDN du service. CloudTrailenregistre toujours des TLS détails partiels si les informations attendues sont manquantes ou vides. Par exemple, si la TLS version et la suite de chiffrement sont présentes, mais que l'HOSTen-tête est vide, les TLS détails disponibles sont toujours enregistrés dans l' CloudTrail événement.

  • tlsVersion- La TLS version d'une demande.

  • cipherSuite : La suite de chiffrement (combinaison d’algorithmes de sécurité utilisés) d’une requête.

  • clientProvidedHostHeader- Le nom d'hôte fourni par le client et utilisé dans l'APIappel de service, qui est généralement celui du point FQDN de terminaison du service.

Note

Dans certains cas, le champ tlsDetails n'est pas présent dans un enregistrement d'événement.

  • Le tlsDetails champ n'est pas présent si l'APIappel a été effectué par un Service AWS ou en votre nom. Le invokedBy champ de l'userIdentityélément identifie la personne Service AWS qui a effectué l'APIappel.

  • S'il sessionCredentialFromConsole est présent avec la valeur true, n'tlsDetailsest présent dans un enregistrement d'événement que si un client externe a été utilisé pour effectuer l'APIappel.

Depuis : 1.08

Facultatif : True

Champs d'enregistrement pour les événements Insights

Les attributs présentés dans la JSON structure d'un événement Insights sont les suivants. Ils sont différents de ceux d'un événement de gestion ou de données.

sharedEventId

Les événements A sharedEventID pour CloudTrail Insights sont différents des CloudTrail événements sharedEventID relatifs à la gestion et aux types de données. Dans les événements Insights, a sharedEventID est un GUID événement généré par CloudTrail Insights pour identifier de manière unique un événement Insights. sharedEventIDest courant entre les événements Insights de début et de fin, et permet de relier les deux événements afin d'identifier de manière unique les activités inhabituelles. Vous pouvez considérer sharedEventID comme l’ID d’événement Insights global.

Depuis : 1.07

Facultatif : False

insightDetails

Événements Insights uniquement. Affiche des informations sur les déclencheurs sous-jacents d'un événement Insights, telles que la source de l'événement, l'agent utilisateur, les statistiques, le API nom, et indique si l'événement marque le début ou la fin de l'événement Insights. Pour plus d'informations sur le contenu du bloc insightDetails, consultez CloudTrail insightDetailsÉlément Insights.

Depuis : 1.07

Facultatif : False

Exemple sharedEvent d'ID

L'exemple suivant décrit comment CloudTrail délivre deux événements pour la même action :

  1. Alice possède un AWS compte (111111111111) et crée un. AWS KMS key Elle est propriétaire de cette KMS clé.

  2. Bob a un AWS compte (222222222222). Alice autorise Bob à utiliser la KMS clé.

  3. Chaque compte a un journal de suivi et un compartiment distinct.

  4. Bob utilise la KMS touche pour appeler le EncryptAPI.

  5. CloudTrail envoie deux événements distincts.

    • Un événement est envoyé à Bob. L'événement montre qu'il a utilisé la KMS clé.

    • Un deuxième événement est envoyé à Alice. L'événement montre que Bob a utilisé la KMS clé.

    • Les événements ont les mêmes sharedEventID, mais les eventID et recipientAccountID sont uniques.

Comment le champ sharedEvent ID apparaît dans les journaux

Événement partagé IDs dans CloudTrail Insights

Les événements A sharedEventID pour CloudTrail Insights sont différents des CloudTrail événements sharedEventID relatifs à la gestion et aux types de données. Dans les événements Insights, a sharedEventID est un GUID événement généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. sharedEventIDest courant entre le début et la fin de l'événement Insights et permet de créer une corrélation entre les deux événements afin d'identifier de manière unique les activités inhabituelles.

Vous pouvez considérer sharedEventID comme l’ID d’événement Insights global.