Événements de gestion Événements de données Événements Insights

Comprendre les CloudTrail événements

Un événement dans CloudTrail est l'enregistrement d'une activité sur un AWS compte. Cette activité peut être une action entreprise par une identité IAM ou un service contrôlable par. CloudTrail CloudTrail les événements fournissent un historique de l'activité des comptes API et non-API effectuée via les AWS SDK AWS Management Console, les outils de ligne de commande, etc. Services AWS

CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.

Il existe trois types d' CloudTrail événements :

Événements de gestion
Événements de données
Événements Insights

Par défaut, les journaux de suivi et les entrepôts de données d'événement consignent les événements de gestion, mais pas les événements de données ou les événements Insights.

Tous les types d'événements utilisent un format de journal CloudTrail JSON. Le journal contient des informations sur les demandes pour les ressources de votre compte, telles que l’auteur de la demande, les services utilisés, les actions réalisées et les paramètres pour l'action. Les données d’événement sont contenues dans un tableau Records.

Pour plus d'informations sur les champs d'enregistrement d' CloudTrail événements, consultezCloudTrail enregistrer le contenu.

Événements de gestion

Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.

Les événements de gestion sont notamment les suivants :

Configuration de la sécurité (par exemple, les opérations d' AWS Identity and Access Management AttachRolePolicyAPI).
Enregistrement des appareils (par exemple, les opérations d'API CreateDefaultVpc Amazon EC2).
Configuration des règles de routage des données (par exemple, les opérations d'API CreateSubnet Amazon EC2).
Configuration de la journalisation (par exemple, les opérations d' AWS CloudTrail CreateTrailAPI).

Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour plus d’informations, consultez Événements non liés à l'API capturés par CloudTrail.

Par défaut, les données relatives aux événements relatifs aux CloudTrail sentiers et aux CloudTrail lacs stockent les événements de gestion des journaux. Pour plus d'informations sur la journalisation des événements de gestion, consultezJournalisation des événements de gestion.

L'exemple suivant montre un enregistrement de journal unique d'un événement de gestion. Dans cet événement, un utilisateur IAM nommé Mary_Major a exécuté la aws cloudtrail start-logging commande pour appeler l' CloudTrail StartLoggingaction permettant de démarrer le processus de journalisation sur un parcours nommémyTrail.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Dans l'exemple suivant, un utilisateur IAM nommé Paulo_Santos a exécuté la commande aws cloudtrail start-event-data-store-ingestion pour appeler l'action StartEventDataStoreIngestion permettant de démarrer l'ingestion dans un entrepôt de données d'événement.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Événements de données

Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.

Les événements de données incluent notamment :

Activité de l'API au niveau des objets Amazon S3 (par exemple, GetObjectDeleteObject, et opérations d'PutObjectAPI) sur des objets dans des compartiments S3.
AWS Lambda activité d'exécution de fonctions (l'InvokeAPI).
CloudTrail PutAuditEventsactivité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.
Opérations d'API Publish et PublishBatch d'Amazon SNS sur des rubriques.

Le tableau suivant indique les types d'événements de données disponibles pour les journaux de suivi et les entrepôts de données d'événement. La colonne Type d’événement de données (console) indique la sélection appropriée dans la console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre magasin de données de suivi ou d'événement à l' AWS CLI aide des API or. CloudTrail

Pour les traces, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types d'événements de données indiqués dans les lignes restantes.

Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.

Service AWS	Description	Type d’événement de données (console)	valeur resources.type
Amazon DynamoDB	Activité de l'API au niveau des éléments Amazon DynamoDB sur les tables (par exemple`PutItem`,`DeleteItem`, et les opérations d'API). `UpdateItem` Note Pour les tables ayant les flux activés, le champ `resources` dans l’événement de données contient à la fois `AWS::DynamoDB::Stream` et `AWS::DynamoDB::Table`. Si vous spécifiez `AWS::DynamoDB::Table` comme `resources.type`, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le `eventName` champ.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda activité d'exécution de fonctions (l'`Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	Activité d'API au niveau des objets Amazon S3 (par exemple, `GetObjectDeleteObject`, et opérations d'`PutObject`API) sur des objets dans des compartiments à usage général.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig Activité de l'API pour les opérations de configuration telles que les appels vers `StartConfigurationSession` et`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Échange de données B2B	Activité de l’API d’échange de données B2B pour les opérations du transformateur telles que les appels vers `GetTransformerJob` et `StartTransformerJob`.	Échange de données B2B	`AWS::B2BI::Transformer`
Amazon Bedrock	Activité de l’API Amazon Bedrock sur un alias d’agent.	Alias d’agent Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Activité de l’API Amazon Bedrock sur une base de connaissances.	Base de connaissances Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon CloudFront	CloudFront Activité de l'API sur un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map Activité de l'API sur un espace de noms.	AWS Cloud Map espace de nom	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map Activité de l'API sur un service.	AWS Cloud Map web	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`activité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	Activité de CloudWatch l'API Amazon sur les métriques.	CloudWatch métrique	`AWS::CloudWatch::Metric`
Amazon CodeWhisperer	Activité de CodeWhisperer l'API Amazon lors d'une personnalisation.	CodeWhisperer personnalisation	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	Activité de CodeWhisperer l'API Amazon sur un profil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Activité de l'API Amazon Cognito sur les réserves d'identités Amazon Cognito.	Réserves d’identités Cognito	`AWS::Cognito::IdentityPool`
Amazon DynamoDB	Activité de l'API Amazon DynamoDB sur les flux.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	API directes Amazon Elastic Block Store (EBS) telles que `PutSnapshotBlock`, `GetSnapshotBlock`, et `ListChangedBlocks` sur des instantanés Amazon EBS.	API directes Amazon EBS	`AWS::EC2::Snapshot`
Amazon EMR	Activité de l’API Amazon EMR sur un espace de travail de journalisation à écriture anticipée.	Espace de travail de journalisation à écriture anticipée EMR	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Activité de l'API Amazon FinSpace sur les environnements.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue Activité de l'API sur les tables créées par Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	Activité de GuardDuty l'API Amazon pour un détecteur.	GuardDuty détecteur	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging Activité de l'API sur les magasins de données.	MedicalImaging magasin de données	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT Activité de l'API sur les certificats.	Certificat IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT Activité de l'API sur les objets.	Un truc lié à l'IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Activité de l'API Greengrass depuis un appareil principal de Greengrass sur une version de composant. Note Greengrass n'enregistre pas les cas de refus d'accès.	Version du composant IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Activité de l'API Greengrass depuis un appareil principal de Greengrass lors d'un déploiement. Note Greengrass n'enregistre pas les cas de refus d'accès.	Déploiement de Greengrass pour l'IoT	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	Activité de SiteWise l'API IoT sur les actifs.	SiteWise Actif IoT	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	Activité de SiteWise l'API IoT sur les séries chronologiques.	Séries SiteWise chronologiques sur l'IoT	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	Activité de TwinMaker l'API IoT sur une entité.	TwinMaker Entité IoT	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	Activité de TwinMaker l'API IoT sur un espace de travail.	Espace de TwinMaker travail IoT	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra)	Activité de l'API de classement intelligent Amazon Kendra sur les plans d'exécution de réévaluation.	Classement Kendra	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (pour Apache Cassandra)	Activité de l'API Amazon Keyspaces sur une table.	Table Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Activité de l'API Kinesis Data Streams sur les flux.	Kinesis Stream	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Activité de l'API Kinesis Data Streams sur les consommateurs de flux.	Consommateur de Kinesis Stream	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Activité de l'API Kinesis Video Streams sur les flux vidéo, tels que les appels `GetMedia` vers `PutMedia` et.	Flux vidéo Kinesis	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	Activité de l'API Machine Learning sur les modèles ML.	Apprentissage automatique MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	Activité de l'API Amazon Managed Blockchain sur un réseau.	Réseau Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Appels Amazon Managed Blockchain JSON-RPC sur les nœuds Ethereum, tels que `eth_getBalance` ou `eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Graphe Amazon Neptune	Les activités de l’API de données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune.	Graphe Neptune	`AWS::NeptuneGraph::Graph`
AWS Private CA	AWS Private CA Connecteur pour l'activité de l'API Active Directory.	AWS Private CA Connecteur pour Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Connecteur pour l'activité de l'API SCEP.	AWS Private CA Connecteur pour SCEP	`AWS::PCAConnectorSCEP::Connector`
Applications Amazon Q	Activité de l'API de données sur Amazon Q Apps.	Applications Amazon Q	`AWS::QApps:QApp`
Amazon Q Business	Activité de l’API Amazon Q Business sur une application.	Application Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	Activité de l’API Amazon Q Business sur une source de données.	Source de données Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	Activité de l’API Amazon Q Business sur un index.	Indice Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	Activité de l’API Amazon Q Business dans le cadre d’une expérience Web.	Expérience Web Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	Activité de l'API Amazon RDS sur un cluster de base de données.	API de données RDS - Cluster de bases de données	`AWS::RDS::DBCluster`
Amazon S3	Activité de l'API Amazon S3 sur les points d'accès.	Points d’accès S3	`AWS::S3::AccessPoint`
Amazon S3	Activité de l'API des points d'accès Amazon S3 Object Lambda, comme les appels vers `CompleteMultipartUpload` et. `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 on Outposts	Activité de l'API au niveau de l'objet Amazon S3 on Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Activité d'Amazon sur les terminaux.	SageMaker point final	`AWS::SageMaker::Endpoint`
Amazon SageMaker	Activité de SageMaker l'API Amazon sur les magasins de fonctionnalités.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	Activité de SageMaker l'API Amazon sur les composants des essais expérimentaux.	SageMaker composant d'essai expérimental sur les métriques	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	Opérations d'API `Publish` d'Amazon SNS sur les points de terminaison de la plateforme.	Point de terminaison de la plateforme SNS	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Opérations d'API `Publish` et `PublishBatch` d'Amazon SNS sur des rubriques.	Rubrique SNS	`AWS::SNS::Topic`
Amazon SQS	Activité de l’API Amazon SQS sur les messages.	SQS	`AWS::SQS::Queue`
AWS Step Functions	Activité de l'API Step Functions sur une machine à états.	Machine d’état Step Functions	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain Activité de l'API sur une instance.	Chaîne d'approvisionnement	`AWS::SCN::Instance`
Amazon SWF	Activité de l'API Amazon SWF sur les domaines .	Domaine SWF	`AWS::SWF::Domain`
AWS Systems Manager	Activité de l'API Systems Manager sur les canaux de contrôle.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Activité de l'API Systems Manager sur les nœuds gérés.	Nœud géré par Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Activité de l'API `Query` d'Amazon Timestream sur des bases de données.	Base de données Timestream	`AWS::Timestream::Database`
Amazon Timestream	Activité de l'API `Query` d'Amazon Timestream sur des tables.	Table Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	Activité de l'API Amazon Verified Permissions sur un magasin de politiques.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces Activité de l'API Thin Client sur un appareil.	Appareil client léger	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces Activité de l'API Thin Client dans un environnement.	Client léger d’environnement	`AWS::ThinClient::Environment`
AWS X-Ray	Activité de l'API X-Ray sur les traces.	X-Ray Trace	`AWS::XRay::Trace`

Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements liés aux données, vous devez ajouter explicitement les ressources prises en charge ou les types de ressources pour lesquels vous souhaitez collecter des activités. Pour plus d’informations, consultez Création d'un parcours à l'aide de la CloudTrail console et Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console.

Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour CloudTrail connaître les tarifs, consultez la section AWS CloudTrail Tarification.

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'action Amazon SNS. Publish


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'action Amazon CognitoGetCredentialsForIdentity.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Événements Insights

CloudTrail Les événements Insights capturent le taux d'appels d'API ou les taux d'erreur inhabituels de votre AWS compte en analysant les activités CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que l’API associée, le code d’erreur, l’heure de l’incident et les statistiques, ce qui vous aide à comprendre et à agir par rapport à l’activité inhabituelle. Contrairement aux autres types d'événements enregistrés dans un CloudTrail magasin de données de suivi ou d'événements, les événements Insights sont enregistrés uniquement lorsque des modifications sont CloudTrail détectées dans l'utilisation de l'API de votre compte ou dans la journalisation du taux d'erreur qui diffèrent considérablement des modèles d'utilisation habituels du compte.

Voici des exemples d’activité susceptibles de générer des événements Insights :

Votre compte ne consigne généralement pas plus de 20 appels d'API deleteBucket Amazon S3 par minute, mais commence à consigner une moyenne de 100 appels d'API deleteBucket par minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle.
Votre compte enregistre généralement 20 appels par minute à l'API AuthorizeSecurityGroupIngress Amazon EC2, mais commence à ne consigner aucun appel à AuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.
En règle générale, votre compte se connecte à moins d'une erreur AccessDeniedException sur une période de sept jours sur AWS Identity and Access Management l’API, DeleteInstanceProfile. Votre compte commence à journaliser en moyenne 12 erreurs AccessDeniedException par minute sur DeleteInstanceProfile l’appel API. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.

Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement les événements Insights sur un magasin de données de parcours ou d'événements nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Création d'un parcours à l'aide de la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créez un magasin de données d'événements pour les événements Insights à l'aide de la console.

Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail.

Deux événements sont enregistrés pour signaler une activité inhabituelle dans CloudTrail Insights : un événement de début et un événement de fin. L’exemple suivant présente un enregistrement de journal d’un événement Insights qui s’est produit lorsque l’API CompleteLifecycleAction de la scalabilité automatique des applications a été appelée un nombre inhabituel de fois. Pour les événements Insights, la valeur de eventCategory est Insight. Un bloc insightDetails identifie l’état, la source, le nom, le type Insights et le contexte de l’événement, ainsi que des statistiques et attributions. Pour plus d’informations sur le bloc insightDetails, consultez CloudTrail insightDetailsÉlément Insights.


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Canaux liés à un service

Événements de gestion

Comprendre les CloudTrail événements

Événements de gestion

Événements de données

Note

Note

Note

Événements Insights