Événements de gestion Événements de données Événements liés à l'activité du réseau Événements Insights

Comprendre les CloudTrail événements

Un événement dans CloudTrail est l'enregistrement d'une activité sur un AWS compte. Cette activité peut être une action entreprise par une IAM identité ou un service contrôlable par. CloudTrail CloudTrail les événements fournissent un historique des activités menées à la fois API et hors API compte par AWS Management Console le biais des outils de ligne de commande AWS SDKs, Services AWS etc.

CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des API appels publics, de sorte que les événements n'apparaissent pas dans un ordre spécifique.

Il existe quatre types d' CloudTrail événements :

Événements de gestion
Événements de données
Événements liés à l'activité du réseau

Note
Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.
Événements Insights

Par défaut, les données relatives aux parcours et aux événements stockent les événements de gestion des journaux, mais pas les événements liés aux données, les événements liés à l'activité du réseau ou les événements Insights.

Tous les types d'événements utilisent un format de CloudTrail JSON journal. Le journal contient des informations sur les demandes pour les ressources de votre compte, telles que l’auteur de la demande, les services utilisés, les actions réalisées et les paramètres pour l'action. Les données d’événement sont contenues dans un tableau Records.

Pour plus d'informations sur les champs d'enregistrement d' CloudTrail événements, consultezCloudTrail enregistrer le contenu.

Événements de gestion

Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.

Les événements de gestion sont notamment les suivants :

Configuration de la sécurité (par exemple, AWS Identity and Access Management AttachRolePolicy API opérations).
Enregistrement des appareils (par exemple, EC2 CreateDefaultVpc API opérations Amazon).
Configuration des règles pour les données de routage (par exemple, EC2 CreateSubnet API les opérations Amazon).
Configuration de la journalisation (par exemple, AWS CloudTrail CreateTrail API des opérations).

Les événements de gestion peuvent également inclure API des événements non liés à votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour de plus amples informations, veuillez consulter APIÉvénements non capturés par CloudTrail.

Par défaut, les données relatives aux événements relatifs aux CloudTrail sentiers et aux CloudTrail lacs stockent les événements de gestion des journaux. Pour plus d'informations sur la journalisation des événements de gestion, consultezJournalisation des événements de gestion.

L'exemple suivant montre un enregistrement de journal unique d'un événement de gestion. Dans ce cas, un IAM utilisateur nommé Mary_Major a exécuté la aws cloudtrail start-logging commande pour appeler l' CloudTrail StartLoggingaction permettant de démarrer le processus de journalisation sur une piste nomméemyTrail.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Dans l'exemple suivant, un IAM utilisateur nommé Paulo_Santos a exécuté la aws cloudtrail start-event-data-store-ingestion commande pour appeler l'StartEventDataStoreIngestionaction permettant de démarrer l'ingestion dans un magasin de données d'événements.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Événements de données

Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.

Les événements de données incluent notamment :

APIActivité au niveau des objets Amazon S3 (par exemple, GetObjectDeleteObject, et PutObject API opérations) sur des objets dans des compartiments S3.
AWS Lambda activité d'exécution de la fonction (la InvokeAPI).
CloudTrail PutAuditEventsactivité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.
Amazon SNS Publishet PublishBatchAPIses opérations sur différents sujets.

Le tableau suivant indique les types d'événements de données disponibles pour les journaux de suivi et les entrepôts de données d'événement. La colonne Type d’événement de données (console) indique la sélection appropriée dans la console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre magasin de données de suivi ou d'événement à l'aide du ou. AWS CLI CloudTrail APIs

Pour les traces, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types d'événements de données indiqués dans les lignes restantes.

Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.

Service AWS	Description	Type d’événement de données (console)	valeur resources.type
Amazon DynamoDB	Activité au APIniveau des éléments Amazon DynamoDB sur les tables (par exemple`PutItem`,, `DeleteItem` et les opérations). `UpdateItem` API Note Pour les tables ayant les flux activés, le champ `resources` dans l’événement de données contient à la fois `AWS::DynamoDB::Stream` et `AWS::DynamoDB::Table`. Si vous spécifiez `AWS::DynamoDB::Table` comme `resources.type`, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le `eventName` champ.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda activité d'exécution de la fonction (la `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	APIActivité au niveau des objets Amazon S3 (par exemple, `GetObjectDeleteObject`, et `PutObject` API opérations) sur des objets dans des compartiments à usage général.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIactivité pour les opérations de configuration telles que les appels vers `StartConfigurationSession` et`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Échange de données B2B	APIActivité d'échange de données B2B pour les opérations du transformateur telles que les appels vers `GetTransformerJob` et. `StartTransformerJob`	Échange de données B2B	`AWS::B2BI::Transformer`
Amazon Bedrock	APIActivité d'Amazon Bedrock sur un alias d'agent.	Alias d’agent Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	APIActivité d'Amazon Bedrock sur un alias de flux.	Alias de Bedrock Flow	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	APIActivité d'Amazon Bedrock sur les rambardes.	Rambarde Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	APIActivité d'Amazon Bedrock sur une base de connaissances.	Base de connaissances Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	APIActivité d'Amazon Bedrock sur les modèles.	Modèle Bedrock	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront APIactivité sur un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIactivité sur un espace de noms.	AWS Cloud Map espace de nom	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIactivité sur un service.	AWS Cloud Map web	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`activité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIActivité d'Amazon sur les statistiques.	CloudWatch métrique	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPIActivité d'Amazon sur les moniteurs d'applications.	RUMmoniteur d'application	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIActivité d'Amazon sur une personnalisation.	CodeWhisperer personnalisation	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIActivité d'Amazon sur un profil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	APIActivité d'Amazon Cognito sur les pools d'identités Amazon Cognito.	Réserves d’identités Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange APIactivité sur les actifs.	Actif Data Exchange	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud APIactivité sur les flottes.	Deadline Cloud flotte	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud APIactivité sur les emplois.	Deadline Cloud travail	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud APIactivité sur les files d'attente.	Deadline Cloud queue	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud APIactivité sur les travailleurs.	Deadline Cloud travailleur	`AWS::Deadline::Worker`
Amazon DynamoDB	Activité d'Amazon API DynamoDB sur les flux.	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS Messagerie sociale destinée aux utilisateurs finaux	AWS Messagerie à l'utilisateur final API Activité sociale sur le numéro de téléphoneIDs.	Numéro de téléphone de messagerie sociale	`AWS::SocialMessaging::PhoneNumberId`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) directementAPIs, tel que `PutSnapshotBlockGetSnapshotBlock`, et `ListChangedBlocks` sur les EBS instantanés Amazon.	Amazon EBS direct APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIActivité d'Amazon sur un espace de travail de journalisation à écriture anticipée.	EMRespace de travail de journalisation à écriture anticipée	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIactivité sur les environnements.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIactivité sur des tables créées par Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIActivité d'Amazon pour un détecteur.	GuardDuty détecteur	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIactivité sur les magasins de données.	MedicalImaging magasin de données	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIactivité sur les certificats.	Certificat IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIactivité sur des objets.	Un truc lié à l'IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	APIActivité Greengrass depuis un appareil principal de Greengrass sur une version de composant. Note Greengrass n'enregistre pas les cas de refus d'accès.	Version du composant IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	APIActivité Greengrass depuis un appareil principal de Greengrass lors d'un déploiement. Note Greengrass n'enregistre pas les cas de refus d'accès.	Déploiement de Greengrass pour l'IoT	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIActivité de l'IoT sur les actifs.	SiteWise Actif IoT	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIActivité de l'IoT sur des séries chronologiques.	Séries SiteWise chronologiques sur l'IoT	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIActivité IoT sur une entité.	TwinMaker Entité IoT	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIActivité IoT sur un espace de travail.	Espace de TwinMaker travail IoT	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra)	APIActivité de classement intelligent d'Amazon Kendra sur les plans d'exécution des rescores.	Classement Kendra	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (pour Apache Cassandra)	APIActivité d'Amazon Keyspaces sur une table.	Table Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Activité de Kinesis Data API Streams sur les flux.	Kinesis Stream	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Activité de Kinesis Data API Streams sur les consommateurs de streams.	Consommateur de Kinesis Stream	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Activité de Kinesis Video API Streams sur les flux vidéo, tels que les appels `GetMedia` vers `PutMedia` et.	Flux vidéo Kinesis	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIActivité de Machine Learning sur les modèles de machine learning.	Apprentissage automatique MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	APIActivité Amazon Managed Blockchain sur un réseau.	Réseau Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON : RPC fait appel à des nœuds Ethereum, tels que `eth_getBalance` ou`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Graphe Amazon Neptune	Les API activités liées aux données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune.	Graphe Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	APIActivité d'Amazon One Enterprise sur unUKey.	Amazon One UKey	`AWS::One::UKey`
Amazon One Enterprise	APIActivité d'Amazon One Enterprise sur les utilisateurs.	Utilisateur d'Amazon One	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIactivité sur les alias.	Alias de cryptographie de paiement	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIactivité sur les touches.	Clé de cryptographie de paiement	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Connecteur pour l'APIactivité Active Directory.	AWS Private CA Connecteur pour Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Connecteur pour SCEP API activité.	AWS Private CA Connecteur pour SCEP	`AWS::PCAConnectorSCEP::Connector`
Applications Amazon Q	APIActivité des données sur Amazon Q Apps.	Applications Amazon Q	`AWS::QApps:QApp`
Amazon Q Business	APIActivité Amazon Q Business sur une application.	Application Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	APIActivité Amazon Q Business sur une source de données.	Source de données Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	APIActivité Amazon Q Business sur un indice.	Indice Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	APIActivité Amazon Q Business dans le cadre d'une expérience Web.	Expérience Web Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIActivité d'Amazon sur un cluster de bases de données.	RDSDonnées API - Cluster de bases de données	`AWS::RDS::DBCluster`
Amazon S3	APIActivité d'Amazon S3 sur les points d'accès.	Points d’accès S3	`AWS::S3::AccessPoint`
Amazon S3	APIActivité au niveau des objets Amazon S3 (par exemple, `GetObjectDeleteObject`, et `PutObject` API opérations) sur des objets dans des compartiments de répertoire.	S3 Express	`AWS::S3Express::Object`
Amazon S3	APIActivité des points d'accès Amazon S3 Object Lambda, tels que les appels vers `CompleteMultipartUpload` et. `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 on Outposts	Amazon S3 on Outposts : activité au niveau des objets API.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Activité d'Amazon sur les terminaux.	SageMaker point final	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIActivité d'Amazon sur les Feature Stores.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIActivité d'Amazon sur les composants des essais expérimentaux.	SageMaker composant d'essai expérimental sur les métriques	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIOpérations Amazon sur les points de terminaison de la plateforme.	SNSpoint final de la plateforme	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`et `PublishBatch`APIses opérations sur différents sujets.	SNSsujet	`AWS::SNS::Topic`
Amazon SQS	SQSAPIActivité d'Amazon sur les messages.	SQS	`AWS::SQS::Queue`
AWS Step Functions	APIActivité Step Functions sur une machine à états.	Machine d’état Step Functions	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain APIactivité sur une instance.	Chaîne d'approvisionnement	`AWS::SCN::Instance`
Amazon SWF	SWFAPIActivité d'Amazon sur les domaines.	SWFdomaine	`AWS::SWF::Domain`
AWS Systems Manager	APIActivité de Systems Manager sur les canaux de contrôle.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	APIActivité de Systems Manager sur les nœuds gérés.	Nœud géré par Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Activité d'Amazon `Query`APITimestream sur les bases de données.	Base de données Timestream	`AWS::Timestream::Database`
Amazon Timestream	Activité Amazon `Query`APITimestream sur les tables.	Table Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	APIActivité d'Amazon Verified Permissions sur une boutique de polices.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces APIActivité du client léger sur un appareil.	Appareil client léger	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces APIActivité du client léger dans un environnement.	Client léger d’environnement	`AWS::ThinClient::Environment`
AWS X-Ray	APIActivité des rayons X sur les traces.	X-Ray Trace	`AWS::XRay::Trace`

Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements liés aux données, vous devez ajouter explicitement les ressources prises en charge ou les types de ressources pour lesquels vous souhaitez collecter des activités. Pour plus d’informations, consultez Création d'un parcours avec la CloudTrail console et Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console.

Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour CloudTrail connaître les tarifs, consultez la section AWS CloudTrail Tarification.

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'SNSPublishaction Amazon.


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'action Amazon CognitoGetCredentialsForIdentity.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Événements liés à l'activité du réseau

Note

Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.

CloudTrail les événements d'activité réseau permettent aux propriétaires de VPC terminaux d'enregistrer les AWS API appels passés à l'aide de leurs VPC terminaux d'un point de terminaison privé VPC vers le Service AWS. Les événements d'activité réseau offrent une visibilité sur les opérations sur les ressources effectuées au sein d'unVPC.

Vous pouvez enregistrer les événements liés à l'activité réseau pour les services suivants :

AWS CloudTrail
Amazon EC2
AWS KMS
AWS Secrets Manager

Les événements liés à l'activité réseau ne sont pas enregistrés par défaut lorsque vous créez un magasin de données de suivi ou d'événement. Pour enregistrer les événements liés à l'activité du CloudTrail réseau, vous devez définir explicitement la source d'événements pour laquelle vous souhaitez collecter l'activité. Pour de plus amples informations, veuillez consulter Enregistrement des événements liés à l'activité du réseau.

Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité du réseau. Pour CloudTrail connaître les tarifs, consultez la section AWS CloudTrail Tarification.

L'exemple suivant montre un AWS KMS ListKeys événement réussi qui a traversé un VPC point de terminaison. Le vpcEndpointId champ indique l'ID du VPC point de terminaison. Le vpcEndpointAccountId champ indique l'ID de compte du propriétaire du VPC terminal. Dans cet exemple, la demande a été faite par le propriétaire du VPC terminal.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

L'exemple suivant montre un AWS KMS ListKeys événement infructueux lié à une violation de la politique du VPC point de terminaison. En raison d'une violation de la VPC politique, les errorMessage champs errorCode et sont présents. L'ID de compte dans les vpcEndpointAccountId champs recipientAccountId et est le même, ce qui indique que l'événement a été envoyé au propriétaire du VPC terminal. L'userIdentityélément accountId in n'est pas levpcEndpointAccountId, ce qui indique que l'utilisateur qui fait la demande n'est pas le propriétaire du VPC point de terminaison.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Événements Insights

CloudTrail Les événements Insights capturent les taux d'APIappels ou les taux d'erreur inhabituels de votre AWS compte en analysant les activités CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que le code d'erreur associéAPI, l'heure de l'incident et les statistiques, qui vous aident à comprendre les activités inhabituelles et à agir en cas d'activité inhabituelle. Contrairement aux autres types d'événements enregistrés dans un magasin CloudTrail de données de suivi ou d'événements, les événements Insights sont enregistrés uniquement lorsque des modifications de l'APIutilisation de votre compte ou du taux d'erreur sont CloudTrail détectées, qui diffèrent considérablement des habitudes d'utilisation habituelles du compte.

Voici des exemples d’activité susceptibles de générer des événements Insights :

Votre compte n'enregistre généralement pas plus de 20 deleteBucket API appels Amazon S3 par minute, mais il commence à enregistrer en moyenne 100 deleteBucket API appels par minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle.
Votre compte enregistre généralement 20 appels par minute vers Amazon EC2 AuthorizeSecurityGroupIngressAPI, mais il commence à n'enregistrer aucun appel versAuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.
Votre compte enregistre généralement moins AccessDeniedException d'une erreur sur une période de sept jours sur le AWS Identity and Access Management API,DeleteInstanceProfile. Votre compte commence à enregistrer en moyenne 12 AccessDeniedException erreurs par minute lors de l'DeleteInstanceProfileAPIappel. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.

Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement les événements Insights sur un magasin de données de parcours ou d'événements nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Création d'un parcours avec la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créez un magasin de données d'événements pour les événements Insights avec la console.

Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, consultez AWS CloudTrail Pricing (Tarification CTlong).

Deux événements sont enregistrés pour signaler une activité inhabituelle dans CloudTrail Insights : un événement de début et un événement de fin. L'exemple suivant montre un seul enregistrement de journal d'un événement Insights initial qui s'est produit lorsque Application Auto Scaling API CompleteLifecycleAction a été appelée un nombre inhabituel de fois. Pour les événements Insights, la valeur de eventCategory est Insight. Un bloc insightDetails identifie l’état, la source, le nom, le type Insights et le contexte de l’événement, ainsi que des statistiques et attributions. Pour plus d’informations sur le bloc insightDetails, consultez CloudTrail insightDetailsÉlément Insights.


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Canaux liés à un service

Événements de gestion