Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

CloudTrail isi rekam

PDF
RSS
Mode fokus
CloudTrail isi rekam - AWS CloudTrail
Kolom rekaman untuk acara InsightsContoh ShareDeventid

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Isi catatan berisi bidang yang membantu Anda menentukan tindakan yang diminta serta kapan dan di mana permintaan dibuat. Jika nilai Opsional adalah True, bidang hanya ada jika berlaku untuk layanan, API, atau jenis acara. Nilai Opsional False berarti bahwa bidang selalu ada, atau keberadaannya tidak bergantung pada layanan, API, atau jenis acara. Contohnya adalahresponseElements, yang hadir dalam acara untuk tindakan yang membuat perubahan (membuat, memperbarui, atau menghapus tindakan).

eventTime

Tanggal dan waktu permintaan selesai, dalam waktu universal terkoordinasi (UTC). Cap waktu acara berasal dari host lokal yang menyediakan titik akhir API layanan tempat panggilan API dibuat. Misalnya, peristiwa CreateBucket API yang dijalankan di Wilayah AS Barat (Oregon) akan mendapatkan cap waktunya dari waktu pada AWS host yang menjalankan titik akhir Amazon S3,. s3.us-west-2.amazonaws.com Secara umum, AWS layanan menggunakan Network Time Protocol (NTP) untuk menyinkronkan jam sistem mereka.

Sejak: 1.0

Opsional: Salah

eventVersion

Versi format peristiwa log. Versi saat ini adalah 1.11.

eventVersionNilainya adalah versi mayor dan minor dalam formulirmajor_version. minor_version. Misalnya, Anda dapat memiliki eventVersion nilai1.10, di mana 1 adalah versi utama, dan 10 merupakan versi minor.

CloudTrail menambah versi utama jika perubahan dilakukan pada struktur acara yang tidak kompatibel ke belakang. Ini termasuk menghapus bidang JSON yang sudah ada, atau mengubah bagaimana isi bidang direpresentasikan (misalnya, format tanggal). CloudTrail menambah versi minor jika perubahan menambahkan bidang baru ke struktur acara. Hal ini dapat terjadi jika informasi baru tersedia untuk beberapa atau semua peristiwa yang ada, atau jika informasi baru hanya tersedia untuk jenis acara baru. Aplikasi dapat mengabaikan bidang baru agar tetap kompatibel dengan versi minor baru dari struktur acara.

Jika CloudTrail memperkenalkan jenis acara baru, tetapi struktur acara sebaliknya tidak berubah, versi acara tidak berubah.

Untuk memastikan bahwa aplikasi Anda dapat mengurai struktur acara, kami sarankan Anda melakukan perbandingan yang setara dengan nomor versi utama. Untuk memastikan bahwa bidang yang diharapkan oleh aplikasi Anda ada, kami juga menyarankan untuk melakukan perbandingan greater-than-or-equal -to pada versi minor. Tidak ada angka nol terkemuka dalam versi minor. Anda dapat menafsirkan keduanya major_version dan minor_version sebagai angka, dan melakukan operasi perbandingan.

Sejak: 1.0

Opsional: Salah

userIdentity

Informasi tentang identitas IAM yang membuat permintaan. Untuk informasi selengkapnya, lihat CloudTrail elemen userIdentity.

Sejak: 1.0

Opsional: Salah

eventSource

Layanan di mana permintaannya dibuat. Nama ini biasanya merupakan bentuk pendek dari nama layanan tanpa spasi plus.amazonaws.com. Sebagai contoh:

  • AWS CloudFormation adalahcloudformation.amazonaws.com.

  • Amazon EC2 adalahec2.amazonaws.com.

  • Amazon Simple Workflow Service adalahswf.amazonaws.com.

Konvensi ini memiliki beberapa pengecualian. Misalnya, eventSource untuk Amazon CloudWatch adalahmonitoring.amazonaws.com.

Sejak: 1.0

Opsional: Salah

eventName

Tindakan yang diminta, yang merupakan salah satu tindakan dalam API untuk layanan itu.

Sejak: 1.0

Opsional: Salah

awsRegion

Permintaan itu dibuat untuk, sepertius-east-2. Wilayah AWS Lihat CloudTrail Daerah yang didukung.

Sejak: 1.0

Opsional: Salah

sourceIPAddress

Alamat IP di mana permintaan itu dibuat. Untuk tindakan yang berasal dari konsol layanan, alamat yang dilaporkan adalah untuk sumber daya pelanggan yang mendasarinya, bukan server web konsol. Untuk layanan di AWS, hanya nama DNS yang ditampilkan.

catatan

Untuk peristiwa yang berasal dari AWS, bidang ini biasanyaAWS Internal/#, di mana # adalah nomor yang digunakan untuk tujuan internal.

Sejak: 1.0

Opsional: Salah

userAgent

Agen yang melaluinya permintaan dibuat, seperti AWS Management Console, AWS layanan, AWS SDKs atau AWS CLI. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong. Berikut ini adalah contoh nilai:

  • lambda.amazonaws.com.rproxy.goskope.comPermintaan itu dibuat dengan AWS Lambda.

  • aws-sdk-javaPermintaan dibuat dengan AWS SDK for Java.

  • aws-sdk-rubyPermintaan dibuat dengan AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— Permintaan dibuat dengan AWS CLI diinstal di Linux.

catatan

Untuk peristiwa yang berasal dari AWS, jika CloudTrail tahu yang Layanan AWS membuat panggilan, bidang ini adalah sumber acara dari layanan panggilan (misalnya,ec2.amazonaws.com). Jika tidak, bidang ini adalahAWS Internal/#, di mana # nomor yang digunakan untuk tujuan internal.

Sejak: 1.0

Opsional: Benar

errorCode

Kesalahan AWS layanan jika permintaan mengembalikan kesalahan. Untuk contoh yang menunjukkan bidang ini, lihatKode kesalahan dan contoh log pesan. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

Untuk peristiwa aktivitas jaringan, ketika ada pelanggaran kebijakan titik akhir VPC, kode kesalahannya adalah. VpceAccessDenied

Sejak: 1.0

Opsional: Benar

errorMessage

Jika permintaan mengembalikan kesalahan, deskripsi kesalahan. Pesan ini mencakup pesan untuk kegagalan otorisasi. CloudTrail menangkap pesan yang dicatat oleh layanan dalam penanganan pengecualiannya. Sebagai contoh, lihat Kode kesalahan dan contoh log pesan. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

Untuk peristiwa aktivitas jaringan, ketika ada pelanggaran kebijakan titik akhir VPC, errorMessage akan selalu menjadi pesan berikut:. The request was denied due to a VPC endpoint policy Untuk informasi selengkapnya tentang peristiwa yang ditolak akses untuk pelanggaran kebijakan titik akhir VPC, lihat Contoh pesan kesalahan akses ditolak di Panduan Pengguna IAM. Untuk contoh peristiwa aktivitas jaringan yang menunjukkan pelanggaran kebijakan titik akhir VPC, lihat Peristiwa aktivitas jaringan dalam panduan ini.

catatan

Beberapa AWS layanan menyediakan errorCode dan errorMessage sebagai bidang tingkat atas dalam acara tersebut. AWS Layanan lain memberikan informasi kesalahan sebagai bagian dariresponseElements.

Sejak: 1.0

Opsional: Benar

requestParameters

Parameter, jika ada, yang dikirim dengan permintaan. Parameter ini didokumentasikan dalam dokumentasi referensi API untuk AWS layanan yang sesuai. Bidang ini memiliki ukuran maksimum 100 KB. Ketika ukuran bidang melebihi 100 KB, requestParameters konten dihilangkan.

Sejak: 1.0

Opsional: Salah

responseElements

Elemen respons, jika ada, untuk tindakan yang membuat perubahan (membuat, memperbarui, atau menghapus tindakan). Karena readOnly APIs, bidang ini adalahnull. Jika tindakan tidak mengembalikan elemen respons, bidang ini adalahnull. Elemen respons untuk tindakan didokumentasikan dalam referensi API dokumentasi untuk yang sesuai Layanan AWS. Bidang ini memiliki ukuran maksimum 100 KB. Ketika ukuran bidang melebihi 100 KB, reponseElements konten dihilangkan.

responseElementsNilai ini berguna untuk membantu Anda melacak permintaan dengan AWS Support. Keduanya x-amz-request-id dan x-amz-id-2 berisi informasi yang membantu Anda melacak permintaan Support. Nilai-nilai ini adalah sama dengan yang dikembalikan layanan sebagai respons atas permintaan itu memulai acara, sehingga Anda dapat menggunakannya untuk mencocokkan acara dengan permintaan.

Sejak: 1.0

Opsional: Salah

additionalEventData

Data tambahan tentang peristiwa yang bukan bagian dari permintaan atau tanggapan. Bidang ini memiliki ukuran maksimum 28 KB. Ketika ukuran bidang melebihi 28 KB, additionalEventData konten dihilangkan.

Konten additionalEventData adalah variabel. Misalnya, untuk peristiwa AWS Management Console login, additionalEventData dapat menyertakan MFAUsed bidang dengan nilai Yes jika permintaan dibuat oleh pengguna root atau IAM menggunakan otentikasi multi-faktor (MFA).

Sejak: 1.0

Opsional: Benar

requestID

Nilai yang mengidentifikasi permintaan. Layanan yang dipanggil menghasilkan nilai ini. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.01

Opsional: Benar

eventID

GUID dihasilkan oleh CloudTrail untuk mengidentifikasi setiap peristiwa secara unik. Anda dapat menggunakan nilai ini untuk mengidentifikasi satu peristiwa. Misalnya, Anda dapat menggunakan ID sebagai kunci utama untuk mengambil data log dari database yang dapat dicari.

Sejak: 1.01

Opsional: Salah

eventType

Mengidentifikasi jenis peristiwa yang menghasilkan catatan peristiwa. Ini bisa menjadi salah satu dari nilai berikut:

  • AwsApiCallSebuah API dipanggil.

  • AwsServiceEvent— Layanan ini menghasilkan acara yang terkait dengan jejak Anda. Misalnya, ini dapat terjadi ketika akun lain melakukan panggilan dengan sumber daya yang Anda miliki.

  • AwsConsoleAction— Tindakan diambil di konsol yang bukan panggilan API.

  • AwsConsoleSignIn— Pengguna di akun Anda (root, IAM, federasi, SAMP, atau SwitchRole) masuk ke. AWS Management Console

  • AwsCloudTrailInsightJika peristiwa Insights diaktifkan, buat peristiwa CloudTrail Insights saat CloudTrail mendeteksi aktivitas operasional yang tidak biasa seperti lonjakan penyediaan sumber daya atau ledakan tindakan (IAM). AWS Identity and Access Management

    AwsCloudTrailInsightevent tidak menggunakan bidang berikut:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— peristiwa aktivitas CloudTrail jaringan memungkinkan pemilik titik akhir VPC merekam panggilan AWS API yang dilakukan menggunakan titik akhir VPC mereka dari VPC pribadi ke file. Layanan AWS Untuk merekam peristiwa aktivitas jaringan, pemilik titik akhir VPC harus mengaktifkan peristiwa aktivitas jaringan untuk sumber peristiwa.

Sejak: 1.02

Opsional: Salah

apiVersion

Mengidentifikasi versi API yang terkait dengan AwsApiCall eventType nilai.

Sejak: 1.01

Opsional: Benar

managementEvent

Nilai Boolean yang mengidentifikasi apakah acara tersebut adalah acara manajemen. managementEventditampilkan dalam catatan peristiwa jika eventVersion 1,06 atau lebih tinggi, dan jenis acara adalah salah satu dari berikut ini:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Sejak: 1.06

Opsional: Benar

readOnly

Mengidentifikasi apakah operasi ini adalah operasi read-only. Ini dapat berupa salah satu dari nilai berikut:

  • true— Operasi hanya baca (misalnya,DescribeTrails).

  • false— Operasi hanya menulis (misalnya,DeleteTrail).

Sejak: 1.01

Opsional: Benar

resources

Daftar sumber daya yang diakses dalam acara tersebut. Bidang dapat berisi informasi berikut:

  • Sumber ARNs

  • ID akun pemilik sumber daya

  • Pengidentifikasi jenis sumber daya dalam format: AWS::aws-service-name::data-type-name

Misalnya, ketika suatu AssumeRole peristiwa dicatat, resources bidang dapat muncul seperti berikut:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID Akun: 123456789012

  • Pengidentifikasi jenis sumber daya: AWS::IAM::Role

Misalnya log dengan resources bidang, lihat Peristiwa AWS STS API di File CloudTrail Log di Panduan Pengguna IAM atau Logging AWS KMS API Calls di Panduan AWS Key Management Service Pengembang.

Sejak: 1.01

Opsional: Benar

recipientAccountId

Merupakan ID akun yang menerima acara ini. recipientAccountIDMungkin berbeda dari CloudTrail elemen userIdentityaccountId. Ini dapat terjadi dalam akses sumber daya lintas akun. Misalnya, jika kunci KMS, juga dikenal sebagai AWS KMS key, digunakan oleh akun terpisah untuk memanggil Encrypt API, recipientAccountID nilai accountId dan akan sama untuk acara yang dikirimkan ke akun yang melakukan panggilan, tetapi nilainya akan berbeda untuk acara yang dikirimkan ke akun yang memiliki kunci KMS.

Sejak: 1.02

Opsional: Benar

serviceEventDetails

Mengidentifikasi peristiwa layanan, termasuk apa yang memicu peristiwa dan hasilnya. Untuk informasi selengkapnya, lihat Layanan AWS acara. Bidang ini memiliki ukuran maksimum 100 KB. Ketika ukuran bidang melebihi 100 KB, serviceEventDetails konten dihilangkan.

Sejak: 1.05

Opsional: Benar

sharedEventID

GUID dihasilkan oleh CloudTrail untuk mengidentifikasi CloudTrail peristiwa secara unik dari AWS tindakan yang sama yang dikirim ke akun yang berbeda. AWS

Misalnya, ketika akun menggunakan akun AWS KMS keymilik akun lain, akun yang menggunakan kunci KMS dan akun yang memiliki kunci KMS menerima CloudTrail peristiwa terpisah untuk tindakan yang sama. Setiap CloudTrail acara yang disampaikan untuk AWS aksi ini berbagi hal yang samasharedEventID, tetapi juga memiliki keunikan eventID danrecipientAccountID.

Untuk informasi selengkapnya, lihat Contoh ShareDeventid.

catatan

sharedEventIDBidang ini hadir hanya ketika CloudTrail acara dikirimkan ke beberapa akun. Jika penelepon dan pemilik adalah AWS akun yang sama, hanya CloudTrail mengirim satu acara, dan sharedEventID bidang tidak ada.

Sejak: 1.03

Opsional: Benar

vpcEndpointId

Mengidentifikasi titik akhir VPC tempat permintaan dibuat dari VPC ke AWS layanan lain, seperti Amazon. EC2

Sejak: 1.04

Opsional: Benar

vpcEndpointAccountId

Mengidentifikasi Akun AWS ID pemilik titik akhir VPC untuk titik akhir yang sesuai yang telah dilalui permintaan.

Sejak: 1.09

Opsional: Benar

eventCategory

Menampilkan kategori acara. Kategori acara digunakan dalam LookupEventspanggilan untuk memfilter peristiwa manajemen atau Wawasan.

  • Untuk acara manajemen, nilainya adalahManagement.

  • Untuk peristiwa data, nilainya adalahData.

  • Untuk acara Wawasan, nilainya adalahInsight.

  • Untuk peristiwa aktivitas jaringan, nilainya adalahNetworkActivity.

Sejak: 1.07

Opsional: Salah

addendum

Jika pengiriman acara tertunda, atau informasi tambahan tentang peristiwa yang ada tersedia setelah acara dicatat, bidang addendum menunjukkan informasi tentang mengapa acara ditunda. Jika informasi hilang dari peristiwa yang ada, bidang addendum mencakup informasi yang hilang dan alasan mengapa itu hilang. Isi termasuk yang berikut ini.

  • reason- Alasan bahwa acara atau beberapa isinya hilang. Nilai dapat berupa salah satu dari berikut ini.

    • DELIVERY_DELAY— Ada penundaan pengiriman acara. Ini bisa disebabkan oleh lalu lintas jaringan yang tinggi, masalah konektivitas, atau masalah CloudTrail layanan.

    • UPDATED_DATA— Bidang dalam catatan peristiwa hilang atau memiliki nilai yang salah.

    • SERVICE_OUTAGE— Layanan yang mencatat peristiwa untuk CloudTrail mengalami pemadaman, dan tidak dapat mencatat peristiwa. CloudTrail Ini sangat jarang.

  • updatedFields- Bidang catatan acara yang diperbarui oleh addendum. Ini hanya disediakan jika alasannyaUPDATED_DATA.

  • originalRequestID- ID unik asli dari permintaan. Ini hanya disediakan jika alasannyaUPDATED_DATA.

  • originalEventID- ID acara asli. Ini hanya disediakan jika alasannyaUPDATED_DATA.

Sejak: 1.08

Opsional: Benar

sessionCredentialFromConsole

String dengan nilai true atau false yang menunjukkan apakah suatu peristiwa berasal dari AWS Management Console sesi atau tidak. Bidang ini tidak ditampilkan kecuali nilainyatrue, artinya klien yang digunakan untuk melakukan panggilan API adalah proxy atau klien eksternal. Jika klien proxy digunakan, bidang tlsDetails acara tidak ditampilkan.

Sejak: 1.08

Opsional: Benar

edgeDeviceDetails

Menampilkan informasi tentang perangkat edge yang menjadi target permintaan. Saat ini, acara S3 Outpostsperangkat menyertakan bidang ini. Bidang ini memiliki ukuran maksimum 28 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.08

Opsional: Benar

tlsDetails

Menampilkan informasi tentang versi Transport Layer Security (TLS), cipher suite, dan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari nama host yang disediakan klien yang digunakan dalam panggilan API layanan, yang biasanya merupakan FQDN dari titik akhir layanan. CloudTrailmasih mencatat detail TLS sebagian jika informasi yang diharapkan hilang atau kosong. Misalnya, jika versi TLS dan cipher suite hadir, tetapi HOST header kosong, detail TLS yang tersedia masih dicatat dalam acara tersebut. CloudTrail

  • tlsVersion- Versi TLS dari permintaan.

  • cipherSuite- Suite cipher (kombinasi algoritma keamanan yang digunakan) dari permintaan.

  • clientProvidedHostHeader- Nama host yang disediakan klien yang digunakan dalam panggilan API layanan, yang biasanya merupakan FQDN dari titik akhir layanan.

catatan

Ada beberapa kasus ketika tlsDetails bidang tidak ada dalam catatan peristiwa.

  • tlsDetailsBidang tidak ada jika panggilan API dilakukan oleh atas nama Anda. Layanan AWS invokedByBidang dalam userIdentity elemen mengidentifikasi Layanan AWS yang membuat panggilan API.

  • Jika sessionCredentialFromConsole hadir dengan nilai true, tlsDetails hadir dalam catatan peristiwa hanya jika klien eksternal digunakan untuk membuat panggilan API.

Sejak: 1.08

Opsional: Benar

Kolom rekaman untuk acara Insights

Berikut ini adalah atribut yang ditampilkan dalam struktur JSON dari peristiwa Insights yang berbeda dari yang ada dalam peristiwa manajemen atau data.

sharedEventId

A sharedEventID for CloudTrail Insights event berbeda dari sharedEventID untuk manajemen dan tipe data CloudTrail peristiwa. Dalam acara Insights, a sharedEventID adalah GUID yang dihasilkan oleh CloudTrail Insights untuk mengidentifikasi peristiwa Insights secara unik. sharedEventIDadalah umum antara awal dan akhir peristiwa Wawasan, dan membantu menghubungkan kedua peristiwa untuk mengidentifikasi aktivitas yang tidak biasa secara unik. Anda dapat menganggapnya sharedEventID sebagai ID acara Insights keseluruhan.

Sejak: 1.07

Opsional: Salah

insightDetails

Wawasan acara saja. Menampilkan informasi tentang pemicu yang mendasari peristiwa Insights, seperti sumber peristiwa, agen pengguna, statistik, nama API, dan apakah acara tersebut merupakan awal atau akhir peristiwa Insights. Untuk informasi selengkapnya tentang isi insightDetails blok, lihatCloudTrail Elemen wawasan insightDetails.

Sejak: 1.07

Opsional: Salah

Contoh ShareDeventid

Berikut ini adalah contoh yang menjelaskan bagaimana CloudTrail memberikan dua peristiwa untuk tindakan yang sama:

  1. Alice memiliki AWS akun (111111111111) dan membuat akun. AWS KMS key Dia adalah pemilik kunci KMS ini.

  2. Bob memiliki AWS akun (222222222222). Alice memberi Bob izin untuk menggunakan kunci KMS.

  3. Setiap akun memiliki jejak dan ember terpisah.

  4. Bob menggunakan kunci KMS untuk memanggil Encrypt API.

  5. CloudTrail mengirimkan dua peristiwa terpisah.

    • Satu acara dikirim ke Bob. Acara tersebut menunjukkan bahwa ia menggunakan kunci KMS.

    • Satu acara dikirim ke Alice. Acara tersebut menunjukkan bahwa Bob menggunakan kunci KMS.

    • Peristiwa memiliki hal yang samasharedEventID, tetapi eventID dan recipientAccountID unik.

Bagaimana bidang shareDeventid muncul di log

Acara bersama IDs di CloudTrail Insights

A sharedEventID for CloudTrail Insights event berbeda dari sharedEventID untuk manajemen dan tipe data CloudTrail peristiwa. Dalam acara Insights, a sharedEventID adalah GUID yang dihasilkan oleh CloudTrail Insights untuk mengidentifikasi pasangan awal dan akhir peristiwa Insights secara unik. sharedEventIDadalah umum antara awal dan akhir acara Wawasan, dan membantu menciptakan korelasi antara kedua peristiwa untuk mengidentifikasi aktivitas yang tidak biasa secara unik.

Anda dapat menganggapnya sharedEventID sebagai ID acara Insights keseluruhan.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.