Memahami CloudTrail peristiwa - AWS CloudTrail
Acara manajemenPeristiwa dataAcara aktivitas jaringanInsights acara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami CloudTrail peristiwa

Peristiwa di CloudTrail adalah catatan aktivitas dalam AWS akun. Kegiatan ini dapat berupa tindakan yang diambil oleh IAM identitas, atau layanan yang dapat dipantau oleh. CloudTrail CloudTrail peristiwa memberikan riwayat aktivitas keduanya API dan API non-akun yang dibuat melalui AWS Management Console, AWS SDKs, alat baris perintah, dan lainnya Layanan AWS.

CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari API panggilan publik, sehingga peristiwa tidak muncul dalam urutan tertentu.

Ada empat jenis CloudTrail acara:

Secara default, data jejak dan peristiwa menyimpan peristiwa manajemen log, tetapi bukan peristiwa data, peristiwa aktivitas jaringan, atau peristiwa Wawasan.

Semua jenis acara menggunakan format CloudTrail JSON log. Log berisi informasi tentang permintaan sumber daya di akun Anda, seperti siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, dan parameter untuk tindakan tersebut. Data peristiwa terlampir dalam Records array.

Untuk informasi tentang bidang catatan CloudTrail peristiwa, lihatCloudTrail isi rekam.

Acara manajemen

Acara manajemen memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi pesawat kontrol.

Contoh acara manajemen meliputi:

  • Mengkonfigurasi keamanan (misalnya, AWS Identity and Access Management AttachRolePolicy API operasi).

  • Mendaftarkan perangkat (misalnya, EC2 CreateDefaultVpc API operasi Amazon).

  • Mengkonfigurasi aturan untuk merutekan data (misalnya, EC2 CreateSubnet API operasi Amazon).

  • Menyiapkan logging (misalnya, AWS CloudTrail CreateTrail API operasi).

Acara manajemen juga dapat mencakup API non-peristiwa yang terjadi di akun Anda. Misalnya, saat pengguna masuk ke akun Anda, CloudTrail mencatat ConsoleLogin peristiwa tersebut. Untuk informasi selengkapnya, lihat APINon-event yang ditangkap oleh CloudTrail.

Secara default, CloudTrail jejak dan data acara CloudTrail Lake menyimpan peristiwa manajemen log. Untuk informasi selengkapnya tentang peristiwa manajemen logging, lihatAcara manajemen pencatatan.

Contoh berikut menunjukkan catatan log tunggal dari peristiwa manajemen. Dalam peristiwa ini, IAM pengguna bernama Mary_Major menjalankan aws cloudtrail start-logging perintah untuk memanggil CloudTrail StartLoggingtindakan untuk memulai proses logging pada jejak bernamamyTrail.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Dalam contoh berikutnya, IAM pengguna pengguna bernama Paulo_Santos menjalankan aws cloudtrail start-event-data-store-ingestion perintah untuk memanggil StartEventDataStoreIngestiontindakan untuk memulai konsumsi pada penyimpanan data peristiwa.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Peristiwa data

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya. Ini juga dikenal sebagai operasi pesawat data. Peristiwa data seringkali merupakan aktivitas volume tinggi.

Contoh peristiwa data meliputi:

Tabel berikut menunjukkan jenis peristiwa data yang tersedia untuk jejak dan penyimpanan data peristiwa. Kolom tipe peristiwa data (konsol) menunjukkan pilihan yang sesuai di konsol. Kolom nilai resources.type menunjukkan resources.type nilai yang akan Anda tentukan untuk menyertakan peristiwa data dari jenis tersebut di penyimpanan data jejak atau peristiwa Anda menggunakan or. AWS CLI CloudTrail APIs

Untuk jejak, Anda dapat menggunakan pemilih peristiwa dasar atau lanjutan untuk mencatat peristiwa data untuk objek Amazon S3 di bucket tujuan umum, fungsi Lambda, dan tabel DynamoDB (ditampilkan dalam tiga baris pertama tabel). Anda hanya dapat menggunakan pemilih acara lanjutan untuk mencatat jenis peristiwa data yang ditampilkan di baris yang tersisa.

Untuk penyimpanan data acara, Anda hanya dapat menggunakan pemilih acara lanjutan untuk menyertakan peristiwa data.

Layanan AWS Deskripsi Jenis peristiwa data (konsol) nilai resources.type
Amazon DynamoDB

Aktivitas APItingkat item Amazon DynamoDB pada tabel (misalnyaPutItem,,, dan operasi). DeleteItem UpdateItem API

catatan

Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda aktivitas eksekusi fungsi (the InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

APIAktivitas tingkat objek Amazon S3 (misalnya,, GetObjectDeleteObject, dan PutObject API operasi) pada objek dalam bucket tujuan umum.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig APIaktivitas untuk operasi konfigurasi seperti panggilan ke StartConfigurationSession danGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS Pertukaran Data B2B

APIAktivitas Pertukaran Data B2B untuk operasi Transformer seperti panggilan ke dan. GetTransformerJob StartTransformerJob

 Pertukaran Data B2B AWS::B2BI::Transformer
Amazon Bedrock APIAktivitas Amazon Bedrock pada alias agen. Alias agen batuan dasar AWS::Bedrock::AgentAlias
Amazon Bedrock APIAktivitas Amazon Bedrock pada alias aliran. Alias aliran batuan dasar AWS::Bedrock::FlowAlias
Amazon Bedrock APIAktivitas Amazon Bedrock di pagar pembatas. Pagar pembatas batuan dasar AWS::Bedrock::Guardrail
Amazon Bedrock APIAktivitas Amazon Bedrock pada basis pengetahuan. Basis pengetahuan batuan dasar AWS::Bedrock::KnowledgeBase
Amazon Bedrock APIAktivitas Amazon Bedrock pada model. Model batuan dasar AWS::Bedrock::Model
Amazon CloudFront

CloudFront APIAktivitas di KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map APIaktivitas pada namespace. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map APIAktivitas pada suatu layanan. AWS Cloud Map layanan AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsaktivitas di saluran CloudTrail Danau yang digunakan untuk mencatat peristiwa dari luar AWS.

 CloudTrail kanal AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch APIAktivitas Amazon pada metrik.

 CloudWatch metrik AWS::CloudWatch::Metric
Amazon CloudWatch RUM

CloudWatch RUMAPIAktivitas Amazon di monitor aplikasi.

 RUMMonitor aplikasi AWS::RUM::AppMonitor
Amazon CodeWhisperer CodeWhisperer APIAktivitas Amazon pada kustomisasi. CodeWhisperer kustomisasi AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer APIAktivitas Amazon di profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

APIAktivitas Amazon Cognito di kumpulan identitas Amazon Cognito.

 Kolam Identitas Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange APIaktivitas pada aset.

Aset Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline Cloud APIaktivitas di armada.

Deadline Cloud armada

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloud APIaktivitas pada pekerjaan.

Deadline Cloud pekerjaan

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloud APIaktivitas di antrian.

Deadline Cloud antrian

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline Cloud APIaktivitas pada pekerja.

Deadline Cloud pekerja

AWS::Deadline::Worker
Amazon DynamoDB

Aktivitas Amazon API DynamoDB di stream.

 DynamoDB Streams AWS::DynamoDB::Stream
AWS Pesan Pengguna Akhir Sosial AWS End User Messaging API Aktivitas sosial di nomor teleponIDs. Id Nomor Telepon Pesan Sosial AWS::SocialMessaging::PhoneNumberId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) langsungAPIs, sepertiPutSnapshotBlock,GetSnapshotBlock, dan ListChangedBlocks di EBS snapshot Amazon.

 Amazon EBS langsung APIs AWS::EC2::Snapshot
Amazon EMR EMRAPIAktivitas Amazon di ruang kerja log tulis di depan. EMRruang kerja log tulis di depan AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPIaktivitas di lingkungan.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue APIaktivitas di atas meja yang dibuat oleh Lake Formation.

 Formasi Danau AWS::Glue::Table
Amazon GuardDuty

GuardDuty APIAktivitas Amazon untuk detektor.

 GuardDuty detektor AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging APIaktivitas pada penyimpanan data.

 MedicalImaging penyimpanan data AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT APIaktivitas pada sertifikat.

 Sertifikat IoT AWS::IoT::Certificate
AWS IoT

AWS IoT APIAktivitas pada berbagai hal.

 Hal IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Aktivitas APIGreengrass dari perangkat inti Greengrass pada versi komponen.

catatan

Greengrass tidak mencatat peristiwa yang ditolak akses.

 Versi komponen Greengrass IoT AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Aktivitas APIGreengrass dari perangkat inti Greengrass pada penerapan.

catatan

Greengrass tidak mencatat peristiwa yang ditolak akses.

 Penyebaran Greengrass IoT AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise APIAktivitas IoT pada aset.

 Aset IoT SiteWise AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise APIAktivitas IoT pada deret waktu.

 Deret waktu IoT SiteWise AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

TwinMaker APIAktivitas IoT pada suatu entitas.

 Entitas IoT TwinMaker AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker APIAktivitas IoT di ruang kerja.

 Ruang kerja IoT TwinMaker AWS::IoTTwinMaker::Workspace
Peringkat Cerdas Amazon Kendra

APIAktivitas Amazon Kendra Intelligent Ranking pada rencana eksekusi skor ulang.

 Peringkat Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (untuk Apache Cassandra) APIAktivitas Amazon Keyspaces di atas meja. Meja Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Aktivitas Kinesis API Data Streams pada stream. Aliran kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams Aktivitas Kinesis API Data Streams pada konsumen streaming. Konsumen aliran kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Aktivitas Kinesis API Video Streams pada aliran video, seperti panggilan ke dan. GetMedia PutMedia Aliran video Kinesis AWS::KinesisVideo::Stream
Amazon Machine Learning APIAktivitas Machine Learning pada model ML. Pembelajaran Maching MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

APIAktivitas Amazon Managed Blockchain di jaringan.

 Jaringan Blockchain yang dikelola AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed Blockchain JSON - RPC panggilan pada node Ethereum, seperti eth_getBalance ataueth_getBlockByNumber.

 Blockchain yang Dikelola AWS::ManagedBlockchain::Node
Grafik Amazon Neptunus

APIAktivitas data, misalnya kueri, algoritme, atau pencarian vektor, pada Grafik Neptunus.

 Grafik Neptunus AWS::NeptuneGraph::Graph
Amazon Satu Perusahaan

APIAktivitas Amazon One Enterprise di fileUKey.

 Amazon Satu UKey AWS::One::UKey
Amazon Satu Perusahaan

APIAktivitas Amazon One Enterprise pada pengguna.

 Amazon Satu Pengguna AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography APIaktivitas pada alias. Alias Kriptografi Pembayaran AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography APIaktivitas pada kunci. Kunci Kriptografi Pembayaran AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Konektor untuk API aktivitas Active Directory.

 AWS Private CA Konektor untuk Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Konektor untuk SCEP API aktivitas.

 AWS Private CA Konektor untuk SCEP AWS::PCAConnectorSCEP::Connector
Aplikasi Amazon Q

APIAktivitas data di Amazon Q Apps.

 Aplikasi Amazon Q AWS::QApps:QApp
Amazon Q Bisnis

APIAktivitas Amazon Q Business pada aplikasi.

 Aplikasi Amazon Q Business AWS::QBusiness::Application
Amazon Q Bisnis

APIAktivitas Amazon Q Business pada sumber data.

 Sumber data Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Bisnis

APIAktivitas Amazon Q Bisnis pada indeks.

 Amazon Q Indeks Bisnis AWS::QBusiness::Index
Amazon Q Bisnis

APIAktivitas Amazon Q Bisnis pada pengalaman web.

 Pengalaman web Amazon Q Bisnis AWS::QBusiness::WebExperience
Amazon RDS

RDSAPIAktivitas Amazon di Cluster DB.

 RDSData API - DB Cluster AWS::RDS::DBCluster
Amazon S3

APIAktivitas Amazon S3 pada titik akses.

 Titik Akses S3 AWS::S3::AccessPoint
Amazon S3

APIAktivitas tingkat objek Amazon S3 (misalnya,, GetObjectDeleteObject, dan PutObject API operasi) pada objek dalam bucket direktori.

 S3 Ekspres AWS::S3Express::Object
Amazon S3

APIAktivitas titik akses Lambda Objek Amazon S3, seperti panggilan ke dan. CompleteMultipartUpload GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 di Outposts

Amazon S3 pada aktivitas tingkat objek Outposts. API

 Outposts S3 AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamAktivitas Amazon di titik akhir. SageMaker titik akhir AWS::SageMaker::Endpoint
Amazon SageMaker

SageMaker APIAktivitas Amazon di toko fitur.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

SageMaker APIAktivitas Amazon pada komponen percobaan percobaan.

 SageMaker komponen uji coba eksperimen metrik AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

SNSPublishAPIOperasi Amazon pada titik akhir platform.

 SNStitik akhir platform AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publishdan PublishBatchAPIoperasi pada topik.

 SNStopik AWS::SNS::Topic
Amazon SQS

SQSAPIAktivitas Amazon pada pesan.

 SQS AWS::SQS::Queue
AWS Step Functions

APIAktivitas Step Functions pada mesin state.

 Mesin status Step Functions AWS::StepFunctions::StateMachine
Rantai Pasokan AWS

Rantai Pasokan AWS APIaktivitas pada sebuah instance.

 Rantai Pasokan AWS::SCN::Instance
Amazon SWF

SWFAPIAktivitas Amazon di domain.

 SWFdomain AWS::SWF::Domain
AWS Systems Manager APIAktivitas Systems Manager pada saluran kontrol. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager APIAktivitas Systems Manager pada node terkelola. Node terkelola Systems Manager AWS::SSM::ManagedNode
Amazon Timestream QueryAPIAktivitas Amazon Timestream pada database. Database Timestream AWS::Timestream::Database
Amazon Timestream QueryAPIAktivitas Amazon Timestream pada tabel. Tabel Timestream AWS::Timestream::Table
Izin Terverifikasi Amazon

APIAktivitas Izin Terverifikasi Amazon di toko kebijakan.

 Izin Terverifikasi Amazon AWS::VerifiedPermissions::PolicyStore
Klien WorkSpaces Tipis Amazon WorkSpaces APIAktivitas Klien Tipis di Perangkat. Perangkat Klien Tipis AWS::ThinClient::Device
Klien WorkSpaces Tipis Amazon WorkSpaces APIAktivitas Klien Tipis di Lingkungan. Lingkungan Klien Tipis AWS::ThinClient::Environment
AWS X-Ray

APIAktivitas X-Ray pada jejak.

 Jejak X-Ray AWS::XRay::Trace

Peristiwa data tidak dicatat secara default saat Anda membuat penyimpanan data jejak atau peristiwa. Untuk merekam peristiwa CloudTrail data, Anda harus secara eksplisit menambahkan sumber daya atau jenis sumber daya yang didukung yang ingin Anda kumpulkan aktivitasnya. Untuk informasi selengkapnya, silakan lihat Membuat jejak dengan CloudTrail konsol dan Buat penyimpanan data acara untuk CloudTrail acara dengan konsol.

Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Contoh berikut menunjukkan catatan log tunggal peristiwa data untuk SNS Publish tindakan Amazon.

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

Contoh berikutnya menunjukkan catatan log tunggal dari peristiwa data untuk tindakan Amazon CognitoGetCredentialsForIdentity.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Acara aktivitas jaringan

catatan

Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.

CloudTrail peristiwa aktivitas jaringan memungkinkan pemilik VPC titik akhir untuk merekam AWS API panggilan yang dilakukan menggunakan VPC titik akhir mereka dari pribadi VPC ke. Layanan AWS Peristiwa aktivitas jaringan memberikan visibilitas ke dalam operasi sumber daya yang dilakukan dalam file. VPC

Anda dapat mencatat peristiwa aktivitas jaringan untuk layanan berikut:

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

Peristiwa aktivitas jaringan tidak dicatat secara default saat Anda membuat penyimpanan data jejak atau peristiwa. Untuk merekam peristiwa aktivitas CloudTrail jaringan, Anda harus secara eksplisit menetapkan sumber acara yang ingin Anda kumpulkan aktivitasnya. Untuk informasi selengkapnya, lihat Mencatat peristiwa aktivitas jaringan.

Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Contoh berikut menunjukkan AWS KMS ListKeys peristiwa sukses yang melintasi titik akhir. VPC vpcEndpointIdBidang menunjukkan ID dari VPC titik akhir. vpcEndpointAccountIdKolom menunjukkan ID akun pemilik VPC endpoint. Dalam contoh ini, permintaan dibuat oleh pemilik VPC endpoint.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Contoh berikutnya menunjukkan AWS KMS ListKeys peristiwa yang gagal dengan pelanggaran kebijakan VPC titik akhir. Karena pelanggaran VPC kebijakan terjadi, baik errorMessage bidang errorCode dan bidang hadir. ID akun di vpcEndpointAccountId bidang recipientAccountId dan sama, yang menunjukkan peristiwa dikirim ke pemilik VPC titik akhir. accountIdDalam userIdentity elemen bukanvpcEndpointAccountId, yang menunjukkan bahwa pengguna yang membuat permintaan bukan pemilik VPC endpoint.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Insights acara

CloudTrail Peristiwa wawasan menangkap tingkat API panggilan yang tidak biasa atau aktivitas tingkat kesalahan di AWS akun Anda dengan menganalisis aktivitas CloudTrail manajemen. Peristiwa wawasan memberikan informasi yang relevan, seperti kode kesalahan terkaitAPI, waktu kejadian, dan statistik, yang membantu Anda memahami dan bertindak berdasarkan aktivitas yang tidak biasa. Tidak seperti jenis peristiwa lain yang ditangkap dalam penyimpanan data CloudTrail jejak atau peristiwa, peristiwa Insights dicatat hanya ketika CloudTrail mendeteksi perubahan dalam API penggunaan akun Anda atau pencatatan tingkat kesalahan yang berbeda secara signifikan dari pola penggunaan biasa akun.

Contoh aktivitas yang mungkin menghasilkan peristiwa Insights meliputi:

  • Akun Anda biasanya mencatat tidak lebih dari 20 deleteBucket API panggilan Amazon S3 per menit, tetapi akun Anda mulai mencatat rata-rata 100 deleteBucket API panggilan per menit. Peristiwa Insights dicatat pada awal aktivitas yang tidak biasa, dan peristiwa Insights lainnya dicatat untuk menandai akhir dari aktivitas yang tidak biasa.

  • Akun Anda biasanya mencatat 20 panggilan per menit ke Amazon EC2 AuthorizeSecurityGroupIngressAPI, tetapi akun Anda mulai mencatat nol panggilan keAuthorizeSecurityGroupIngress. Peristiwa Insights dicatat pada awal aktivitas yang tidak biasa, dan sepuluh menit kemudian, ketika aktivitas yang tidak biasa berakhir, peristiwa Insights lain dicatat untuk menandai akhir dari aktivitas yang tidak biasa.

  • Akun Anda biasanya mencatat kurang dari satu AccessDeniedException kesalahan dalam periode tujuh hari pada,. AWS Identity and Access Management API DeleteInstanceProfile Akun Anda mulai mencatat rata-rata 12 AccessDeniedException kesalahan per menit pada DeleteInstanceProfile API panggilan. Peristiwa Insights dicatat pada awal aktivitas tingkat kesalahan yang tidak biasa, dan peristiwa Insights lainnya dicatat untuk menandai akhir aktivitas yang tidak biasa.

Contoh-contoh ini disediakan untuk tujuan ilustrasi saja. Hasil Anda dapat bervariasi tergantung pada kasus penggunaan Anda.

Untuk mencatat peristiwa CloudTrail Insights, Anda harus secara eksplisit mengaktifkan peristiwa Insights di penyimpanan data jejak atau peristiwa baru atau yang sudah ada. Untuk informasi selengkapnya tentang membuat jejak, lihatMembuat jejak dengan CloudTrail konsol. Untuk informasi selengkapnya tentang membuat penyimpanan data acara, lihatMembuat penyimpanan data acara untuk acara Insights dengan konsol.

Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

Ada dua peristiwa yang dicatat untuk menunjukkan aktivitas yang tidak biasa di CloudTrail Wawasan: acara mulai dan acara akhir. Contoh berikut menunjukkan catatan log tunggal dari peristiwa Wawasan awal yang terjadi ketika Application Auto API CompleteLifecycleAction Scaling dipanggil beberapa kali yang tidak biasa. Untuk acara Wawasan, nilainya eventCategory adalahInsight. insightDetailsBlok mengidentifikasi status peristiwa, sumber, nama, jenis Wawasan, dan konteks, termasuk statistik dan atribusi. Untuk informasi lebih lanjut tentang insightDetails blok, lihatCloudTrail Elemen wawasan insightDetails.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }