CloudTrail contenuto del record - AWS CloudTrail
Campi dei record degli eventi InsightsID di esempio sharedEvent

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail contenuto del record

Il corpo del record contiene i campi che consentono di determinare l'azione richiesta, nonché quando e dove la richiesta è stata effettuata. Quando il valore di Optional è True, il campo è presente solo quando si applica al servizio o al tipo di evento. API Il valore facoltativo False indica che il campo è sempre presente o che la sua presenza non dipende dal servizio o dal tipo di evento. API Un esempio è responseElements, presente negli eventi per operazioni che comportano modifiche (operazioni di creazione, aggiornamento o eliminazione).

eventTime

La data e l'ora di completamento della richiesta, in base all'ora universale coordinata (UTC). Il timestamp di un evento proviene dall'host locale che fornisce l'APIendpoint del servizio su cui è stata effettuata la API chiamata. Ad esempio, un CreateBucket API evento che viene eseguito nella regione degli Stati Uniti occidentali (Oregon) otterrà il timestamp dall'ora in cui si trova su un AWS host che esegue l'endpoint Amazon S3,. s3.us-west-2.amazonaws.com In generale, AWS i servizi utilizzano Network Time Protocol (NTP) per sincronizzare gli orologi di sistema.

Since: 1.0

Optional: False

eventVersion

Versione del formato dell'evento di log. La versione attuale è la 1.11.

Il eventVersion valore è una versione principale e secondaria nel modulomajor_version. minor_version. Ad esempio, puoi avere un valore eventVersion di 1.10, dove 1 è la versione principale e 10 è la versione secondaria.

CloudTrail incrementa la versione principale se viene apportata una modifica alla struttura degli eventi che non è compatibile con le versioni precedenti. Ciò include la rimozione di un JSON campo già esistente o la modifica della modalità di rappresentazione del contenuto di un campo (ad esempio, un formato di data). CloudTrail incrementa la versione secondaria se una modifica aggiunge nuovi campi alla struttura dell'evento. Questo può verificarsi se sono disponibili nuove informazioni per alcuni o tutti gli eventi esistenti oppure se sono disponibili nuove informazioni solo per novi tipi di eventi. Le applicazioni possono ignorare i nuovi campi per rimanere compatibili con le nuove versioni secondarie della struttura dell'evento.

Se CloudTrail introduce nuovi tipi di eventi, ma la struttura dell'evento rimane invariata, la versione dell'evento non cambia.

Per essere certi che le applicazioni possano analizzare la struttura dell'evento, è consigliabile eseguire un confronto "uguale a" sul numero della versione principale. Per essere sicuri che i campi previsti dall'applicazione esistano, consigliamo anche di eseguire un confronto greater-than-or-equal -to sulla versione secondaria. Non sono presenti zeri iniziali nella versione secondaria. È possibile interpretare entrambi major_version e minor_version come numeri ed eseguire operazioni di confronto.

Since: 1.0

Optional: False

userIdentity

Informazioni sull'IAMidentità che ha effettuato una richiesta. Per ulteriori informazioni, consulta CloudTrail userIdentity elemento.

Since: 1.0

Optional: False

eventSource

Servizio a cui è stata eseguita la richiesta. Questo nome è in genere la versione abbreviata del nome del servizio senza spazi e con il suffisso .amazonaws.com. Per esempio:

  • AWS CloudFormation ècloudformation.amazonaws.com.

  • Amazon EC2 lo èec2.amazonaws.com.

  • Amazon Simple Workflow Service è swf.amazonaws.com.

Questa convenzione è caratterizzata da alcune eccezioni. Ad esempio, eventSource per Amazon CloudWatch èmonitoring.amazonaws.com.

Since: 1.0

Optional: False

eventName

L'azione richiesta, che è una delle azioni previste API per quel servizio.

Since: 1.0

Optional: False

awsRegion

Il Regione AWS destinatario della richiesta, ad esempious-east-2. Per informazioni, consulta CloudTrail Regioni supportate.

Since: 1.0

Optional: False

sourceIPAddress

Indirizzo IP da cui è stata effettuata la richiesta. Per le operazioni che hanno origine dalla console del servizio, l'indirizzo rilevato fa riferimento alla risorsa cliente sottostante, non al server Web della console. Per i servizi in AWS, viene visualizzato solo il DNS nome.

Nota

Per gli eventi generati da AWS, questo campo è in genere AWS Internal/#, dove # rappresenta un numero utilizzato per scopi interni.

Since: 1.0

Optional: False

userAgent

L'agente tramite il quale è stata effettuata la richiesta, ad esempio il AWS Management Console, un AWS servizio, il AWS SDKs o il AWS CLI. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Di seguito sono riportati i valori di esempio:

  • lambda.amazonaws.com - La richiesta è stata effettuata con AWS Lambda.

  • aws-sdk-java - La richiesta è stata effettuata con AWS SDK for Java.

  • aws-sdk-ruby - La richiesta è stata effettuata con AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— La richiesta è stata effettuata con l' AWS CLI installazione su Linux.

Nota

Per gli eventi generati da AWS, se CloudTrail sa chi Servizio AWS ha effettuato la chiamata, questo campo è l'origine dell'evento del servizio chiamante (ad esempio,ec2.amazonaws.com). Altrimenti, questo campo è AWS Internal/# dove si # trova un numero utilizzato per scopi interni.

Since: 1.0

Optional: True

errorCode

L'errore di AWS servizio se la richiesta restituisce un errore. Per un esempio che mostra questo campo, consulta Esempio di codice di errore e log dei messaggi. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.

Per gli eventi di attività di rete, in caso di violazione della policy dell'VPCendpoint, il codice di errore èVpceAccessDenied.

Since: 1.0

Optional: True

errorMessage

Descrizione dell'errore, se la richiesta restituisce un errore. Questo messaggio include messaggi relativi a errori di autorizzazione. CloudTrail acquisisce il messaggio registrato dal servizio nella gestione delle eccezioni. Per vedere un esempio, consulta Esempio di codice di errore e log dei messaggi. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.

Per gli eventi di attività di rete, in caso di violazione della politica dell'VPCendpoint, errorMessage verrà sempre visualizzato il seguente messaggio:. The request was denied due to a VPC endpoint policy Per ulteriori informazioni sugli eventi di accesso negato per violazioni delle policy degli VPC endpoint, consulta Esempi di messaggi di errore di accesso negato nella Guida per l'IAMutente. Per un esempio di evento di attività di rete che mostra una violazione delle policy degli VPC endpoint, consulta Eventi di attività di rete in questa guida.

Nota

Alcuni AWS servizi forniscono il errorCode e errorMessage come campi di primo livello nell'evento. Altri servizi AWS restituiscono informazioni di errore come parte di responseElements.

Since: 1.0

Optional: True

requestParameters

Eventuali parametri stati inviati assieme alla richiesta. Questi parametri sono documentati nella documentazione API di riferimento per il servizio appropriato AWS . Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il requestParameters contenuto viene omesso.

Since: 1.0

Optional: False

responseElements

Gli eventuali elementi di risposta per le azioni che apportano modifiche (azioni di creazione, aggiornamento o eliminazione). Se l'azione non restituisce elementi di risposta, questo campo ènull. Se un'azione non cambia lo stato (ad esempio, una richiesta per ottenere o elencare oggetti), questo elemento è omesso. Gli elementi di risposta per le azioni sono documentati nel riferimento API documentazione appropriata Servizio AWS. Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il reponseElements contenuto viene omesso.

Il responseElements valore è utile per aiutarti a tracciare una richiesta con AWS Support. Entrambi x-amz-request-id e x-amz-id-2 contengono informazioni che consentono di tracciare una richiesta con AWS Support. Questi valori sono uguali a quelli che il servizio restituisce nella risposta alla richiesta avvia gli eventi, quindi puoi usarli per abbinare l'evento al richiesta.

Since: 1.0

Optional: False

additionalEventData

Dati aggiuntivi sull'evento non facenti parte della richiesta o della risposta. Questo campo ha una dimensione massima di 28 KB. Quando la dimensione del campo supera i 28 KB, il additionalEventData contenuto viene omesso.

Il contenuto di additionalEventData è variabile. Ad esempio, per gli eventi di AWS Management Console accesso, additionalEventData potrebbe includere il MFAUsed campo con il valore Yes se la richiesta è stata effettuata da un root o da un IAM utente utilizzando l'autenticazione a più fattori ()MFA.

Since: 1.0

Optional: True

requestID

Valore che identifica la richiesta. Il servizio chiamato genera questo valore. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.

Since: 1.01

Optional: True

eventID

GUIDgenerato da CloudTrail per identificare in modo univoco ogni evento. Puoi utilizzare questo valore per identificare un singolo evento. Ad esempio, puoi utilizzare l'ID come chiave primaria per recuperare i dati di log da un database ricercabile.

Since: 1.01

Optional: False

eventType

Identifica il tipo di evento che ha generato il record dell'evento. Può essere uno dei seguenti valori:

  • AwsApiCall— API È stato chiamato An.

  • AwsServiceEvent - Il servizio ha generato un evento correlato al percorso. Ad esempio, ciò si può verificare quando un altro account ha effettuato una chiamata con una risorsa di tua proprietà.

  • AwsConsoleAction— È stata eseguita un'azione nella console che non era una API chiamata.

  • AwsConsoleSignIn— Un utente del tuo account (rootIAM, federated o SwitchRole) ha effettuato l' AWS Management Console accesso a. SAML

  • AwsCloudTrailInsight— Se gli eventi Insights sono abilitati, CloudTrail genera eventi Insights quando CloudTrail rileva attività operative insolite come picchi nell'approvvigionamento di risorse o sequenze di () azioni. AWS Identity and Access Management IAM

    AwsCloudTrailInsight eventi non usano i campi seguenti:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— gli eventi CloudTrail di attività di rete (in anteprima) consentono ai proprietari degli VPC endpoint di registrare AWS API le chiamate effettuate utilizzando i propri VPC endpoint da un ambiente privato a. VPC Servizio AWS Per registrare gli eventi di attività di rete, il proprietario dell'VPCendpoint deve abilitare gli eventi di attività di rete per l'origine dell'evento.

Since: 1.02

Optional: False

apiVersion

Identifica la API versione associata al AwsApiCall eventType valore.

Since: 1.01

Optional: True

managementEvent

Un valore booleano che identifica se l'evento è un evento di gestione. managementEvent viene mostrato in un record di eventi se eventVersion è 1.06 o superiore e il tipo di evento è uno dei seguenti:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Since: 1.06

Optional: True

readOnly

Identifica se questa operazione è un'operazione di sola lettura. Può essere uno dei seguenti valori:

  • true - L'operazione è di sola lettura (ad esempio, DescribeTrails).

  • false - L'operazione è di sola scrittura (ad esempio, DeleteTrail).

Since: 1.01

Optional: True

resources

Elenco delle risorse a cui è stato eseguito l'accesso nell'evento. Il campo può contenere le informazioni seguenti:

  • Risorsa ARNs

  • ID account del proprietario delle risorse

  • Identificatore del tipo di risorsa nel formato: AWS::aws-service-name::data-type-name

Ad esempio, quando viene registrato un evento AssumeRole, il campo resources può avere il seguente aspetto:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID account: 123456789012

  • Identificatore del tipo di risorsa: AWS::IAM::Role

Ad esempio, i log con il resources campo, consulta AWS STS APIEvent in CloudTrail Log File nella Guida per l'IAMutente o Logging AWS KMS API Calls nella AWS Key Management Service Developer Guide.

Since: 1.01

Optional: True

recipientAccountId

Rappresenta l'ID dell'account che ha ricevuto questo evento. recipientAccountID può essere diverso da CloudTrail userIdentity elemento accountId. Questo può verificarsi nell'accesso alle risorse da più account. Ad esempio, se una KMS chiave, nota anche come AWS KMS key, è stata utilizzata da un account separato per chiamare Encrypt API, i recipientAccountID valori accountId and saranno gli stessi per l'evento inviato all'account che ha effettuato la chiamata, ma i valori saranno diversi per l'evento inviato all'account che possiede la chiave. KMS

Since: 1.02

Optional: True

serviceEventDetails

Identifica l'evento del servizio, incluso l'elemento che ha attivato l'evento e il risultato. Per ulteriori informazioni, consulta Servizio AWS eventi. Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il serviceEventDetails contenuto viene omesso.

Since: 1.05

Optional: True

sharedEventID

GUIDgenerato da CloudTrail per identificare in modo univoco CloudTrail gli eventi derivanti dalla stessa AWS azione inviata a diversi account. AWS

Ad esempio, quando un account utilizza un account AWS KMS keyche appartiene a un altro account, l'account che ha utilizzato la KMS chiave e l'account che possiede la KMS chiave ricevono CloudTrail eventi separati per la stessa azione. Ogni CloudTrail evento fornito per questa AWS azione è lo stessosharedEventID, ma ha anche un eventID e unicorecipientAccountID.

Per ulteriori informazioni, consulta ID di esempio sharedEvent.

Nota

Il sharedEventID campo è presente solo quando CloudTrail gli eventi vengono consegnati a più account. Se l'autore della chiamata e il proprietario sono lo stesso account AWS , CloudTrail invia solo un evento e il campo sharedEventID non è presente.

Since: 1.03

Optional: True

vpcEndpointId

Identifica l'VPCendpoint in cui sono state effettuate le richieste da un AWS servizio VPC a un altro, ad esempio Amazon. EC2

Since: 1.04

Optional: True

vpcEndpointAccountId

Identifica l' Account AWS ID del proprietario dell'endpoint per l'VPCendpoint corrispondente per il quale è stata inoltrata una richiesta.

Dal: 1.09

Optional: True

eventCategory

Mostra la categoria dell'evento. La categoria di eventi viene utilizzata nelle LookupEventschiamate per filtrare gli eventi di gestione o Insights.

  • Per gli eventi di gestione, il valore è Management.

  • Per gli eventi di dati, il valore è Data.

  • Per gli eventi Insights, il valore è Insight.

  • Per gli eventi di attività di rete, il valore èNetworkActivity.

Since: 1.07

Optional: False

addendum

Se la consegna di un evento ha subito un ritardo o se diventano disponibili ulteriori informazioni su un evento esistente dopo la registrazione dell'evento, un campo addendum mostra informazioni sul motivo per cui l'evento ha subito un ritardo. Se mancavano informazioni da un evento esistente, il campo addendum include le informazioni mancanti e un motivo per cui mancavano. Il contenuto include quanto segue.

  • reason - Il motivo per cui l'evento o alcuni dei suoi contenuti mancavano. I valori possono essere uno dei seguenti.

    • DELIVERY_DELAY - La consegna degli eventi ha subito un ritardo. Ciò potrebbe essere causato da un elevato traffico di rete, da problemi di connettività o da un problema CloudTrail di servizio.

    • UPDATED_DATA - Un campo nel record dell'evento mancava o aveva un valore non corretto.

    • SERVICE_OUTAGE— Un servizio che registra gli eventi CloudTrail ha subito un'interruzione e su cui non è possibile registrare gli eventi. CloudTrail Questo è eccezionalmente raro.

  • updatedFields - I campi record di evento aggiornati dall'addendum. Questo è fornito solo se il motivo è UPDATED_DATA.

  • originalRequestID - L'ID univoco originale della richiesta. Questo è fornito solo se il motivo è UPDATED_DATA.

  • originalEventID - L'ID evento originale. Questo è fornito solo se il motivo è UPDATED_DATA.

Since: 1.08

Optional: True

sessionCredentialFromConsole

Indica se un evento ha avuto origine o meno da una sessione. AWS Management Console Questo campo non viene visualizzato a meno che il valore non siatrue, il che significa che il client utilizzato per effettuare la API chiamata era un proxy o un client esterno. Se è stato utilizzato un client proxy, il campo dell'evento tlsDetails non viene visualizzato.

Since: 1.08

Optional: True

edgeDeviceDetails

Mostra informazioni sui dispositivi edge che sono destinazioni di una richiesta. Attualmente, gli eventi dei dispositivi S3 Outposts includono questo campo. Questo campo ha una dimensione massima di 28 KB. Il contenuto che supera tale limite viene troncato.

Since: 1.08

Optional: True

tlsDetails

Mostra informazioni sulla versione di Transport Layer Security (TLS), sulle suite di crittografia e sul nome di dominio completo (FQDN) del nome host fornito dal client utilizzato nella API chiamata di servizio, che in genere è l'endpoint FQDN del servizio. CloudTrailregistra comunque i TLS dettagli parziali se le informazioni previste sono mancanti o vuote. Ad esempio, se la TLS versione e la suite di crittografia sono presenti, ma l'HOSTintestazione è vuota, TLS i dettagli disponibili vengono comunque registrati nell'evento. CloudTrail

  • tlsVersion- La TLS versione di una richiesta.

  • cipherSuite - La suite di crittografia (combinazione di algoritmi di sicurezza utilizzati) di una richiesta.

  • clientProvidedHostHeader- Il nome host fornito dal client utilizzato nella API chiamata di servizio, che in genere è l'endpoint FQDN del servizio.

Nota

In alcuni casi il campo tlsDetails non è presente in un record di eventi.

  • Il tlsDetails campo non è presente se la API chiamata è stata effettuata da un utente per Servizio AWS conto dell'utente. Il invokedBy campo nell'userIdentityelemento identifica chi Servizio AWS ha effettuato la API chiamata.

  • If sessionCredentialFromConsole è presente con il valore true, tlsDetails è presente in un record di eventi solo se per effettuare la API chiamata è stato utilizzato un client esterno.

Since: 1.08

Optional: True

Campi dei record degli eventi Insights

Di seguito sono riportati gli attributi mostrati nella JSON struttura di un evento Insights che differiscono da quelli di un evento di gestione o di dati.

sharedEventId

Gli eventi A sharedEventID for CloudTrail Insights differiscono dagli eventi sharedEventID per la gestione e i tipi di dati degli CloudTrail eventi. Negli eventi Insights, a sharedEventID è un GUID evento generato da CloudTrail Insights per identificare in modo univoco un evento Insights. sharedEventIDè comune tra gli eventi Insights di inizio e fine e aiuta a collegare entrambi gli eventi per identificare in modo univoco attività insolite. Puoi considerare lo sharedEventID come l'ID evento generale di Insights.

Since: 1.07

Optional: False

insightDetails

Solo eventi Insights. Mostra informazioni sui trigger sottostanti di un evento Insights, ad esempio l'origine dell'evento, lo user agent, le statistiche, API il nome e indica se l'evento è l'inizio o la fine dell'evento Insights. Per ulteriori informazioni sui contenuti del blocco insightDetails, consulta CloudTrail insightDetailsElemento Insights.

Since: 1.07

Optional: False

ID di esempio sharedEvent

Di seguito è riportato un esempio che descrive come CloudTrail fornisce due eventi per la stessa azione:

  1. Alice ha un AWS account (1111) e crea un AWS KMS key. È la proprietaria di questa KMS chiave.

  2. Bob ha un AWS account (222222222222). Alice dà a Bob il permesso di usare la KMS chiave.

  3. Ogni account dispone di un trail e di un bucket distinto.

  4. Bob usa la KMS chiave per chiamare il EncryptAPI.

  5. CloudTrail invia due eventi separati.

    • Un evento viene inviato a Bob. L'evento mostra che ha usato la KMS chiave.

    • Un evento viene inviato ad Alice. L'evento mostra che Bob ha usato la KMS chiave.

    • Gli eventi hanno lo stesso valore di sharedEventID, ma i valori eventID e recipientAccountID sono univoci.

Come appare il campo sharedEvent ID nei log

Evento condiviso IDs in Insights CloudTrail

Gli eventi A sharedEventID for CloudTrail Insights differiscono dagli eventi sharedEventID per la gestione e i tipi di dati degli CloudTrail eventi. Negli eventi Insights, a sharedEventID è un GUID evento generato da CloudTrail Insights per identificare in modo univoco una coppia di eventi Insights di inizio e fine. sharedEventIDè comune tra l'evento Insights di inizio e quello di fine e aiuta a creare una correlazione tra i due eventi per identificare in modo univoco attività insolite.

Puoi considerare lo sharedEventID come l'ID evento generale di Insights.