CloudTrail レコードの内容 - AWS CloudTrail
Insights イベントのレコードフィールドsharedEventID の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、 フィールドはサービス、、APIまたはイベントタイプに適用される場合にのみ存在します。オプションFalse は、 フィールドが常に存在するか、その存在がサービス、、APIまたはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

eventTime

リクエストが完了した日時を、協定世界時 () で表したものですUTC。イベントのタイムスタンプは、API呼び出しが行われたサービスAPIエンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行されるCreateBucketAPIイベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得しますs3.us-west-2.amazonaws.com。一般的に、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.11 です。

eventVersion 値は、 形式のメジャーバージョンとマイナーバージョンですmajor_versionminor_version。例えば、eventVersion の値が 1.10 の場合には、1 がメジャーバージョンを示し、10 がマイナーバージョンを示します。

CloudTrail 下位互換性のないイベント構造が変更された場合、 はメジャーバージョンを増分します。これには、既に存在するJSONフィールドの削除や、フィールドの内容の表現方法 (日付形式など) の変更が含まれます。変更によってイベント構造に新しいフィールドが追加されると、 はマイナーバージョン CloudTrail をインクリメントします。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

が新しいイベントタイプ CloudTrail を導入しても、イベントの構造が変更されない場合、イベントバージョンは変更されません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで想定されるフィールドが存在することを確認するには、マイナーバージョンで greater-than-or-equalから への比較を実行することもお勧めします。マイナーバージョンには先頭のゼロはありません。major_version と の両方を数値minor_versionとして解釈し、比較オペレーションを実行できます。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを行った IAM ID に関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例えば:

  • AWS CloudFormation は ですcloudformation.amazonaws.com

  • Amazon EC2は ですec2.amazonaws.com

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。例えば、Amazon eventSourceの CloudWatch は ですmonitoring.amazonaws.com

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。これは、そのサービスの のアクションの 1 API つです。

使用可能: 1.0 以降

オプション: False

awsRegion

など、リクエスト AWS リージョン が行われた us-east-2。「CloudTrail がサポートされているリージョン」を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS名前のみが表示されます。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

サービス、、 AWS AWS SDKs など AWS Management Console、リクエストが行われたエージェント AWS CLI。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • lambda.amazonaws.com – リクエストは AWS Lambdaで行われました。

  • aws-sdk-java – リクエストは AWS SDK for Javaで行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Rubyで行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux に AWS CLI インストールされた で行われました。

注記

によって発生したイベントの場合 AWS、 が呼び出し AWS のサービス 元を CloudTrail 知っている場合、このフィールドは呼び出し元のサービスのイベントソースです (例: ec2.amazonaws.com)。それ以外の場合、このフィールドは AWS Internal/# であり、# は内部目的に使用される数値です。

使用可能: 1.0 以降

オプション: True

errorCode

リクエストがエラーを返した場合 AWS のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反がある場合、エラーコードは ですVpceAccessDenied

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認可エラーのメッセージが含まれています。 CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反があると、 errorMessageは常にメッセージ になりますThe request was denied due to a VPC endpoint policy。VPC エンドポイントポリシー違反のアクセス拒否イベントの詳細については、「 IAMユーザーガイド」の「アクセス拒否エラーメッセージの例」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、このガイドの「ネットワークアクティビティイベント」を参照してください。

注記

一部の AWS サービスでは、イベントの最上位フィールドerrorMessageとして errorCodeおよび が提供されます。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスのAPIリファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、requestParametersコンテンツは省略されます。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクション (存在する場合) に対するレスポンス要素 (アクションの作成、更新、削除)。アクションがレスポンス要素を返さない場合、このフィールドは null です。アクションが状態を変更しない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。アクションのレスポンス要素は、 APIリファレンスに記載されています。
 適切な のドキュメント AWS のサービス。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、reponseElementsコンテンツは省略されます。

responseElements 値は、リクエストをトレースするのに役立ちます。
 と AWS Support。x-amz-request-id および x-amz-id-2 のどちらにも、 AWS Supportを使用してリクエストをトレースする際に役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。フィールドサイズが 28 KB を超えると、additionalEventDataコンテンツは省略されます。

のコンテンツは可変additionalEventDataです。例えば、AWS Management Console サインインイベントの場合、リクエストが多要素認証 () を使用してルートまたはIAMユーザーによって行われたYes場合、 には の値を持つ MFAUsedフィールドを含めるadditionalEventDataことができますMFA。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.01 以降

オプション: True

eventID

GUID 各イベントを一意に識別 CloudTrail するために によって生成されます。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – が呼び出APIされました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction – コンソールで、 API呼び出しではないアクションが実行されました。

  • AwsConsoleSignIn – アカウントにサインインしたユーザー (ルート、IAM、フェデレーティッド、SAML、または SwitchRole) AWS Management Console。

  • AwsCloudTrailInsight – Insights イベントが有効になっている場合、 は、リソースプロビジョニングの急増や AWS Identity and Access Management (IAM) アクションのバーストなど、異常な運用アクティビティ CloudTrail を検出したときに Insights イベント CloudTrail を生成します。

    AwsCloudTrailInsight イベントは次のフィールドを使用しません:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents – CloudTrail ネットワークアクティビティイベント (プレビュー) により、VPCエンドポイント所有者はVPC、エンドポイントを使用して行われた呼び出しをプライベートから VPC に記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントを記録するには、VPCエンドポイント所有者がイベントソースのネットワークアクティビティイベントを有効にする必要があります。

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCall eventType 値に関連付けられたAPIバージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARNs

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドを使用したログの例については、 IAMユーザーガイドAWS STS CloudTrail 「ログファイルのAPIイベント」または デベロッパーガイドの「呼び出しのログ記録 AWS KMS API」を参照してください。 AWS Key Management Service

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity 要素 accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、 とも呼ばれるKMSキーAWS KMS keyが別のアカウントによって Encrypt を呼び出すために使用された場合APIaccountIdおよび のrecipientAccountID値は呼び出しを行ったアカウントに配信されたイベントで同じになりますが、KMSキーを所有するアカウントに配信されたイベントでは値が異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS のサービス のイベント」を参照してください。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、serviceEventDetailsコンテンツは省略されます。

使用可能: 1.05 以降

オプション: True

sharedEventID

GUID は CloudTrail 、異なる AWS アカウントに送信されるのと同じ AWS アクションからの CloudTrail イベントを一意に識別するために によって生成されます。

たとえば、アカウントAWS KMS keyが別のアカウントに属する を使用する場合、KMSキーを使用したアカウントとKMSキーを所有するアカウントは、同じアクションに対して個別の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは同じ を共有しますがsharedEventID、一意の eventIDと もありますrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、 CloudTrail イベントが複数のアカウントに配信される場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、 CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

から Amazon などの別の AWS サービスVPCへのリクエストが行われたVPCエンドポイントを識別しますEC2。

使用可能: 1.04 以降

オプション: True

vpcEndpointAccountId

リクエストが通過した対応するVPCエンドポイントのエンドポイント所有者の AWS アカウント ID を識別します。

該当バージョン: 1.09

オプション: True

eventCategory

イベントカテゴリを表示します。イベントカテゴリは、管理イベントまたは Insights イベントをフィルタリングするための LookupEvents 呼び出しに使用されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • Insights イベントの場合、値は Insight です。

  • ネットワークアクティビティイベントの場合、値は NetworkActivity です。

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。これは、ネットワークトラフィックの増加、接続の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE – イベントを にログ記録し、 CloudTrail 停止したイベントを記録できなかったサービス CloudTrail。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

イベントが AWS Management Console セッションから発生したかどうかを示します。このフィールドは、値が でない限り表示されません。つまりtrue、API呼び出しに使用されたクライアントはプロキシまたは外部クライアントのいずれかです。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

サービスAPIコールで使用されるクライアント提供のホスト名の Transport Layer Security (TLS) バージョン、暗号スイート、および完全修飾ドメイン名 (FQDN) に関する情報を表示します。これは、通常、サービスエンドポイントFQDNの です。 CloudTrail は、予期される情報が欠落しているか、空の場合、引き続き部分TLS的な詳細を記録します。例えば、TLSバージョンと暗号スイートが存在するが、 HOSTヘッダーが空の場合、使用可能なTLS詳細はイベントに記録されます CloudTrail 。

  • tlsVersion - リクエストTLSのバージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービスAPIコールで使用されるクライアント提供のホスト名。通常はサービスエンドポイントFQDNの です。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API 呼び出しが AWS のサービス ユーザーに代わって によって行われた場合、 tlsDetailsフィールドは存在しません。userIdentity 要素の invokedByフィールドは、 AWS のサービス API呼び出しを行った を識別します。

  • sessionCredentialFromConsole が true の値で存在する場合、 tlsDetailsは外部クライアントがAPI呼び出しに使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

Insights イベントのレコードフィールド

以下は、管理イベントまたはデータイベントの属性とは異なる Insights イベントのJSON構造に表示される属性です。

sharedEventId

sharedEventID for CloudTrail Insights イベントは、イベントの管理タイプとデータタイプの sharedEventID CloudTrail とは異なります。Insights イベントでは、 sharedEventID は CloudTrail Insights イベントを一意に識別するために Insights によってGUID生成される です。 sharedEventIDは、開始 Insights イベントと終了 Insights イベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計、API名前、イベントが Insights イベントの開始または終了かどうかなど、Insights イベントの基盤となるトリガーに関する情報を表示します。insightDetails ブロックの内容の詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。

使用可能: 1.07 以降

オプション: False

sharedEventID の例

同じアクションに対して が 2 つのイベント CloudTrail を配信する方法を説明する例を次に示します。

  1. Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこのKMSキーの所有者です。

  2. Bob には AWS アカウント (222222222222) があります。Alice は Bob にKMSキーを使用するアクセス許可を付与します。

  3. 各アカウントにはトレイルおよび別のバケットがあります。

  4. Bob は KMSキーを使用して Encrypt を呼び出しますAPI。

  5. CloudTrail は 2 つの異なるイベントを送信します。

    • 1 つのイベントが Bob に送信されます。イベントは、 KMSキーを使用したことを示しています。

    • 1 つのイベントが Alice に送信されます。イベントは、Bob がKMSキーを使用したことを示しています。

    • イベントと同じ sharedEventID ですが、eventID および recipientAccountID は一意です。

ID sharedEventフィールドがログに表示される方法

IDs CloudTrail Insights の共有イベント

sharedEventID for CloudTrail Insights イベントは、 CloudTrail イベントの管理タイプとデータタイプの sharedEventID とは異なります。Insights イベントでは、 sharedEventID は CloudTrail Insights GUIDイベントの開始ペアと終了ペアを一意に識別するために Insights によって生成される です。 sharedEventIDは、開始 Insights イベントと終了 Insights イベントの間で共通しており、両方のイベント間の相関関係を作成して異常なアクティビティを一意に識別するのに役立ちます。

sharedEventID は、全体的なインサイトイベント ID と考えることができます。