CloudTrail 레코드 콘텐츠 - AWS CloudTrail
Insights 이벤트의 레코드 필드sharedEventID 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 레코드 콘텐츠

레코드 본문에는 요청한 시기와 장소뿐만 아니라 요청한 작업을 파악하는 데 도움이 되는 필드가 포함됩니다. 선택 사항의 값이 True인 경우, 서비스, API 또는 이벤트 유형에 적용될 때만 필드가 있습니다. 선택 사항의 값이 False인 경우 필드가 항상 있거나 필드의 존재 여부가 서비스, API 또는 이벤트 유형에 따라 달라지지 않음을 의미합니다. 예를 들어 responseElements는 변경을 수행하는 작업(생성, 업데이트 또는 삭제 작업)의 이벤트에 있습니다.

eventTime

요청이 완료된 날짜와 시간은 협정 세계시(UTC)로 표시됩니다. 이벤트의 타임스탬프는 API 호출이 이루어진 서비스 API 엔드포인트를 제공하는 로컬 호스트에서 가져옵니다. 예를 들어 미국 서부(오레곤) 리전에서 실행되는 CreateBucket API 이벤트는 Amazon S3 엔드포인트를 실행하는 AWS 호스트의 시간부터 타임스탬프를 얻습니다s3.us-west-2.amazonaws.com. 일반적으로 AWS 서비스는 NTP(Network Time Protocol)를 사용하여 시스템 클럭을 동기화합니다.

다음 버전 이후: 1.0

선택 사항: False

eventVersion

로그 이벤트 형식 버전입니다. 현재 버전은 1.11입니다.

eventVersion 값은 major_version.minor_version 형식의 메이저 및 마이너 버전입니다. 예를 들어 eventVersion 값이 1.10일 수 있습니다. 여기서 1은 메이저 버전이고 10은 마이너 버전입니다.

CloudTrail에서는 이전 버전과 호환되지 않는 이벤트 구조가 변경되면 메이저 버전이 증가합니다. 여기에는 이미 존재하는 JSON 필드를 제거하거나 필드 내용이 표시되는 방식(예: 날짜 형식)을 변경하는 작업이 포함됩니다. CloudTrail에서는 이벤트 구조에 새 필드가 추가되는 변경이 일어나면 마이너 버전이 증가합니다. 이는 기존 이벤트 일부 또는 모두에 새 정보를 사용할 수 있는 경우 또는 새 이벤트 유형에서만 새 정보를 사용할 수 있는 경우에 발생할 수 있습니다. 애플리케이션은 이벤트 구조의 새로운 마이너 버전과의 호환성을 유지하기 위해 새 필드를 무시할 수 있습니다.

CloudTrail에 새로운 이벤트 유형이 도입되었지만 이벤트 구조가 달리 변경되지 않은 경우 이벤트 버전은 변경되지 않습니다.

애플리케이션이 이벤트 구조를 구문 분석할 수 있도록 하려면 메이저 버전 번호에 대해 같은 값인지 비교를 수행하는 것이 좋습니다. 애플리케이션에서 예상하는 필드가 있는지 확인하도록 하려면 마이너 버전에 대해 크거나 같은 값인지 비교를 수행하는 것이 좋습니다. 마이너 버전에는 선행 0이 없습니다. major_versionminor_version을 모두 숫자로 해석하고 비교 작업을 수행할 수 있습니다.

다음 버전 이후: 1.0

선택 사항: False

userIdentity

요청한 IAM 자격 증명에 관한 정보입니다. 자세한 내용은 CloudTrail userIdentity 요소 단원을 참조하십시오.

다음 버전 이후: 1.0

선택 사항: False

eventSource

요청이 이루어진 서비스입니다. 이 이름은 일반적으로 공백 없이 .amazonaws.com이 붙는 서비스 이름의 간단한 형태입니다. 예시:

  • AWS CloudFormation 는 입니다cloudformation.amazonaws.com.

  • Amazon EC2는 ec2.amazonaws.com입니다.

  • Amazon Simple Workflow Service는 swf.amazonaws.com입니다.

이 규칙에는 몇 가지 예외가 있습니다. 예를 들어 Amazon CloudWatch의 eventSourcemonitoring.amazonaws.com입니다.

다음 버전 이후: 1.0

선택 사항: False

eventName

요청된 작업으로 해당 서비스를 위한 API의 작업 중 하나입니다.

다음 버전 이후: 1.0

선택 사항: False

awsRegion

와 같이 요청이 수행된 AWS 리전 입니다us-east-2. CloudTrail 지원 리전 단원을 참조하세요.

다음 버전 이후: 1.0

선택 사항: False

sourceIPAddress

요청이 이루어진 IP 주소입니다. 서비스 콘솔에서 시작된 작업의 경우 보고된 주소는 콘솔 웹 서버가 아닌 기본 고객 리소스용입니다. 의 서비스의 경우 DNS 이름 AWS만 표시됩니다.

참고

AWS가 시작하는 이벤트의 경우 보통 이 필드는 AWS Internal/#이며 여기서 #은 내부 목적으로 사용되는 숫자입니다.

다음 버전 이후: 1.0

선택 사항: False

userAgent

AWS Management Console AWS 서비스, AWS SDKs 또는와 같이 요청이 이루어진 에이전트입니다 AWS CLI. 이 필드의 최대 크기는 1KB입니다. 해당 제한을 초과하는 내용은 잘립니다. 다음은 예제 값입니다.

  • lambda.amazonaws.com - AWS Lambda로 이루어진 요청입니다.

  • aws-sdk-java - AWS SDK for Java로 이루어진 요청입니다.

  • aws-sdk-ruby - AWS SDK for Ruby로 이루어진 요청입니다.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 - Linux에 AWS CLI 설치된 로 요청이 이루어졌습니다.

참고

에서 시작된 이벤트의 경우 CloudTrail이 어떤가 호출 AWS 서비스 했는지 알고 있는 AWS경우이 필드는 호출 서비스의 이벤트 소스입니다(예: ec2.amazonaws.com). 그렇지 않으면 이 필드는 AWS Internal/#이며, 여기서 #은 내부용으로 사용되는 숫자입니다.

다음 버전 이후: 1.0

선택 사항: True

errorCode

요청이 오류를 반환하는 경우의 AWS 서비스 오류입니다. 이 필드를 보여 주는 예는 오류 코드 및 메시지 로그의 예 단원을 참조하세요. 이 필드의 최대 크기는 1KB입니다. 해당 제한을 초과하는 내용은 잘립니다.

네트워크 활동 이벤트의 경우 VPC 엔드포인트 정책 위반이 있는 경우 오류 코드는 VpceAccessDenied입니다.

다음 버전 이후: 1.0

선택 사항: True

errorMessage

요청이 오류를 반환하는 경우의 오류 설명입니다. 이 메시지에는 권한 부여 실패에 대한 메시지가 포함됩니다. CloudTrail은 예외 처리 시 서비스가 로그한 메시지를 캡처합니다. 예시는 오류 코드 및 메시지 로그의 예에서 확인하십시오. 이 필드의 최대 크기는 1KB입니다. 해당 제한을 초과하는 내용은 잘립니다.

네트워크 활동 이벤트의 경우 VPC 엔드포인트 정책 위반이 있는 경우 errorMessage는 항상 The request was denied due to a VPC endpoint policy 메시지입니다. VPC 엔드포인트 정책 위반 시 액세스 거부 이벤트에 대한 자세한 내용은 IAM 사용 설명서액세스 거부 오류 메시지 예제를 참조하세요. VPC 엔드포인트 정책 위반을 보여주는 네트워크 활동 이벤트 예제는 이 가이드의 네트워크 활동 이벤트를 참조하세요.

참고

일부 AWS 서비스는 이벤트에서 errorCode 및를 최상위 필드errorMessage로 제공합니다. 기타 AWS 서비스는 responseElements의 일부로 오류 정보를 제공합니다.

다음 버전 이후: 1.0

선택 사항: True

requestParameters

파라미터가 있는 경우 요청과 함께 전송됩니다. 이러한 파라미터는 적절한 AWS 서비스에 대한 API 참조 설명서에 문서화되어 있습니다. 이 필드의 최대 크기는 100KB입니다. 필드 크기가 100KB를 초과하면 requestParameters 콘텐츠가 생략됩니다.

다음 버전 이후: 1.0

선택 사항: False

responseElements

변경이 이루어지는 작업(작업 생성, 업데이트 또는 삭제)의 응답 요소(있는 경우). readOnly APIs 경우이 필드는 입니다null. 작업이 응답 요소를 반환하지 않으면 이 필드는 null입니다. 작업에 대한 응답 요소는 적절한 AWS 서비스서비스의 API 참조 문서에 문서화되어 있습니다. 이 필드의 최대 크기는 100KB입니다. 필드 크기가 100KB를 초과하면 reponseElements 콘텐츠가 생략됩니다.

responseElements 값은 요청을 추적하는 데 유용합니다.
 를 사용합니다 AWS Support. x-amz-request-idx-amz-id-2에는 지원에서 요청을 추적하는 데 도움이 되는 정보가 포함되어 있습니다. 이러한 값은 이벤트를 시작하는 요청에 대한 응답으로 서비스가 반환하는 값과 동일하므로 이벤트를 요청과 일치시키는 데 사용할 수 있습니다.

다음 버전 이후: 1.0

선택 사항: False

additionalEventData

요청 또는 응답의 일부가 아닌 이벤트에 대한 추가 데이터입니다. 이 필드의 최대 크기는 28KB입니다. 필드 크기가 28KB를 초과하면 additionalEventData 콘텐츠가 생략됩니다.

의 내용은 가변적additionalEventData입니다. 예를 들어 AWS Management Console 로그인 이벤트의 경우는 다중 인증(MFA)을 사용하여 루트 또는 IAM 사용자가 요청한 Yes 경우 값을 가진 MFAUsed 필드를 포함할 additionalEventData 수 있습니다.

다음 버전 이후: 1.0

선택 사항: True

requestID

요청을 식별하는 값입니다. 호출된 서비스가 이 값을 생성합니다. 이 필드의 최대 크기는 1KB입니다. 해당 제한을 초과하는 내용은 잘립니다.

다음 버전 이후: 1.01

선택 사항: True

eventID

각 이벤트를 고유하게 식별하기 위해 CloudTrail이 생성한 GUID입니다. 이 값을 사용하여 단일 이벤트를 식별할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위해 기본 키로 ID를 사용할 수 있습니다.

다음 버전 이후: 1.01

선택 사항: False

eventType

이벤트 레코드를 생성하는 이벤트 유형을 식별합니다. 다음 값 중 하나일 수 있습니다.

  • AwsApiCall - 호출된 API입니다.

  • AwsServiceEvent - 추적과 관련된 이벤트를 생성한 서비스입니다. 예를 들어, 다른 계정이 소유한 리소스를 사용하여 호출했을 때 발생할 수 있습니다.

  • AwsConsoleAction - API 호출이 아닌 콘솔에서 수행한 작업입니다.

  • AwsConsoleSignIn - AWS Management Console에 로그인한 계정(루트, IAM, 연동, SAML 또는 SwitchRole)의 사용자입니다.

  • AwsCloudTrailInsight - Insights 이벤트가 활성화된 경우 CloudTrail은 리소스 프로비저닝 급증 또는 AWS Identity and Access Management (IAM) 작업 버스트와 같은 비정상적인 운영 활동을 CloudTrail 감지하면 Insights 이벤트를 생성합니다.

    AwsCloudTrailInsight 이벤트는 다음 필드를 사용하지 않습니다.

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents – CloudTrail 네트워크 활동 이벤트(미리 보기)를 사용하면 VPC 엔드포인트 소유자가 프라이빗 VPC에서 로 VPC 엔드포인트를 사용하여 수행된 AWS API 호출을 기록할 수 있습니다 AWS 서비스. 네트워크 활동 이벤트를 기록하려면 VPC 엔드포인트 소유자가 이벤트 소스에 대한 네트워크 활동 이벤트를 활성화해야 합니다.

다음 버전 이후: 1.02

선택 사항: False

apiVersion

AwsApiCall eventType 값과 연계된 API 버전을 식별합니다.

다음 버전 이후: 1.01

선택 사항: True

managementEvent

이벤트가 관리 이벤트인지 여부를 식별하는 부울 값인 managementEventeventVersion이 1.06 이상이고 이벤트 유형이 다음 중 하나인 경우 이벤트 기록에 나타납니다.

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

다음 버전 이후: 1.06

선택 사항: True

readOnly

이 작업이 읽기 전용 작업인지 식별합니다. 다음 값 중 하나일 수 있습니다:

  • true – 작업이 읽기 전용입니다(예: DescribeTrails).

  • false – 작업이 쓰기 전용입니다(예: DeleteTrail).

다음 버전 이후: 1.01

선택 사항: True

resources

이벤트에서 액세스되는 리소스 목록입니다. 필드에 추가되는 정보는 다음과 같습니다.

  • 리소스 ARN

  • 리소스 소유자의 계정 ID

  • 다음 형식의 리소스 유형 식별자: AWS::aws-service-name::data-type-name

예를 들어, AssumeRole 이벤트가 로깅되었을 때 resources 필드가 다음과 같이 나타날 수 있습니다.

  • ARN: arn:aws:iam::123456789012:role/myRole

  • 계정 ID: 123456789012

  • 리소스 유형 식별자: AWS::IAM::Role

resources 필드가 있는 로그의 예는 IAM 사용 설명서AWS STS 의 CloudTrail 로그 파일의 API 이벤트 또는 AWS Key Management Service 개발자 안내서의 AWS KMS API 호출 로깅을 참조하세요.

다음 버전 이후: 1.01

선택 사항: True

recipientAccountId

이 이벤트를 수신하는 계정 ID를 나타냅니다. recipientAccountIDCloudTrail userIdentity 요소 accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스에서 일어날 수 있습니다. 예를 들어 AWS KMS key라고도 하는 KMS 키가 별도의 계정에서 Encrypt API를 호출하는 데 사용된 경우 accountIdrecipientAccountID 값은 호출을 수행한 계정에 전달된 이벤트에 대해 동일하지만 KMS 키를 소유한 계정에 전달되는 이벤트에 대해서는 서로 다릅니다.

다음 버전 이후: 1.02

선택 사항: True

serviceEventDetails

이벤트 및 결과가 트리거된 내용을 포함하여 서비스 이벤트를 식별합니다. 자세한 내용은 AWS 서비스 이벤트 단원을 참조하십시오. 이 필드의 최대 크기는 100KB입니다. 필드 크기가 100KB를 초과하면 serviceEventDetails 콘텐츠가 생략됩니다.

다음 버전 이후: 1.05

선택 사항: True

sharedEventID

다른 AWS 계정으로 전송되는 동일한 AWS 작업에서 CloudTrail 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성된 GUID입니다.

예를 들어 계정이 또 다른 계정에 속한 AWS KMS key를 사용하는 경우 KMS 키를 사용한 계정과 KMS 키를 소유한 계정은 동일한 작업에 대해 별도의 CloudTrail 이벤트를 수신합니다. 이 AWS 작업에 대해 전달된 각 CloudTrail 이벤트는 동일한를 공유하지만 sharedEventID고유한 eventID 및 도 있습니다recipientAccountID.

자세한 내용은 sharedEventID 예 단원을 참조하십시오.

참고

sharedEventID 필드는 CloudTrail 이벤트가 여러 계정에 전달된 경우에만 나타납니다. 호출자 및 소유자가 동일한 AWS 계정인 경우 CloudTrail은 하나의 이벤트만 전송하고 sharedEventID 필드가 표시되지 않습니다.

다음 버전 이후: 1.03

선택 사항: True

vpcEndpointId

VPC에서 Amazon EC2와 같은 다른 AWS 서비스로 요청이 이루어진 VPC 엔드포인트를 식별합니다.

다음 버전 이후: 1.04

선택 사항: True

vpcEndpointAccountId

요청이 통과한 해당 엔드포인트에 대한 VPC 엔드포인트 소유자의 AWS 계정 ID를 식별합니다.

다음 버전 이후: 1.09

선택 사항: True

eventCategory

이벤트 카테고리를 표시합니다. 이벤트 카테고리는 LookupEvents 직접 호출에서 관리 또는 Insights 이벤트를 필터링하는 데 사용됩니다.

  • 관리 이벤트의 경우 값은 Management입니다.

  • 데이터 이벤트의 경우 값은 Data입니다.

  • Insights 이벤트의 경우 값은 Insight입니다.

  • 네트워크 활동 이벤트의 경우 값은 NetworkActivity입니다.

다음 버전 이후: 1.07

선택 사항: False

addendum

이벤트 전달이 지연된 경우 또는 이벤트가 로그된 후 기존 이벤트에 관한 추가 정보를 사용할 수 있게 된 경우 addendum 필드에 이벤트가 지연된 이유에 관한 정보가 표시됩니다. 기존 이벤트에서 정보가 누락된 경우 addendum 필드에는 누락된 정보 및 누락된 이유가 포함됩니다. 내용에는 다음이 포함됩니다.

  • reason - 이벤트 또는 일부 내용이 누락된 이유입니다. 값은 다음 중 하나일 수 있습니다.

    • DELIVERY_DELAY - 이벤트 전달이 지연되었습니다. 이러한 지연은 높은 네트워크 트래픽, 연결 문제 또는 CloudTrail 서비스 문제로 인해 발생할 수 있습니다.

    • UPDATED_DATA - 이벤트 레코드의 필드가 누락되었거나 필드에 잘못된 값이 있습니다.

    • SERVICE_OUTAGE - CloudTrail에 이벤트를 로그하는 서비스가 중단되어 CloudTrail에 이벤트를 로그할 수 없습니다. 이는 매우 예외적으로 드물게 일어납니다.

  • updatedFields - addendum에 의해 업데이트되는 이벤트 레코드 필드입니다. 이는 이유가 UPDATED_DATA인 경우에만 제공됩니다.

  • originalRequestID - 요청의 원래 고유 ID입니다. 이는 이유가 UPDATED_DATA인 경우에만 제공됩니다.

  • originalEventID - 원래 이벤트 ID입니다. 이는 이유가 UPDATED_DATA인 경우에만 제공됩니다.

다음 버전 이후: 1.08

선택 사항: True

sessionCredentialFromConsole

이벤트가 AWS Management Console 세션에서 시작되었는지 여부를 표시합니다. 이 필드는 값이 true가 아니면 표시되지 않습니다. 즉, API 호출에 사용된 클라이언트가 프록시 또는 외부 클라이언트임을 의미합니다. 프록시 클라이언트가 사용된 경우 tlsDetails 이벤트 필드가 표시되지 않습니다.

다음 버전 이후: 1.08

선택 사항: True

edgeDeviceDetails

요청의 대상인 엣지 디바이스에 관한 정보를 표시합니다. 현재 S3 Outposts 디바이스 이벤트에는 이 필드가 포함됩니다. 이 필드의 최대 크기는 28KB입니다. 해당 제한을 초과하는 내용은 잘립니다.

다음 버전 이후: 1.08

선택 사항: True

tlsDetails

전송 계층 보안(TLS) 버전, 암호 스위트 및 일반적으로 서비스 엔드포인트의 정규화된 도메인 이름(FQDN)인 서비스 API 호출에서 사용되는 클라이언트 제공 호스트 이름의 FQDN에 관한 정보를 표시합니다. CloudTrail은 예상 정보가 누락되었거나 비어 있는 경우에도 부분적인 TLS 세부 정보를 계속 로그합니다. 예를 들어 TLS 버전 및 암호 스위트가 있지만 HOST 헤더가 비어 있는 경우 사용 가능한 TLS 세부 정보를 CloudTrail 이벤트에 계속 로그합니다.

  • tlsVersion - 요청의 TLS 버전입니다.

  • cipherSuite - 요청의 암호 스위트(사용된 보안 알고리즘의 조합)입니다.

  • clientProvidedHostHeader - 일반적으로 서비스 엔드포인트의 FQDN인 서비스 API 호출에서 사용되는 클라이언트 제공 호스트 이름입니다.

참고

이벤트 레코드에 tlsDetails 필드가 없는 경우가 일부 있습니다.

  • AWS 서비스 사용자를 대신하여에서 API 호출을 수행한 경우 tlsDetails 필드가 표시되지 않습니다. userIdentity 요소의 invokedBy 필드는 API를 호출한 AWS 서비스 를 식별합니다.

  • sessionCredentialFromConsole 필드가 참(true)으로 표시되는 경우, tlsDetails는 API 호출에 외부 클라이언트가 사용된 경우에만 이벤트 레코드에 표시됩니다.

다음 버전 이후: 1.08

선택 사항: True

Insights 이벤트의 레코드 필드

다음은 관리 이벤트 또는 데이터 이벤트의 구조와 다른 인사이트 이벤트의 JSON 구조에 표시되는 속성입니다.

sharedEventId

CloudTrail Insights 이벤트의 sharedEventID는 CloudTrail 이벤트의 관리 및 데이터 유형에 대한 sharedEventID와 다릅니다. Insights 이벤트에서 sharedEventID는 Insights 이벤트를 고유하게 식별하기 위해 CloudTrail Insights에서 생성하는 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통이며 두 이벤트를 연결하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다. sharedEventID를 전체 인사이트 이벤트 ID로 간주할 수 있습니다.

다음 버전 이후: 1.07

선택 사항: False

insightDetails

인사이트 이벤트에만 해당됩니다. 이벤트 소스, 사용자 에이전트, 통계, API 이름, 해당 이벤트가 Insights 이벤트의 시작인지 종료인지 여부 같은 Insights 이벤트의 기본 트리거에 관한 정보를 표시합니다. insightDetails 블록의 내용에 대해 자세히 알아보려면 CloudTrail Insights insightDetails 요소 단원을 참조하세요.

다음 버전 이후: 1.07

선택 사항: False

sharedEventID 예

다음은 CloudTrail이 동일한 작업의 두 이벤트를 전달하는 방법을 설명하는 예입니다.

  1. Alice는 AWS 계정(111111111111)을 가지고 있으며를 생성합니다 AWS KMS key. 그녀는 이 KMS 키의 소유자입니다.

  2. Bob은 AWS 계정(222222222222)을 가지고 있습니다. Alice는 Bob에게 KMS 키를 사용할 수 있는 권한을 부여합니다.

  3. 각 계정에는 추적과 개별 버킷이 있습니다.

  4. Bob은 KMS 키를 사용하여 Encrypt API를 호출합니다.

  5. CloudTrail은 두 개의 개별 이벤트를 전송합니다.

    • 한 이벤트는 Bob에게 전송됩니다. 이벤트는 그가 KMS 키를 사용했음을 보여 줍니다.

    • 한 이벤트는 Alice에게 전송됩니다. 이벤트는 Bob이 KMS 키를 사용했음을 보여 줍니다.

    • 이벤트의 sharedEventID는 동일하지만 eventIDrecipientAccountID는 고유합니다.

sharedEventID 필드가 로그에 나타나는 방식

CloudTrail Insights의 공유 이벤트 ID

CloudTrail Insights 이벤트의 sharedEventID는 CloudTrail 이벤트의 관리 및 데이터 유형에 대한 sharedEventID와 다릅니다. Insights 이벤트에서 sharedEventID는 Insights 이벤트의 시작 및 종료 쌍을 고유하게 식별하기 위해 CloudTrail Insights에서 생성하는 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통이며 두 이벤트 간의 상관관계를 생성하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다.

sharedEventID를 전체 인사이트 이벤트 ID로 간주할 수 있습니다.