CloudTrail conteúdo do registro - AWS CloudTrail
Campos de registro para eventos do InsightssharedEventID de exemplo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail conteúdo do registro

O corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando e onde a solicitação foi feita. Quando o valor de Opcional é Verdadeiro, o campo só está presente quando se aplica ao tipo de serviço ou evento. API Um valor opcional de False significa que o campo está sempre presente ou que sua presença não depende do serviço ou do tipo de evento. API Um exemplo é responseElements, que está presente em eventos para ações que fazem alterações (criar, atualizar ou excluir ações).

CloudTrail trunca um campo se o conteúdo do campo exceder o tamanho máximo do campo. Se um campo estiver truncado, omitted estará presente com um valor de true.

eventTime

A data e a hora em que a solicitação foi concluída, em horário universal coordenado (UTC). A data e hora de um evento vem do anfitrião local que fornece o API ponto final do serviço no qual a API chamada foi feita. Por exemplo, um CreateBucket API evento executado na região Oeste dos EUA (Oregon) teria seu registro de data e hora a partir do momento em um AWS host executando o endpoint do Amazon S3,. s3.us-west-2.amazonaws.com Em geral, AWS os serviços usam o Network Time Protocol (NTP) para sincronizar os relógios do sistema.

Desde: 1.0

Opcional: False

eventVersion

A versão do formato do evento de log. A versão atual é 1.10.

O eventVersion valor é uma versão principal e uma versão secundária no formulário major_version.minor_version. Por exemplo, você pode ter um eventVersion valor de1.09, onde 1 está a versão principal e 09 é a versão secundária.

CloudTrail incrementa a versão principal se for feita uma alteração na estrutura do evento que não seja compatível com versões anteriores. Isso inclui remover um JSON campo que já existe ou alterar a forma como o conteúdo de um campo é representado (por exemplo, um formato de data). CloudTrail incrementa a versão secundária se uma alteração adicionar novos campos à estrutura do evento. Isso poderá ocorrer se novas informações forem fornecidas para alguns ou todos os eventos existentes ou se novas informações estiverem disponíveis somente para novos tipos de evento. As aplicações podem ignorar novos campos para permanecerem compatíveis com novas versões secundárias da estrutura do evento.

Se CloudTrail introduzir novos tipos de eventos, mas a estrutura do evento permanecer inalterada, a versão do evento não será alterada.

Para garantir que suas aplicações possam analisar a estrutura do evento, recomendamos que você faça uma comparação "igual a" no número da versão principal. Para garantir que os campos esperados pelo seu aplicativo existam, também recomendamos realizar uma comparação greater-than-or-equal -to na versão secundária. Não há zeros à esquerda na versão secundária. Você pode interpretar os dois major_version e minor_version como números e executa operações de comparação.

Desde: 1.0

Opcional: False

userIdentity

Informações sobre a IAM identidade que fez uma solicitação. Para obter mais informações, consulte CloudTrail userIdentity elemento.

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços, mais .amazonaws.com. Por exemplo:

  • AWS CloudFormation écloudformation.amazonaws.com.

  • A Amazon EC2 éec2.amazonaws.com.

  • O Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, o eventSource para a Amazon CloudWatch émonitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações no API para esse serviço.

Desde: 1.0

Opcional: False

awsRegion

Região da AWS Aquele para o qual a solicitação foi feita, comous-east-2. Consulte CloudTrail Regiões suportadas.

Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço informado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços em AWS, somente o DNS nome é exibido.

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

Desde: 1.0

Opcional: False

userAgent

O agente por meio do qual a solicitação foi feita, como o AWS Management Console, um AWS serviço, o AWS SDKs ou AWS CLI o. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Veja a seguir exemplos de valores:

  • lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.

  • aws-sdk-java – A solicitação foi feita com o AWS SDK for Java.

  • aws-sdk-ruby – A solicitação foi feita com o AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— A solicitação foi feita com o AWS CLI instalado no Linux.

nota

Para eventos originados por AWS, se CloudTrail souber quem AWS service (Serviço da AWS) fez a chamada, esse campo é a origem do evento do serviço de chamada (por exemplo,ec2.amazonaws.com). Caso contrário, esse campo éAWS Internal/#, onde # é um número usado para fins internos.

Desde: 1.0

Opcional: True

errorCode

O erro de AWS serviço se a solicitação retornar um erro. Para obter um exemplo que mostra esse campo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Para eventos de atividade de rede, quando há uma violação da política de VPC endpoint, o código de erro éVpceAccessDenied.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhas de autorização. CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções. Para ver um exemplo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Para eventos de atividade de rede, quando há uma violação da política de VPC endpoint, sempre errorMessage será a seguinte mensagem:The request was denied due to a VPC endpoint policy. Para obter mais informações sobre eventos de acesso negado por violações de políticas de VPC endpoints, consulte exemplos de mensagens de erro de acesso negado no Guia do IAM usuário. Para ver um exemplo de evento de atividade de rede mostrando uma violação da política de VPC endpoint, consulte Eventos de atividade de rede neste guia.

nota

Alguns AWS serviços fornecem os errorCode e errorMessage como campos de alto nível no evento. Outros serviços do AWS fornecem informações de erro como parte do responseElements.

Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de API referência do AWS serviço apropriado. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: False

responseElements

Os elementos de resposta, se houver, para ações que fazem alterações (criar, atualizar ou excluir ações). Se a ação não retorna elementos de resposta, esse campo énull. Se uma ação não muda de estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento é omitido. Os elementos de resposta para ações estão documentados na API referência documentação para o apropriado AWS service (Serviço da AWS). Esse campo tem um tamanho máximo de 100 KB; o conteúdo que excede esse limite é truncado.

O responseElements valor é útil para ajudar você a rastrear uma solicitação com AWS Support. Ambos x-amz-request-id e x-amz-id-2 contêm informações que ajudam você a rastrear uma solicitação com AWS Support. Esses valores são os mesmos que o serviço retorna na resposta à solicitação que inicia os eventos, para que você possa usá-los para combinar o evento com o pedido.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.01

Opcional: True

eventID

GUIDgerado por CloudTrail para identificar de forma exclusiva cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

  • AwsApiCall— E API eu fui chamado.

  • AwsServiceEvent – O serviço gerou um evento relacionado à sua trilha. Por exemplo, isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.

  • AwsConsoleAction— Foi realizada uma ação no console que não foi uma API chamada.

  • AwsConsoleSignIn— Um usuário em sua conta (rootIAM, federado ou SwitchRole) conectado ao AWS Management Console. SAML

  • AwsCloudTrailInsight— Se os eventos do Insights estiverem ativados, CloudTrail gera eventos do Insights ao CloudTrail detectar atividades operacionais incomuns, como picos no provisionamento de recursos ou rajadas de ações (). AWS Identity and Access Management IAM

    Eventos de AwsCloudTrailInsight não usam os seguintes campos:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— eventos CloudTrail de atividade de rede (em versão prévia) permitem que os proprietários de VPC endpoints gravem AWS API chamadas feitas usando seus VPC endpoints de uma rede privada VPC para a. AWS service (Serviço da AWS) Para registrar eventos de atividade de rede, o proprietário do VPC endpoint deve habilitar eventos de atividade de rede para a origem do evento.

Desde: 1.02

Opcional: False

apiVersion

Identifica a API versão associada ao AwsApiCall eventType valor.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent será mostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for um dos seguintes:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:

  • true – A operação é somente leitura (por exemplo, DescribeTrails).

  • false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:

  • Recurso ARNs

  • ID da conta do proprietário do recurso

  • Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter esta aparência:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID da conta: 123456789012

  • Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, registros com o resources campo, consulte AWS STS APIEvento no arquivo de CloudTrail registro no Guia do IAM usuário ou Registro de AWS KMS API chamadas no Guia do AWS Key Management Service desenvolvedor.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do CloudTrail userIdentity elemento accountId. Isso pode ocorrer no acesso a recursos entre contas. Por exemplo, se uma KMS chave, também conhecida como an AWS KMS key, foi usada por uma conta separada para chamar o Encrypt API, recipientAccountID os valores accountId e serão os mesmos para o evento entregue à conta que fez a chamada, mas os valores serão diferentes para o evento entregue à conta que possui a KMS chave.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para obter mais informações, consulte AWS service (Serviço da AWS) eventos. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.05

Opcional: True

sharedEventID

GUIDgerado por CloudTrail para identificar de forma exclusiva CloudTrail eventos da mesma AWS ação que é enviada para contas diferentes AWS .

Por exemplo, quando uma conta usa uma AWS KMS keyque pertence a outra conta, a conta que usou a KMS chave e a conta que possui a KMS chave recebem CloudTrail eventos separados para a mesma ação. Cada CloudTrail evento realizado para esta AWS ação compartilha o mesmosharedEventID, mas também tem um único eventID recipientAccountID e.

Para obter mais informações, consulte sharedEventID de exemplo.

nota

O sharedEventID campo está presente somente quando CloudTrail os eventos são entregues em várias contas. Se o chamador e o proprietário forem da mesma AWS conta, CloudTrail enviará somente um evento e o sharedEventID campo não estará presente.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o VPC endpoint no qual as solicitações foram feitas de um AWS serviço VPC para outro, como a Amazon. EC2

Desde: 1.04

Opcional: True

vpcEndpointAccountId

Identifica a Conta da AWS ID do proprietário do VPC endpoint para o endpoint correspondente pelo qual uma solicitação foi percorrida.

Desde: 1.09

Opcional: True

eventCategory

Mostra a categoria do evento. A categoria de evento é usada em LookupEventschamadas para filtrar eventos de gerenciamento ou Insights.

  • Para eventos de gerenciamento, o valor é Management.

  • Para eventos de dados, o valor é Data.

  • Para eventos do Insights, o valor é Insight.

  • Para eventos de atividade de rede, o valor éNetworkActivity.

Desde: 1.07

Opcional: False

addendum

Se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. O conteúdo inclui o seguinte:

  • reason - A razão pela qual o evento ou parte de seu conteúdo estavam faltando. Os valores podem ser qualquer um dos valores a seguir.

    • DELIVERY_DELAY - Houve um atraso na entrega de eventos. Isso pode ser causado por alto tráfego de rede, problemas de conectividade ou problemas de CloudTrail serviço.

    • UPDATED_DATA - Um campo no registro de eventos estava ausente ou tinha um valor incorreto.

    • SERVICE_OUTAGE— Um serviço que registra eventos em CloudTrail que houve uma interrupção e não conseguiu registrar CloudTrail eventos em. Isso é excepcionalmente raro.

  • updatedFields - Os campos de registro de eventos que são atualizados pelo adendo. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalRequestID - O ID exclusivo original da solicitação. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalEventID - O ID do evento original. Isso só será fornecido se o motivo for UPDATED_DATA.

Desde: 1.08

Opcional: True

sessionCredentialFromConsole

Mostra se um evento se originou ou não de uma AWS Management Console sessão. Esse campo não é exibido a menos que o valor sejatrue, o que significa que o cliente usado para fazer a API chamada era um proxy ou um cliente externo. Se um cliente proxy foi usado, campo do evento tlsDetails não é mostrado.

Desde: 1.08

Opcional: True

edgeDeviceDetails

Mostra informações sobre dispositivos de borda que são alvos de uma solicitação. No momento, os eventos do dispositivo S3 Outposts incluem este campo. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.08

Opcional: True

tlsDetails

Mostra informações sobre a versão do Transport Layer Security (TLS), os conjuntos de cifras e o nome de domínio totalmente qualificado (FQDN) do nome de host fornecido pelo cliente usado na API chamada de serviço, que normalmente é o do endpoint FQDN do serviço. CloudTrailainda registra TLS detalhes parciais se as informações esperadas estiverem ausentes ou vazias. Por exemplo, se a TLS versão e o conjunto de cifras estiverem presentes, mas o HOST cabeçalho estiver vazio, TLS os detalhes disponíveis ainda serão registrados no evento. CloudTrail

  • tlsVersion- A TLS versão de uma solicitação.

  • cipherSuite - O conjunto de cifras (combinação de algoritmos de segurança usados) de uma solicitação.

  • clientProvidedHostHeader- O nome do host fornecido pelo cliente usado na API chamada de serviço, que normalmente é o do endpoint FQDN do serviço.

nota

Há alguns casos em que o campo tlsDetails não está presente em um registro de evento.

  • O tlsDetails campo não estará presente se a API chamada foi feita por um AWS service (Serviço da AWS) em seu nome. O invokedBy campo no userIdentity elemento identifica quem fez AWS service (Serviço da AWS) a API chamada.

  • Se sessionCredentialFromConsole estiver presente com um valor verdadeiro, estará tlsDetails presente em um registro de evento somente se um cliente externo tiver sido usado para fazer a API chamada.

Desde: 1.08

Opcional: True

Campos de registro para eventos do Insights

A seguir estão os atributos mostrados na JSON estrutura de um evento do Insights que diferem daqueles em um evento de gerenciamento ou de dados.

sharedEventId

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é GUID aquele gerado pelo CloudTrail Insights para identificar de forma exclusiva um evento do Insights. sharedEventIDé comum entre os eventos iniciais e finais do Insights e ajuda a conectar os dois eventos para identificar de forma exclusiva atividades incomuns. É possível pensar no sharedEventID como o ID de evento do Insights geral.

Desde: 1.07

Opcional: False

insightDetails

Somente eventos do Insights. Mostra informações sobre os gatilhos subjacentes de um evento do Insights, como fonte do evento, agente do usuário, estatísticas, API nome e se o evento é o início ou o fim do evento do Insights. Para obter mais informações sobre a estrutura e o conteúdo do arquivo insightDetails, consulte CloudTrail insightDetailsElemento Insights.

Desde: 1.07

Opcional: False

sharedEventID de exemplo

Veja a seguir um exemplo que descreve como CloudTrail entrega dois eventos para a mesma ação:

  1. Alice tem uma AWS conta (111111111111) e cria uma. AWS KMS key Ela é a dona dessa KMS chave.

  2. Bob tem uma AWS conta (222222222222). Alice dá permissão a Bob para usar a KMS chave.

  3. Cada conta tem uma trilha e um bucket separado.

  4. Bob usa a KMS chave para ligar para Encrypt API o.

  5. CloudTrail envia dois eventos separados.

    • Um evento é enviado a Bob. O evento mostra que ele usou a KMS chave.

    • Um evento é enviado a Alice. O evento mostra que Bob usou a KMS chave.

    • Os eventos têm o mesmo sharedEventID, mas o eventID e o recipientAccountID são exclusivos.

Como o campo sharedEvent ID aparece nos registros

Evento compartilhado IDs no CloudTrail Insights

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é GUID aquele gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. sharedEventIDé comum entre o início e o final do evento Insights e ajuda a criar uma correlação entre os dois eventos para identificar de forma exclusiva atividades incomuns.

É possível pensar no sharedEventID como o ID de evento do Insights geral.