Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

CloudTrail conteúdo do registro

PDF
RSS
Modo de foco
CloudTrail conteúdo do registro - AWS CloudTrail
Campos de registro para eventos do InsightsExemplo de sharedEventID

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando e onde a solicitação foi feita. Quando o valor de Opcional for True, o campo estará presente somente quando se aplicar ao serviço, à API ou ao tipo de evento. Um valor opcional de False (Falso) significa que o campo está sempre presente ou que sua presença não depende do serviço, da API ou do tipo de evento. Um exemplo é responseElements, que está presente em eventos para ações que fazem alterações (criar, atualizar ou excluir ações).

eventTime

A data e a hora em que a solicitação foi concluída no formato de Tempo Universal Coordenado (UTC). O carimbo de data/hora de um evento vem do host local que fornece o endpoint da API de serviço no qual a chamada de API foi feita. Por exemplo, um evento de CreateBucket API executado na região Oeste dos EUA (Oregon) teria seu registro de data e hora a partir do momento em um AWS host executando o endpoint do Amazon S3,. s3.us-west-2.amazonaws.com Em geral, AWS os serviços usam o Network Time Protocol (NTP) para sincronizar os relógios do sistema.

Desde: 1.0

Opcional: False

eventVersion

A versão do formato do evento de log. A versão atual é 1.11.

O eventVersion valor é uma versão principal e uma versão secundária no formuláriomajor_version. minor_version. Por exemplo, é possível ter um valor eventVersion de 1.10, onde 1 é a versão principal, e10 é a versão secundária.

CloudTrail incrementa a versão principal se for feita uma alteração na estrutura do evento que não seja compatível com versões anteriores. Isso inclui remover um campo JSON que já existe ou alterar a forma como o conteúdo de um campo é representado (por exemplo, um formato de data). CloudTrail incrementa a versão secundária se uma alteração adicionar novos campos à estrutura do evento. Isso poderá ocorrer se novas informações forem fornecidas para alguns ou todos os eventos existentes ou se novas informações estiverem disponíveis somente para novos tipos de evento. As aplicações podem ignorar novos campos para permanecerem compatíveis com novas versões secundárias da estrutura do evento.

Se CloudTrail introduzir novos tipos de eventos, mas a estrutura do evento permanecer inalterada, a versão do evento não será alterada.

Para garantir que suas aplicações possam analisar a estrutura do evento, recomendamos que você faça uma comparação "igual a" no número da versão principal. Para garantir que os campos esperados pelo seu aplicativo existam, também recomendamos realizar uma comparação greater-than-or-equal -to na versão secundária. Não há zeros à esquerda na versão secundária. Você pode interpretar ambos major_version e minor_version como números e realizar operações de comparação.

Desde: 1.0

Opcional: False

userIdentity

Informações sobre a identidade do IAM que fez uma solicitação. Para obter mais informações, consulte CloudTrail Elemento UserIdentity.

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços, mais .amazonaws.com. Por exemplo:

  • AWS CloudFormation écloudformation.amazonaws.com.

  • A Amazon EC2 éec2.amazonaws.com.

  • O Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, o eventSource para a Amazon CloudWatch émonitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações na API desse serviço.

Desde: 1.0

Opcional: False

awsRegion

Região da AWS Aquele para o qual a solicitação foi feita, comous-east-2. Consulte CloudTrail Regiões suportadas.

Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço informado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços em AWS, somente o nome DNS é exibido.

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

Desde: 1.0

Opcional: False

userAgent

O agente por meio do qual a solicitação foi feita, como o AWS Management Console, um AWS serviço, o AWS SDKs ou AWS CLI o. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Veja a seguir exemplos de valores:

  • lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.

  • aws-sdk-java – A solicitação foi feita com o AWS SDK para Java.

  • aws-sdk-ruby – A solicitação foi feita com o AWS SDK para Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— A solicitação foi feita com o AWS CLI instalado no Linux.

nota

Para eventos originados por AWS, se CloudTrail souber quem AWS service (Serviço da AWS) fez a chamada, esse campo é a origem do evento do serviço de chamada (por exemplo,ec2.amazonaws.com). Caso contrário, esse campo é AWS Internal/#, onde # é um número usado para fins internos.

Desde: 1.0

Opcional: True

errorCode

O erro de AWS serviço se a solicitação retornar um erro. Para obter um exemplo que mostra esse campo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Para eventos de atividade de rede, quando há uma violação da política do endpoint da VPC, o código de erro é VpceAccessDenied.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhas de autorização. CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções. Para obter um exemplo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Para eventos de atividade de rede, quando há uma violação da política do endpoint da VPC, a errorMessage sempre terá a seguinte mensagem: The request was denied due to a VPC endpoint policy. Para obter mais informações sobre eventos de acesso negado para violações da política de endpoints da VPC, consulte Exemplos de mensagens de erro de acesso negado no Guiado usuário do IAM. Para ver um exemplo de evento de atividade de rede mostrando uma violação da política de endpoint da VPC, consulte Eventos de atividade de rede neste guia.

nota

Alguns AWS serviços fornecem os errorCode e errorMessage como campos de alto nível no evento. Outros serviços do AWS fornecem informações de erro como parte do responseElements.

Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o AWS serviço apropriado. Esse campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o requestParameters conteúdo é omitido.

Desde: 1.0

Opcional: False

responseElements

Os elementos de resposta, se houver, das ações que fazem alterações (criar, atualizar ou excluir ações). Pois readOnly APIs, esse campo énull. Se a ação não retorna elementos de resposta, esse campo é null. Os elementos de resposta das ações são registrados na documentação de referência da API do serviço do AWS service (Serviço da AWS) apropriado. Esse campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o reponseElements conteúdo é omitido.

O responseElements valor é útil para ajudar você a rastrear uma solicitação. com AWS Support. x-amz-request-id e x-amz-id-2 contêm informações que ajudam você a monitorar solicitações com o Suporte. Esses valores são os mesmos que os retornados pelo serviço na resposta à solicitação que inicia os eventos, para que possam ser usados para corresponder o evento à solicitação.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta. Esse campo tem um tamanho máximo de 28 KB. Quando o tamanho do campo excede 28 KB, o additionalEventData conteúdo é omitido.

O conteúdo do additionalEventData é variável. Por exemplo, para eventos de AWS Management Console login, additionalEventData pode incluir o MFAUsed campo com um valor de Yes se a solicitação foi feita por um usuário root ou do IAM usando a autenticação multifator (MFA).

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.01

Opcional: True

eventID

GUID gerado por CloudTrail para identificar de forma exclusiva cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

  • AwsApiCall – Uma API foi chamada.

  • AwsServiceEvent – O serviço gerou um evento relacionado à sua trilha. Por exemplo, isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.

  • AwsConsoleAction – Foi executada uma ação no console que não era uma chamada de API.

  • AwsConsoleSignIn— Um usuário em sua conta (root, IAM, federado, SAML ou SwitchRole) conectado ao. AWS Management Console

  • AwsCloudTrailInsight— Se os eventos do Insights estiverem ativados, CloudTrail gera eventos do Insights ao CloudTrail detectar atividades operacionais incomuns, como picos no provisionamento de recursos ou surtos de AWS Identity and Access Management ações (IAM).

    Eventos de AwsCloudTrailInsight não usam os seguintes campos:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents— eventos CloudTrail de atividade de rede permitem que proprietários de endpoints de VPC gravem chamadas de AWS API feitas usando seus endpoints de VPC de uma VPC privada para o. AWS service (Serviço da AWS) Para registrar eventos de atividade de rede, o proprietário do endpoint da VPC deve habilitar eventos de atividade de rede para a origem do evento.

Desde: 1.02

Opcional: False

apiVersion

Identifica a versão da API associada ao valor de AwsApiCall eventType.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent será mostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for um dos seguintes:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:

  • true – A operação é somente leitura (por exemplo, DescribeTrails).

  • false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:

  • Recurso ARNs

  • ID da conta do proprietário do recurso

  • Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter esta aparência:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID da conta: 123456789012

  • Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, registros com o resources campo, consulte Evento de AWS STS API no arquivo de CloudTrail registro no Guia do usuário do IAM ou Registro de chamadas de AWS KMS API no Guia do AWS Key Management Service desenvolvedor.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do CloudTrail Elemento UserIdentity accountId. Isso pode ocorrer no acesso a recursos entre contas. Por exemplo, se uma chave do KMS, também conhecida como AWS KMS key, foi usada por uma conta separada para chamar a API de criptografia, os valores accountId e recipientAccountID serão os mesmos para o evento fornecido à conta que fez a chamada, mas os valores serão diferentes para o evento fornecido à conta que possui a chave do KMS.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para obter mais informações, consulte AWS service (Serviço da AWS) eventos. Esse campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o serviceEventDetails conteúdo é omitido.

Desde: 1.05

Opcional: True

sharedEventID

GUID gerado por CloudTrail para identificar de forma exclusiva CloudTrail eventos da mesma AWS ação que é enviada para contas diferentes. AWS

Por exemplo, quando uma conta usa uma AWS KMS keyque pertence a outra conta, a conta que usou a chave KMS e a conta que possui a chave KMS recebem CloudTrail eventos separados para a mesma ação. Cada CloudTrail evento realizado para esta AWS ação compartilha o mesmosharedEventID, mas também tem um único eventID recipientAccountID e.

Para obter mais informações, consulte Exemplo de sharedEventID.

nota

O sharedEventID campo está presente somente quando CloudTrail os eventos são entregues em várias contas. Se o chamador e o proprietário são a mesma conta da AWS , o CloudTrail envia apenas um evento, e o campo sharedEventID não aparece.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o VPC endpoint no qual as solicitações foram feitas de uma VPC para outro AWS serviço, como a Amazon. EC2

Desde: 1.04

Opcional: True

vpcEndpointAccountId

Identifica o Conta da AWS ID do proprietário do VPC endpoint para o endpoint correspondente pelo qual uma solicitação foi enviada.

Desde: 1.09

Opcional: True

eventCategory

Exibe a categoria do evento. A categoria de evento é usada em chamadas LookupEvents para filtrar eventos de gerenciamento ou do Insights.

  • Para eventos de gerenciamento, o valor é Management.

  • Para eventos de dados, o valor é Data.

  • Para eventos do Insights, o valor é Insight.

  • Para eventos de atividade de rede, o valor é NetworkActivity.

Desde: 1.07

Opcional: False

addendum

Se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. O conteúdo inclui o seguinte:

  • reason - A razão pela qual o evento ou parte de seu conteúdo estavam faltando. Os valores podem ser qualquer um dos valores a seguir.

    • DELIVERY_DELAY - Houve um atraso na entrega de eventos. Isso pode ser causado por alto tráfego de rede, problemas de conectividade ou problemas de CloudTrail serviço.

    • UPDATED_DATA - Um campo no registro de eventos estava ausente ou tinha um valor incorreto.

    • SERVICE_OUTAGE— Um serviço que registra eventos em CloudTrail que houve uma interrupção e não conseguiu registrar CloudTrail eventos em. Isso é excepcionalmente raro.

  • updatedFields - Os campos de registro de eventos que são atualizados pelo adendo. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalRequestID - O ID exclusivo original da solicitação. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalEventID - O ID do evento original. Isso só será fornecido se o motivo for UPDATED_DATA.

Desde: 1.08

Opcional: True

sessionCredentialFromConsole

Cadeia de caracteres com um valor de true ou false que mostra se um evento se originou ou não de uma AWS Management Console sessão. Este campo não é mostrado a menos que o valor seja true, o que significa que o cliente que foi usado para fazer a chamada de API era um proxy ou um cliente externo. Se um cliente proxy foi usado, campo do evento tlsDetails não é mostrado.

Desde: 1.08

Opcional: True

edgeDeviceDetails

Mostra informações sobre dispositivos de borda que são alvos de uma solicitação. No momento, os eventos do dispositivo S3 Outposts incluem este campo. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.08

Opcional: True

tlsDetails

Mostra informações sobre a versão do Transport Layer Security (TLS), os conjuntos de criptografia e o nome de domínio totalmente qualificado (FQDN) do nome de host fornecido pelo cliente usado na chamada da API de serviço, que normalmente é o FQDN do endpoint do serviço. CloudTrailainda registra detalhes parciais do TLS se as informações esperadas estiverem ausentes ou vazias. Por exemplo, se a versão do TLS e o conjunto de cifras estiverem presentes, mas o HOST cabeçalho estiver vazio, os detalhes do TLS disponíveis ainda serão registrados no evento. CloudTrail

  • tlsVersion - A versão do TLS de uma solicitação.

  • cipherSuite - O conjunto de cifras (combinação de algoritmos de segurança usados) de uma solicitação.

  • clientProvidedHostHeader — O nome do host fornecido pelo cliente usado na chamada da API de serviço, que geralmente é o FQDN do endpoint de serviço.

nota

Há alguns casos em que o campo tlsDetails não está presente em um registro de evento.

  • O tlsDetails campo não estará presente se a chamada da API tiver sido feita por um AWS service (Serviço da AWS) em seu nome. O campo invokedBy no elemento userIdentity identifica o AWS service (Serviço da AWS) que fez a chamada à API.

  • Se sessionCredentialFromConsole estiver presente com um valor true, o tlsDetails estará presente em um registro de evento somente se um cliente externo tiver sido usado para fazer a chamada de API.

Desde: 1.08

Opcional: True

Campos de registro para eventos do Insights

Veja a seguir os atributos mostrados na estrutura JSON de um evento do Insights que difere daqueles em um evento de dados ou de gerenciamento.

sharedEventId

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um evento do Insights. sharedEventIDé comum entre os eventos iniciais e finais do Insights e ajuda a conectar os dois eventos para identificar de forma exclusiva atividades incomuns. É possível pensar no sharedEventID como o ID de evento do Insights geral.

Desde: 1.07

Opcional: False

insightDetails

Somente eventos do Insights. Mostra informações sobre os acionadores subjacentes de um evento do Insights, como a fonte do evento, as estatísticas, o nome da API e se o evento é o início ou o fim do evento do Insights. Para obter mais informações sobre a estrutura e o conteúdo do arquivo insightDetails, consulte CloudTrail insightDetailsElemento Insights.

Desde: 1.07

Opcional: False

Exemplo de sharedEventID

Veja a seguir um exemplo que descreve como CloudTrail entrega dois eventos para a mesma ação:

  1. Alice tem uma AWS conta (111111111111) e cria uma. AWS KMS key Ela é a proprietária dessa chave do KMS.

  2. Bob tem uma AWS conta (222222222222). Alice concede a Bob permissão para usar a chave do KMS.

  3. Cada conta tem uma trilha e um bucket separado.

  4. Bob usa a chave do KMS para chamar a API Encrypt.

  5. CloudTrail envia dois eventos separados.

    • Um evento é enviado a Bob. O evento mostra que ele usou a chave do KMS.

    • Um evento é enviado a Alice. O evento mostra que o Bob usou a chave do KMS.

    • Os eventos têm o mesmo sharedEventID, mas o eventID e o recipientAccountID são exclusivos.

Como o campo sharedEventID aparece em logs

Evento compartilhado IDs no CloudTrail Insights

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. sharedEventIDé comum entre o início e o final do evento Insights e ajuda a criar uma correlação entre os dois eventos para identificar de forma exclusiva atividades incomuns.

É possível pensar no sharedEventID como o ID de evento do Insights geral.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.