了解 CloudTrail 事件 - AWS CloudTrail
管理事件資料事件網路活動事件Insights 事件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 CloudTrail 事件

中的事件 CloudTrail 是 AWS 帳戶中活動的記錄。此活動可以是IAM身分或 可監控的服務所採取的動作 CloudTrail。 CloudTrail 事件提供透過 AWS Management Console、、 AWS SDKs命令列工具和其他 進行API的非API帳戶活動歷史記錄 AWS 服務。

CloudTrail 日誌檔案不是公開API呼叫的排序堆疊追蹤,因此事件不會以任何特定順序顯示。

CloudTrail 事件有四種類型:

根據預設,線索和事件資料會存放日誌管理事件,但不會存放資料事件、網路活動事件或 Insights 事件。

所有事件類型都 CloudTrail JSON使用日誌格式。日誌會包含您帳戶中的資源請求資訊,例如請求的提出者、使用過的服務、執行過的動作,以及動作的參數。事件資料都包含在 Records 陣列中。

如需 CloudTrail 事件記錄欄位的資訊,請參閱 CloudTrail 記錄內容

管理事件

管理事件提供在 AWS 帳戶中資源上執行的管理操作的相關資訊。這些也稱為控制平面操作

範例管理事件包含:

  • 設定安全性 (例如操作 AWS Identity and Access Management AttachRolePolicyAPI)。

  • 註冊裝置 (例如 Amazon EC2CreateDefaultVpcAPI操作)。

  • 設定路由資料的規則 (例如 Amazon EC2CreateSubnetAPI操作)。

  • 設定記錄 (例如操作 AWS CloudTrail CreateTrailAPI)。

管理事件也可以包含在您的帳戶中發生的非API事件。例如,當使用者登入您的帳戶時, 會 CloudTrail 記錄ConsoleLogin事件。如需詳細資訊,請參閱擷取的非API事件 CloudTrail

根據預設, CloudTrail Trails 和 CloudTrail Lake 事件資料會存放日誌管理事件。如需記錄管理事件的詳細資訊,請參閱記錄管理事件

下列範例顯示管理事件的單一日誌記錄。在此情況下,名為 Mary_Major IAM的使用者會執行 aws cloudtrail start-logging命令,以呼叫 CloudTrail StartLogging動作,在名為 的線索上啟動記錄程序myTrail

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

在此下一個範例中,名為 Paulo_Santos IAM的使用者執行 aws cloudtrail start-event-data-store-ingestion命令,以呼叫 StartEventDataStoreIngestion動作,開始擷取事件資料存放區。

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

資料事件

資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作。資料事件通常是大量資料的活動。

範例資料事件包含:

下表顯示可用於追蹤和事件資料存放區的資源類型。資源類型 (主控台) 欄會顯示主控台中適當的選擇。resources.type 值欄會顯示您要指定resources.type的值,以使用 AWS CLI 或 在線索或事件資料存放區中包含該類型的資料事件 CloudTrail APIs。

對於線索,您可以使用基本或進階事件選擇器,在一般用途儲存貯體、Lambda 函數和 DynamoDB 資料表中記錄 Amazon S3 物件的資料事件 (如資料表的前三列所示)。您只能使用進階事件選取器來記錄剩餘資料列中顯示的資源類型。

對於事件資料存放區,您只能使用進階事件選取器來包含資料事件。

AWS 服務 描述 資源類型 (主控台) resources.type 值
Amazon DynamoDB

資料表上的 Amazon DynamoDB 項目層級API活動 (例如 PutItemDeleteItemUpdateItemAPI操作)。

注意

對於已啟用串流的資料表,資料事件中的 resources 欄位會同時包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您指定 AWS::DynamoDB::Table 作為 resources.type,則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除串流事件,請在 eventName 欄位上新增篩選條件。

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda 函數執行活動 Invoke ()API。

 Lambda AWS::Lambda::Function
Amazon S3

一般用途儲存貯體中物件上的 Amazon S3 物件層級API活動 (例如 DeleteObjectGetObjectPutObjectAPI操作)。

 S3 AWS::S3::Object
AWS AppConfig

組態操作AWS AppConfig API的活動,例如對 StartConfigurationSession和 的呼叫GetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync API 活動 on AppSync GraphQL APIs。

 AppSync GraphQL AWS::AppSync::GraphQL
AWS B2B 資料交換

轉換器操作的 B2B Data Interchange API活動,例如對 GetTransformerJob和 的呼叫StartTransformerJob

 B2B 資料交換 AWS::B2BI::Transformer
AWS Backup

AWS Backup 在搜尋任務上搜尋資料API活動。

 AWS Backup 搜尋資料 APIs AWS::Backup::SearchJob
Amazon Bedrock 代理程式別名上的 Amazon Bedrock API活動 Bedrock 代理程式別名 AWS::Bedrock::AgentAlias
Amazon Bedrock 非同步調用上的 Amazon Bedrock API活動。 Bedrock 非同步調用 AWS::Bedrock::AsyncInvoke
Amazon Bedrock 流程別名上的 Amazon Bedrock API活動。 Bedrock 流程別名 AWS::Bedrock::FlowAlias
Amazon Bedrock 護欄上的 Amazon Bedrock API活動。 Bedrock 護欄 AWS::Bedrock::Guardrail
Amazon Bedrock 內嵌代理程式上的 Amazon Bedrock API活動。 Bedrock 調用 Inline-Agent AWS::Bedrock::InlineAgent
Amazon Bedrock 知識庫上的 Amazon Bedrock API活動 Bedrock 知識庫 AWS::Bedrock::KnowledgeBase
Amazon Bedrock 模型上的 Amazon Bedrock API活動。 Bedrock 模型 AWS::Bedrock::Model
Amazon CloudFront

CloudFront API 上的活動 KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map 命名空間上的AWS Cloud Map API活動 AWS Cloud Map 命名空間 AWS::ServiceDiscovery::Namespace
AWS Cloud Map 服務上的AWS Cloud Map API活動 AWS Cloud Map 服務 AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEvents CloudTrail Lake 頻道上的 活動,用於從 外部記錄事件 AWS。

 CloudTrail 頻道 AWS::CloudTrail::Channel
Amazon CloudWatch

指標上的 Amazon CloudWatch API 活動

 CloudWatch 指標 AWS::CloudWatch::Metric
Amazon CloudWatch RUM

應用程式監視器上的 Amazon CloudWatch RUM API活動。

 RUM 應用程式監控 AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru 分析群組上的分析器API活動。 CodeGuru Profiler 分析群組 AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer 自訂上的 Amazon CodeWhisperer API 活動。 CodeWhisperer 自訂 AWS::CodeWhisperer::Customization
Amazon CodeWhisperer 設定檔上的 Amazon CodeWhisperer API 活動。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito 身分集區上的 Amazon Cognito API活動。

 Cognito 身分池 AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange API 資產上的活動。

資料交換資產

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline Cloud API 機群上的活動。

Deadline Cloud 機群

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloud API 任務上的活動。

Deadline Cloud 任務

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloud API 佇列上的活動。

Deadline Cloud 佇列

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline Cloud API 工作者上的活動。

Deadline Cloud 工作者

AWS::Deadline::Worker
Amazon DynamoDB

串流上的 Amazon DynamoDB API活動。

 DynamoDB Streams AWS::DynamoDB::Stream
AWS 最終使用者傳訊 SMS 原始身分上的AWS 最終使用者傳訊SMSAPI活動。 SMS 語音原始身分 AWS::SMSVoice::OriginationIdentity
AWS 最終使用者傳訊 SMS 訊息上的最終AWS 使用者訊息SMSAPI活動。 SMS 語音訊息 AWS::SMSVoice::Message
AWS 最終使用者傳訊社交 電話號碼 上的AWS 最終使用者傳訊社交API活動IDs。 社交訊息電話號碼 ID AWS::SocialMessaging::PhoneNumberId
AWS 最終使用者傳訊社交 AWS Waba 上的最終使用者傳訊社交API活動IDs。 社交訊息 Waba ID AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) 直接 APIs,例如 PutSnapshotBlockAmazon EBS快照ListChangedBlocks上的 GetSnapshotBlock、 和 。

 Amazon EBS Direct APIs AWS::EC2::Snapshot
Amazon EMR 預先寫入日誌工作區上的 Amazon EMRAPI活動 EMR 預先寫入日誌工作區 AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpace API 環境上的活動。

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue API Lake Formation 所建立資料表上的活動。

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

偵測器的 Amazon GuardDuty API 活動。

 GuardDuty 偵測器 AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging API 資料存放區上的活動。

 MedicalImaging 資料存放區 AWS::MedicalImaging::Datastore
AWS IoT

憑證上的AWS IoT API活動

 IoT 憑證 AWS::IoT::Certificate
AWS IoT

物件上的AWS IoT API活動

 IoT 物件 AWS::IoT::Thing
AWS IoT Greengrass Version 2

元件版本上來自 Greengrass 核心裝置的 Greengrass API活動

注意

Greengrass 不會記錄存取遭拒的事件。

 IoT Greengrass 元件版本 AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

部署上來自 Greengrass 核心裝置的 Greengrass API活動

注意

Greengrass 不會記錄存取遭拒的事件。

 IoT Greengrass 部署 AWS::GreengrassV2::Deployment
AWS IoT SiteWise

資產上的 IoT SiteWise API 活動

 IoT SiteWise 資產 AWS::IoTSiteWise::Asset
AWS IoT SiteWise

時間序列上的 IoT SiteWise API 活動

 IoT SiteWise 時間序列 AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise 助理

Sitewise Assistant 對話API活動。

 Sitewise 助理對話 AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

實體上的 IoT TwinMaker API 活動。

 IoT TwinMaker 實體 AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

工作區上的 IoT TwinMaker API 活動。

 IoT TwinMaker 工作區 AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

重新評分執行計畫的 Amazon Kendra Intelligent Ranking API活動。

 Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (適用於 Apache Cassandra) 資料表上的 Amazon Keyspaces API活動 Cassandra 資料表 AWS::Cassandra::Table
Amazon Kinesis Data Streams Kinesis Data Streams 串流上的API活動。 Kinesis 串流 AWS::Kinesis::Stream
Amazon Kinesis Data Streams 串流取用者上的 Kinesis Data Streams API活動。 Kinesis 串流消費者 AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Kinesis Video Streams 在影片串流上的API活動,例如對 GetMedia和 的呼叫PutMedia Kinesis 視訊串流 AWS::KinesisVideo::Stream
Amazon Location Maps Amazon Location Maps API活動。 地理地圖 AWS::GeoMaps::Provider
Amazon Location Places Amazon Location Places API活動。 地理位置 AWS::GeoPlaces::Provider
Amazon Location Routes Amazon Location Routes API活動。 Geo Routes AWS::GeoRoutes::Provider
Amazon Machine Learning ML 模型上的Machine LearningAPI活動。 修補學習 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

網路上的 Amazon Managed Blockchain API活動。

 Managed Blockchain 網路 AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed Blockchain JSON-RPC Ethereum 節點上的呼叫,例如 eth_getBalanceeth_getBlockByNumber

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Workflows for Apache Airflow

環境上的 Amazon MWAAAPI活動。

 受管 Apache Airflow AWS::MWAA::Environment
Amazon Neptune 圖形

Neptune 圖形上的資料API活動,例如查詢、演算法或向量搜尋。

 Neptune 圖形 AWS::NeptuneGraph::Graph
Amazon One Enterprise

上的 Amazon One Enterprise API活動UKey。

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

使用者上的 Amazon One Enterprise API活動。

 Amazon One 使用者 AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography API 別名上的活動。 付款密碼編譯別名 AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography API 金鑰上的活動。 付款密碼編譯金鑰 AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Active Directory API活動的連接器。

 AWS Private CA 適用於 Active Directory 的連接器 AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA SCEPAPI活動連接器。

 AWS Private CA 的連接器 SCEP AWS::PCAConnectorSCEP::Connector
Amazon Q 應用程式

Amazon Q 應用程式上的資料API活動。

 Amazon Q 應用程式 AWS::QApps::QApp
Amazon Q 應用程式

Amazon Q App 工作階段上的資料API活動。

 Amazon Q 應用程式工作階段 AWS::QApps::QAppSession
Amazon Q Business

應用程式上的 Amazon Q Business API活動

 Amazon Q Business 應用程式 AWS::QBusiness::Application
Amazon Q Business

資料來源上的 Amazon Q Business API活動

 Amazon Q Business 資料來源 AWS::QBusiness::DataSource
Amazon Q Business

索引上的 Amazon Q Business API活動

 Amazon Q Business 索引 AWS::QBusiness::Index
Amazon Q Business

Web 體驗上的 Amazon Q Business API活動

 Amazon Q Business Web 體驗 AWS::QBusiness::WebExperience
Amazon Q Developer

整合上的 Amazon Q 開發人員API活動。

 Q 開發人員整合 AWS::QDeveloper::Integration
Amazon Q Developer

Amazon Q 開發人員在操作調查上的API活動

 AIOps 調查群組 AWS::AIOps::InvestigationGroup
Amazon RDS

資料庫叢集上的 Amazon RDSAPI活動

 RDS 資料 API - 資料庫叢集 AWS::RDS::DBCluster
AWS 資源總管

受管檢視上的 Resource Explorer API活動。

 AWS 資源總管 受管檢視 AWS::ResourceExplorer2::ManagedView
AWS 資源總管

檢視上的 Resource Explorer API活動。

 AWS 資源總管 檢視 AWS::ResourceExplorer2::View
Amazon S3

存取點上的 Amazon S3 API活動

 S3 存取點 AWS::S3::AccessPoint
Amazon S3

目錄儲存貯體中物件的 Amazon S3 物件層級API活動 (例如 DeleteObjectGetObjectPutObjectAPI操作)。

 S3 Express AWS::S3Express::Object
Amazon S3

Amazon S3 Object Lambda 存取點API活動,例如對 CompleteMultipartUpload和 的呼叫GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 Tables

資料表上的 Amazon S3 API活動。

 S3 資料表 AWS::S3Tables::Table
Amazon S3 Tables

資料表儲存貯體上的 Amazon S3 API活動。

 S3 資料表儲存貯體 AWS::S3Tables::TableBucket
Amazon S3 on Outposts

Amazon S3 on Outposts 物件層級API活動

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker AI 端點上的 Amazon SageMaker AI InvokeEndpointWithResponseStream活動。 SageMaker AI 端點 AWS::SageMaker::Endpoint
Amazon SageMaker AI

功能存放區的 Amazon SageMaker AI API活動。

 SageMaker AI 功能存放區 AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

實驗試驗元件上的 Amazon SageMaker AI API活動。

 SageMaker AI 指標試驗元件 AWS::SageMaker::ExperimentTrialComponent
AWS Signer

簽署任務的簽署者API活動。

 簽署者簽署任務 AWS::Signer::SigningJob
AWS Signer

簽署設定檔時的簽署者API活動。

 簽署者簽署設定檔 AWS::Signer::SigningProfile
Amazon SimpleDB

網域上的 Amazon SimpleDB API活動。

 SimpleDB 網域 AWS::SDB::Domain
Amazon SNS

平台端點上的 Amazon SNSPublishAPI操作。

 SNS 平台端點 AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNSPublish和 主題PublishBatchAPI的操作。

 SNS 主題 AWS::SNS::Topic
Amazon SQS

訊息上的 Amazon SQSAPI活動

 SQS AWS::SQS::Queue
AWS Step Functions

Step Functions 狀態機器上的API活動

 Step Functions 狀態機器 AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain API 執行個體上的活動。

 供應鏈 AWS::SCN::Instance
Amazon SWF

網域上的 Amazon SWFAPI活動

 SWF 網域 AWS::SWF::Domain
AWS Systems Manager 控制頻道上的 Systems Manager API活動 Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager 受管節點上的 Systems Manager API活動 Systems Manager 受管節點 AWS::SSM::ManagedNode
Amazon Timestream 資料庫上的 Amazon Timestream QueryAPI活動。 Timestream 資料庫 AWS::Timestream::Database
Amazon Timestream 資料表上的 Amazon Timestream QueryAPI活動。 Timestream 資料表 AWS::Timestream::Table
Amazon Verified Permissions

政策存放區上的 Amazon Verified Permissions API活動。

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces 精簡型用戶端 WorkSpaces 裝置上的精簡型用戶端API活動。 精簡型客戶端裝置 AWS::ThinClient::Device
Amazon WorkSpaces 精簡型用戶端 WorkSpaces 環境上的精簡型用戶端API活動。 精簡型客戶端環境 AWS::ThinClient::Environment
AWS X-Ray

追蹤上的 X-Ray API活動

 X-Ray 追蹤 AWS::XRay::Trace

依預設,在您建立追蹤或事件資料存放區時,不會記錄資料事件。若要記錄 CloudTrail 資料事件,您必須明確新增要收集活動的支援資源或資源類型。如需詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤使用主控台建立事件的事件 CloudTrail資料存放區

記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱AWS CloudTrail 定價

下列範例顯示 Amazon SNSPublish動作資料事件的單一日誌記錄。

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

下一個範例顯示 Amazon Cognito GetCredentialsForIdentity動作資料事件的單一日誌記錄。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

網路活動事件

注意

網路活動事件處於 的預覽版本, CloudTrail 可能會有所變更。

CloudTrail 網路活動事件可讓VPC端點擁有者記錄 AWS API從私有VPC端點VPC到 的呼叫 AWS 服務。網路活動事件可讓您了解在 中執行的資源操作VPC。

您可以為下列服務記錄網路活動事件:

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

建立線索或事件資料存放區時,預設不會記錄網路活動事件。若要記錄 CloudTrail 網路活動事件,您必須明確設定要收集活動的事件來源。如需詳細資訊,請參閱記錄網路活動事件

記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱AWS CloudTrail 定價

下列範例顯示周遊VPC端點的成功 AWS KMS ListKeys事件。vpcEndpointId 欄位會顯示VPC端點的 ID。vpcEndpointAccountId 欄位會顯示VPC端點擁有者的帳戶 ID。在此範例中,請求是由VPC端點擁有者提出。

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

下一個範例顯示VPC端點政策違規的失敗 AWS KMS ListKeys事件。由於發生VPC政策違規,因此 errorCodeerrorMessage 欄位都會存在。recipientAccountIdvpcEndpointAccountId欄位中的帳戶 ID 相同,這表示事件已傳送至VPC端點擁有者。userIdentity 元素accountId中的 不是 vpcEndpointAccountId,這表示提出請求的使用者不是VPC端點擁有者。

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Insights 事件

CloudTrail Insights 事件透過分析 CloudTrail 管理活動,擷取您 AWS 帳戶中的異常API通話率或錯誤率活動。Insights 事件提供相關資訊,例如相關聯的 API、錯誤碼、事件時間和統計資料,可協助您了解異常活動並採取行動。與其他在 CloudTrail 線索或事件資料存放區中擷取的事件類型不同,只有當 CloudTrail 偵測到您帳戶的API用量變更,或錯誤率記錄與帳戶的典型用量模式明顯不同時,才會記錄 Insights 事件。如需詳細資訊,請參閱使用 CloudTrail Insights

可能產生 Insights 事件的活動範例包括:

  • 您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3 deleteBucketAPI呼叫,但您的帳戶開始記錄每分鐘平均 100 個deleteBucketAPI呼叫。異常活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常的活動結束。

  • 您的帳戶通常會記錄每分鐘 20 次 Amazon EC2 AuthorizeSecurityGroupIngress 的呼叫API,但您的帳戶開始記錄零呼叫至 AuthorizeSecurityGroupIngress。異常活動開始時會記錄 Insights 事件,並在十分鐘後,當異常活動結束時,記錄另一個 Insights 事件以標示異常的活動結束。

  • 您的帳戶通常會在 AWS Identity and Access Management API、 上記錄七天期間內少於一個AccessDeniedException錯誤DeleteInstanceProfile。您的帳戶開始記錄平均每分鐘 12 個DeleteInstanceProfileAPI通話AccessDeniedException錯誤。異常錯誤率活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常活動的結束。

這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。

若要記錄 CloudTrail Insights 事件,您必須在新的或現有的線索或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤。如需有關建立事件資料存放區的詳細資訊,請參閱 使用主控台建立 Insights 事件的事件資料存放區

Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價

記錄了兩個事件,以顯示 CloudTrail Insights 中的異常活動:開始事件和結束事件。下列範例顯示APICompleteLifecycleAction呼叫 Application Auto Scaling 異常次數時,起始 Insights 事件的單一日誌記錄。對於 Insights 事件,eventCategory 的值為 InsightinsightDetails 區塊會識別事件狀態、來源、名稱、Insights 類型和內容,包括統計資料和歸因。如需 insightDetails 區塊的詳細資訊,請參閱 CloudTrail 見解insightDetails元素

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }