CloudTrail enregistrer le contenu - AWS CloudTrail
Champs d'enregistrement pour les événements InsightsExemple de sharedEventID

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail enregistrer le contenu

Le corps de l’enregistrement contient les champs qui permettent de déterminer l’action demandée, ainsi que le moment et l’endroit où la demande a été effectuée. Lorsque la valeur d'Optional (Facultatif) est True (Vraie), le champ est uniquement présent lorsqu'il s'applique au service, à l'API ou au type d'événement. Une valeur Optional (Facultatif) de False (Faux) signifie que le champ est soit toujours présent ou que sa présence ne dépend pas du service, de l'API ou du type d'événement. Voici un exemple : responseElements, qui est présent dans les événements pour les actions qui apportent des modifications (actions de création, de mise à jour ou de suppression).

CloudTrail tronque un champ si son contenu dépasse la taille maximale du champ. Si un champ est tronqué, omitted est présent avec une valeur de true.

eventTime

Date et heure de la demande, en heure UTC (temps universel coordonné). L’horodatage d’un événement provient de l’hôte local qui fournit le point de terminaison de l’API de service sur lequel l’appel d’API a été effectué. Par exemple, un événement d'CreateBucketAPI exécuté dans la région de l'ouest des États-Unis (Oregon) sera horodaté à partir de l'heure sur un AWS hôte exécutant le point de terminaison Amazon S3,s3.us-west-2.amazonaws.com. En général, les AWS services utilisent le protocole NTP (Network Time Protocol) pour synchroniser les horloges de leur système.

Depuis : 1.0

Facultatif : False

eventVersion

Version du format de l’événement du journal. La version actuelle est la 1.10.

La valeur eventVersion est une version majeure et une version mineure au format major_version.minor_version. Par exemple, vous pouvez disposer d'une valeur eventVersion de 1.09, où 1 représente la version majeure, et 09, la version mineure.

CloudTrail incrémente la version majeure si une modification non rétrocompatible est apportée à la structure de l'événement. Cela inclut la suppression d'un champ JSON qui existe déjà ou la modification de la façon dont le contenu d'un champ est représenté (par exemple, un format de date). CloudTrail augmente la version mineure si une modification ajoute de nouveaux champs à la structure de l'événement. Cela peut se produire si de nouvelles informations sont disponibles pour tout ou partie des événements existants, ou si de nouvelles informations sont disponibles seulement pour des types d’événements nouvellement introduits. Les applications peuvent ignorer les nouveaux champs pour être compatibles avec de nouvelles versions mineures de la structure de l'événement.

Si de CloudTrail nouveaux types d'événements sont introduits, mais que la structure de l'événement reste inchangée, la version de l'événement ne change pas.

Pour vous assurer que vos applications puissent analyser la structure de l’événement, nous vous recommandons d’effectuer une comparaison égal à sur le numéro de version majeure. Pour être sûr que les champs attendus par votre application existent, nous vous recommandons également d'effectuer une comparaison greater-than-or-equal -to sur la version mineure. La version mineure ne comporte pas de zéros au début. Vous pouvez interpréter à la fois major_version et minor_version en tant que nombres, et effectuer des opérations de comparaison.

Depuis : 1.0

Facultatif : False

userIdentity

Informations sur l'identité IAM qui a émis une demande. Pour plus d’informations, consultez CloudTrail Élément UserIdentity.

Depuis : 1.0

Facultatif : False

eventSource

Service auprès duquel la demande a été faite. Ce nom est généralement une forme abrégée du nom du service sans espaces, plus .amazonaws.com. Par exemple :

  • AWS CloudFormation estcloudformation.amazonaws.com.

  • Amazon EC2 est ec2.amazonaws.com.

  • Amazon Simple Workflow Service est swf.amazonaws.com.

Cette convention présente quelques exceptions. Par exemple, eventSource pour Amazon, CloudWatch c'estmonitoring.amazonaws.com.

Depuis : 1.0

Facultatif : False

eventName

Action demandée, qui est l’une des actions de l’API pour ce service.

Depuis : 1.0

Facultatif : False

awsRegion

Le Région AWS destinataire de la demande, tel queus-east-2. Consultez CloudTrail Régions prises en charge.

Depuis : 1.0

Facultatif : False

sourceIPAddress

Adresse IP à partir de laquelle la demande a été faite. Pour les actions qui sont créées à partir de la console de service, l’adresse présentée est celle de la ressource du client sous-jacent, non le serveur Web de la console. Pour les services en AWS entrée, seul le nom DNS est affiché.

Note

Pour les événements émis par AWS, ce champ est généralement AWS Internal/#, où # est un nombre utilisé à des fins internes.

Depuis : 1.0

Facultatif : False

userAgent

L'agent via lequel la demande a été effectuée, tel que le AWS Management Console, un AWS service, les AWS SDK ou le AWS CLI. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Voici quelques exemples de valeurs :

  • lambda.amazonaws.com – La demande a été effectuée avec AWS Lambda.

  • aws-sdk-java – La demande a été effectuée avec le AWS SDK for Java.

  • aws-sdk-ruby – La demande a été effectuée avec le AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— La demande a été faite avec le système AWS CLI installé sur Linux.

Note

Pour les événements créés par AWS, si CloudTrail vous savez qui Service AWS a effectué l'appel, ce champ est la source de l'événement du service d'appel (par exemple,ec2.amazonaws.com). Dans le cas contraire, ce champ estAWS Internal/#, où # est un numéro utilisé à des fins internes.

Depuis : 1.0

Facultatif : True

errorCode

Erreur de AWS service si la demande renvoie une erreur. Pour obtenir un exemple qui montre ce champ, consultez Exemple de code d'erreur et de journal de messages. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.0

Facultatif : True

errorMessage

Si la demande renvoie une erreur, description de l’erreur. Ce message inclut des messages relatifs à des échecs d'autorisation. CloudTrail capture le message enregistré par le service dans sa gestion des exceptions. Pour voir un exemple, consultez Exemple de code d'erreur et de journal de messages. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Note

Certains AWS services fournissent les champs errorCode et errorMessage en tant que champs de haut niveau lors de l'événement. D’autres services AWS fournissent des informations d’erreur dans le cadre de responseElements.

Depuis : 1.0

Facultatif : True

requestParameters

Les paramètres, le cas échéant, qui ont été envoyées avec la demande. Ces paramètres sont documentés dans la documentation de référence de l'API pour le AWS service approprié. Ce champ a une taille maximale de 100 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.0

Facultatif : False

responseElements

Les éléments de réponse, le cas échéant, pour les actions apportant des modifications (actions de création, de mise à jour ou de suppression). Si l'action ne renvoie pas d'éléments de réponse, ce champ l'estnull. Si une action ne change pas d'état (par exemple, une demande pour obtenir ou répertorier des objets), cet élément est omis. Les éléments de réponse aux actions sont documentés dans la référence de l'API documentation pour le produit approprié Service AWS. Ce champ a une taille maximale de 100 Ko ; le contenu dépassant cette limite est tronqué.

La responseElements valeur est utile pour vous aider à suivre une demande avec AWS Support. Les deux x-amz-request-id et x-amz-id-2 contiennent des informations qui vous aident à suivre une demande auprès de AWS Support. Ces valeurs sont les mêmes que ceux que le service renvoie en réponse à la demande initie les événements, afin que vous puissiez les utiliser pour faire correspondre l'événement à demande.

Depuis : 1.0

Facultatif : False

additionalEventData

Des données supplémentaires sur l’événement qui ne faisaient pas partie de la demande ou de la réponse. Ce champ a une taille maximale de 28 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.0

Facultatif : True

requestID

Valeur qui identifie la demande. Le service appelé génère cette valeur. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.01

Facultatif : True

eventID

GUID généré par CloudTrail pour identifier de manière unique chaque événement. Vous pouvez utiliser cette valeur pour identifier un événement unique. Par exemple, vous pouvez utiliser l’ID comme clé primaire pour récupérer les données des journaux à partir d’une base de données dans laquelle vous pouvez effectuer des recherches.

Depuis : 1.01

Facultatif : False

eventType

Identifie le type d’événement qui a généré l’enregistrement de l’événement. Il peut s’agir de l’une des valeurs suivantes :

  • AwsApiCall – Une API a été appelée.

  • AwsServiceEvent – Le service a généré un événement lié à votre journal d'activité. Par exemple, cela peut se produire lorsqu’un autre compte a effectué un appel avec une ressource dont vous êtes propriétaire.

  • AwsConsoleAction – Une action a été effectuée dans la console et qui n'était pas un appel d'API.

  • AwsConsoleSignIn— Un utilisateur de votre compte (root, IAM, fédéré, SAML ou SwitchRole) s'est connecté au. AWS Management Console

  • AwsCloudTrailInsight— Si les événements Insights sont activés, CloudTrail génère des événements Insights lorsqu'une activité opérationnelle inhabituelle est CloudTrail détectée, telle que des pics dans le provisionnement des ressources ou des rafales d'actions AWS Identity and Access Management (IAM).

    Les événements AwsCloudTrailInsight n'utilisent pas les champs suivants :

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

Depuis : 1.02

Facultatif : False

apiVersion

Identifie la version de l’API associée à la valeur AwsApiCall eventType.

Depuis : 1.01

Facultatif : True

managementEvent

Valeur booléenne qui identifie si l’événement est un événement de gestion. managementEvent s’affiche dans un enregistrement d’événement si eventVersion est la version 1.06 ou supérieure et que le type d’événement est l’un des types suivants :

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Depuis : 1.06

Facultatif : True

readOnly

Identifie si cette opération est en lecture seule. Il peut s’agir de l’une des valeurs suivantes :

  • true – L’opération est en lecture seule (par exemple, DescribeTrails).

  • false – L’opération est en écriture seule (par exemple, DeleteTrail).

Depuis : 1.01

Facultatif : True

resources

Une liste des ressources consultées dans l'événement. Le champ peut contenir les informations suivantes :

  • ARN de la ressource

  • ID de compte du propriétaire de la ressource

  • Identifiant du type de ressource au format : AWS::aws-service-name::data-type-name

Par exemple, quand un événement AssumeRole est consigné, le champ resources peut apparaître comme ce qui suit :

  • ARN : arn:aws:iam::123456789012:role/myRole

  • ID de compte : 123456789012

  • Identifiant du type de ressource : AWS::IAM::Role

Par exemple, les journaux contenant le resources champ sont répertoriés dans la section Événement d'AWS STS API dans le fichier CloudTrail journal du guide de l'utilisateur IAM ou journalisation des appels d' AWS KMS API dans le guide du AWS Key Management Service développeur.

Depuis : 1.01

Facultatif : True

recipientAccountId

Représente l’ID du compte qui a reçu cet événement. L’élément recipientAccountID peut être différent de CloudTrail Élément UserIdentity accountId. Cela peut se produire dans l’accès aux ressources entre comptes. Par exemple, si une clé CMK, également appelée AWS KMS key, a été utilisée par un compte distinct pour appeler l'API de chiffrement, les valeurs accountId et recipientAccountID sont les mêmes pour l'événement livré au compte qui a effectué l'appel, mais elles sont différentes pour l'événement qui est livré au compte qui possède la clé CMK.

Depuis : 1.02

Facultatif : True

serviceEventDetails

Identifie l’événement de service, y compris ce qui le déclenche et le résultat. Pour plus d'informations, consultez Service AWS événements. Ce champ a une taille maximale de 100 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.05

Facultatif : True

sharedEventID

GUID généré par CloudTrail pour identifier de manière unique les CloudTrail événements AWS d'une même action envoyée à différents AWS comptes.

Par exemple, lorsqu'un compte utilise un AWS KMS keycompte appartenant à un autre compte, le compte qui a utilisé la clé KMS et le compte propriétaire de la clé KMS reçoivent des CloudTrail événements distincts pour la même action. Chaque CloudTrail événement organisé pour cette AWS action partage la même chosesharedEventID, mais possède également un eventID et uniquerecipientAccountID.

Pour plus d’informations, consultez Exemple de sharedEventID.

Note

Le sharedEventID champ n'est présent que lorsque les CloudTrail événements sont transmis à plusieurs comptes. Si l'appelant et le propriétaire sont le même AWS compte, CloudTrail envoie un seul événement et le sharedEventID champ n'est pas présent.

Depuis : 1.03

Facultatif : True

vpcEndpointId

Identifie le point de terminaison VPC dans lequel les demandes ont été effectuées d'un VPC vers un autre service AWS , comme Amazon S3.

Depuis : 1.04

Facultatif : True

vpcEndpointAccountId

Identifie l' Compte AWS ID du propriétaire du point de terminaison VPC pour le point de terminaison correspondant pour lequel une demande a été transmise.

Depuis : 1.09

Facultatif : True

eventCategory

Affiche la catégorie de l'événement. Le eventCategory est utilisé dans les LookupEventsappels à la direction et les événements Insights.

  • Pour les événements de gestion, la valeur est Management.

  • Pour les événements de données, la valeur est Data.

  • Pour les événements Insights, la valeur est Insight.

Depuis : 1.07

Facultatif : False

addendum

Si la livraison d'un événement a été retardée ou si des informations supplémentaires sur un événement existant sont disponibles après l'enregistrement de l'événement, un champ addenda affiche des informations sur les raisons pour lesquelles l'événement a été retardé. Si des informations manquaient dans un événement existant, le champ addenda inclut les informations manquantes et une raison pour laquelle elles étaient manquantes. Le contenu comprend les éléments suivants :

  • reason - La raison pour laquelle l'événement ou une partie de son contenu était manquant. Il peut s'agir de l'une des valeurs suivantes :

    • DELIVERY_DELAY – Il y a eu un retard de livraison des événements. Cela peut être dû à un trafic réseau élevé, à des problèmes de connectivité ou à un problème CloudTrail de service.

    • UPDATED_DATA – Un champ de l'enregistrement d'événement manquait ou comportait une valeur incorrecte.

    • SERVICE_OUTAGE— Un service qui enregistre les événements en CloudTrail cas de panne et qui n'a pas pu les enregistrer CloudTrail. Ceci est extrêmement rare.

  • updatedFields - Les champs d'enregistrement d'événement mis à jour par l'addenda. Ceci n'est fourni que si la raison est UPDATED_DATA.

  • originalRequestID - ID unique d'origine de la demande. Ceci n'est fourni que si la raison est UPDATED_DATA.

  • originalEventID - ID d'événement d'origine. Ceci n'est fourni que si la raison est UPDATED_DATA.

Depuis : 1.08

Facultatif : True

sessionCredentialFromConsole

Indique si un événement est issu d'une AWS Management Console session. Ce champ n'est pas affiché sauf si la valeur est true, ce qui signifie que le client utilisé pour effectuer l'appel d'API était soit un proxy, soit un client externe. Si un client proxy a été utilisé, le champ d'événement tlsDetails n'est pas affiché.

Depuis : 1.08

Facultatif : True

edgeDeviceDetails

Affiche des informations sur les périphériques cibles d'une demande. Actuellement, les événements du périphérique S3 Outposts incluent ce champ. Ce champ a une taille maximale de 28 Ko ; tout contenu dépassant cette limite est tronqué.

Depuis : 1.08

Facultatif : True

tlsDetails

Affiche des informations sur la version TLS (Transport Layer Security), les suites de chiffrement et le nom de domaine complet (FQDN) du nom d'hôte fourni par le client utilisé dans l'appel d'API de service, qui est généralement le nom de domaine complet du point de terminaison du service. CloudTrailenregistre toujours des informations TLS partielles si les informations attendues sont manquantes ou vides. Par exemple, si la version TLS et la suite de chiffrement sont présentes, mais que l'HOSTen-tête est vide, les détails TLS disponibles sont toujours enregistrés dans l'événement. CloudTrail

  • tlsVersion : La version TLS d’une demande.

  • cipherSuite : La suite de chiffrement (combinaison d’algorithmes de sécurité utilisés) d’une requête.

  • clientProvidedHostHeader : Le nom d’hôte fourni par le client utilisé dans l’appel d’API de service, qui est généralement le nom de domaine pleinement qualifié (FQDN) du point de terminaison du service.

Note

Dans certains cas, le champ tlsDetails n'est pas présent dans un enregistrement d'événement.

  • Le tlsDetails champ n'est pas présent si l'appel d'API a été effectué par un Service AWS utilisateur en votre nom. Le champ invokedBy de l'élément userIdentity identifie l' Service AWS qui a effectué l'appel d'API.

  • Si sessionCredentialFromConsole est présent avec la valeur true, tlsDetails est présent dans un enregistrement d'événement uniquement si un client externe a été utilisé pour effectuer l'appel d'API.

Depuis : 1.08

Facultatif : True

Champs d'enregistrement pour les événements Insights

Les attributs suivants sont affichés dans la structure JSON d’un événement Insights et diffèrent de ceux d’un événement de gestion ou de données.

sharedEventId

Les événements A sharedEventID pour CloudTrail Insights sont différents des CloudTrail événements sharedEventID relatifs à la gestion et aux types de données. Dans les événements Insights, a sharedEventID est un GUID généré par CloudTrail Insights pour identifier de manière unique un événement Insights. sharedEventIDest courant entre les événements Insights de début et de fin, et permet de relier les deux événements afin d'identifier de manière unique les activités inhabituelles. Vous pouvez considérer sharedEventID comme l’ID d’événement Insights global.

Depuis : 1.07

Facultatif : False

insightDetails

Événements Insights uniquement. Affiche des informations sur les déclencheurs sous-jacents d'un événement Insights, comme la source de l'événement, l'agent utilisateur, les statistiques, le nom de l'API. Il indique également si l'événement est le début ou la fin de l'événement Insights. Pour plus d'informations sur le contenu du bloc insightDetails, consultez CloudTrail insightDetailsÉlément Insights.

Depuis : 1.07

Facultatif : False

Exemple de sharedEventID

L'exemple suivant décrit comment CloudTrail délivre deux événements pour la même action :

  1. Alice possède un AWS compte (111111111111) et crée un. AWS KMS key Elle est propriétaire de cette clé KMS.

  2. Bob a un AWS compte (222222222222). Alice donne à Bob l'autorisation d'utiliser la clé KMS.

  3. Chaque compte a un journal de suivi et un compartiment distinct.

  4. Bob utilise la clé KMS pour appeler l'API Encrypt.

  5. CloudTrail envoie deux événements distincts.

    • Un événement est envoyé à Bob. L'événement montre que Bob a utilisé la clé KMS.

    • Un deuxième événement est envoyé à Alice. L'événement montre que Bob a utilisé la clé KMS.

    • Les événements ont les mêmes sharedEventID, mais les eventID et recipientAccountID sont uniques.

Comment le champ sharedEventID s’affiche dans les journaux

Identifiants d'événements partagés dans CloudTrail Insights

Les événements A sharedEventID pour CloudTrail Insights sont différents des CloudTrail événements sharedEventID relatifs à la gestion et aux types de données. Dans les événements Insights, a sharedEventID est un GUID généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. sharedEventIDest courant entre le début et la fin de l'événement Insights et permet de créer une corrélation entre les deux événements afin d'identifier de manière unique les activités inhabituelles.

Vous pouvez considérer sharedEventID comme l’ID d’événement Insights global.