CloudTrail isi rekam - AWS CloudTrail
Kolom rekaman untuk acara InsightsContoh ShareDeventid

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail isi rekam

Isi catatan berisi bidang yang membantu Anda menentukan tindakan yang diminta serta kapan dan di mana permintaan dibuat. Jika nilai Opsional adalah True, bidang hanya ada jika berlaku untuk layanan, API, atau jenis acara. Nilai Opsional False berarti bahwa bidang selalu ada, atau keberadaannya tidak bergantung pada layanan, API, atau jenis acara. Contohnya adalahresponseElements, yang hadir dalam acara untuk tindakan yang membuat perubahan (membuat, memperbarui, atau menghapus tindakan).

CloudTrail memotong bidang jika isi bidang melebihi ukuran bidang maksimum. Jika bidang terpotong, omitted hadir dengan nilai. true

eventTime

Tanggal dan waktu permintaan selesai, dalam waktu universal terkoordinasi (UTC). Cap waktu acara berasal dari host lokal yang menyediakan titik akhir API layanan tempat panggilan API dibuat. Misalnya, peristiwa CreateBucket API yang dijalankan di Wilayah AS Barat (Oregon) akan mendapatkan cap waktunya dari waktu pada AWS host yang menjalankan titik akhir Amazon S3,. s3.us-west-2.amazonaws.com Secara umum, AWS layanan menggunakan Network Time Protocol (NTP) untuk menyinkronkan jam sistem mereka.

Sejak: 1.0

Opsional: Salah

eventVersion

Versi format peristiwa log. Versi saat ini adalah 1.10.

eventVersionNilainya adalah versi mayor dan minor dalam bentuk major_version. minor_version. Misalnya, Anda dapat memiliki eventVersion nilai1.09, di mana 1 adalah versi utama, dan 09 merupakan versi minor.

CloudTrail menambah versi utama jika perubahan dilakukan pada struktur acara yang tidak kompatibel ke belakang. Ini termasuk menghapus bidang JSON yang sudah ada, atau mengubah bagaimana isi bidang direpresentasikan (misalnya, format tanggal). CloudTrail menambah versi minor jika perubahan menambahkan bidang baru ke struktur acara. Ini dapat terjadi jika informasi baru tersedia untuk beberapa atau semua peristiwa yang ada, atau jika informasi baru hanya tersedia untuk jenis acara baru. Aplikasi dapat mengabaikan bidang baru agar tetap kompatibel dengan versi minor baru dari struktur acara.

Jika CloudTrail memperkenalkan jenis acara baru, tetapi struktur acara sebaliknya tidak berubah, versi acara tidak berubah.

Untuk memastikan bahwa aplikasi Anda dapat mengurai struktur acara, kami sarankan Anda melakukan perbandingan yang setara dengan nomor versi utama. Untuk memastikan bahwa bidang yang diharapkan oleh aplikasi Anda ada, kami juga menyarankan untuk melakukan perbandingan greater-than-or-equal -to pada versi minor. Tidak ada angka nol terkemuka dalam versi minor. Anda dapat menafsirkan major_version dan minor_version sebagai angka, dan melakukan operasi perbandingan.

Sejak: 1.0

Opsional: Salah

userIdentity

Informasi tentang identitas IAM yang membuat permintaan. Untuk informasi selengkapnya, lihat CloudTrail elemen UserIdentity.

Sejak: 1.0

Opsional: Salah

eventSource

Layanan di mana permintaannya dibuat. Nama ini biasanya merupakan bentuk pendek dari nama layanan tanpa spasi plus.amazonaws.com. Sebagai contoh:

  • AWS CloudFormation adalahcloudformation.amazonaws.com.

  • Amazon EC2 adalah. ec2.amazonaws.com

  • Amazon Simple Workflow Service adalahswf.amazonaws.com.

Konvensi ini memiliki beberapa pengecualian. Misalnya, eventSource untuk Amazon CloudWatch adalahmonitoring.amazonaws.com.

Sejak: 1.0

Opsional: Salah

eventName

Tindakan yang diminta, yang merupakan salah satu tindakan dalam API untuk layanan itu.

Sejak: 1.0

Opsional: Salah

awsRegion

Permintaan itu dibuat untuk, sepertius-east-2. Wilayah AWS Lihat CloudTrail Daerah yang didukung.

Sejak: 1.0

Opsional: Salah

sourceIPAddress

Alamat IP di mana permintaan itu dibuat. Untuk tindakan yang berasal dari konsol layanan, alamat yang dilaporkan adalah untuk sumber daya pelanggan yang mendasarinya, bukan server web konsol. Untuk layanan di AWS, hanya nama DNS yang ditampilkan.

catatan

Untuk peristiwa yang berasal dari AWS, bidang ini biasanyaAWS Internal/#, di mana # adalah nomor yang digunakan untuk tujuan internal.

Sejak: 1.0

Opsional: Salah

userAgent

Agen melalui mana permintaan dibuat, seperti AWS Management Console, AWS layanan, AWS SDK atau. AWS CLI Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong. Berikut ini adalah contoh nilai:

  • lambda.amazonaws.comPermintaan itu dibuat dengan AWS Lambda.

  • aws-sdk-javaPermintaan dibuat dengan AWS SDK for Java.

  • aws-sdk-rubyPermintaan dibuat dengan AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— Permintaan dibuat dengan AWS CLI diinstal di Linux.

catatan

Untuk peristiwa yang berasal dari AWS, jika CloudTrail tahu yang Layanan AWS membuat panggilan, bidang ini adalah sumber acara dari layanan panggilan (misalnya,ec2.amazonaws.com). Jika tidak, bidang ini adalahAWS Internal/#, di mana # nomor yang digunakan untuk tujuan internal.

Sejak: 1.0

Opsional: Benar

errorCode

Kesalahan AWS layanan jika permintaan mengembalikan kesalahan. Untuk contoh yang menunjukkan bidang ini, lihatKode kesalahan dan contoh log pesan. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.0

Opsional: Benar

errorMessage

Jika permintaan mengembalikan kesalahan, deskripsi kesalahan. Pesan ini mencakup pesan untuk kegagalan otorisasi. CloudTrail menangkap pesan yang dicatat oleh layanan dalam penanganan pengecualiannya. Sebagai contoh, lihat Kode kesalahan dan contoh log pesan. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

catatan

Beberapa AWS layanan menyediakan errorCode dan errorMessage sebagai bidang tingkat atas dalam acara tersebut. AWS Layanan lain memberikan informasi kesalahan sebagai bagian dariresponseElements.

Sejak: 1.0

Opsional: Benar

requestParameters

Parameter, jika ada, yang dikirim dengan permintaan. Parameter ini didokumentasikan dalam dokumentasi referensi API untuk AWS layanan yang sesuai. Bidang ini memiliki ukuran maksimum 100 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.0

Opsional: Salah

responseElements

Elemen respons, jika ada, untuk tindakan yang membuat perubahan (membuat, memperbarui, atau menghapus tindakan). Jika tindakan tidak mengembalikan elemen respons, bidang ini adalahnull. Jika suatu tindakan tidak mengubah status (misalnya, permintaan untuk mendapatkan atau daftar objek), elemen ini dihilangkan. Elemen respons untuk tindakan didokumentasikan dalam referensi API dokumentasi untuk yang sesuai Layanan AWS. Bidang ini memiliki ukuran maksimum 100 KB; konten yang melebihi batas itu terpotong.

responseElementsNilai ini berguna untuk membantu Anda melacak permintaan dengan AWS Support. Keduanya x-amz-request-id dan x-amz-id-2 berisi informasi yang membantu Anda melacak permintaan AWS Support. Nilai-nilai ini adalah sama dengan yang dikembalikan layanan sebagai respons atas permintaan itu memulai acara, sehingga Anda dapat menggunakannya untuk mencocokkan acara dengan permintaan.

Sejak: 1.0

Opsional: Salah

additionalEventData

Data tambahan tentang peristiwa yang bukan bagian dari permintaan atau tanggapan. Bidang ini memiliki ukuran maksimum 28 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.0

Opsional: Benar

requestID

Nilai yang mengidentifikasi permintaan. Layanan yang dipanggil menghasilkan nilai ini. Bidang ini memiliki ukuran maksimum 1 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.01

Opsional: Benar

eventID

GUID dihasilkan oleh CloudTrail untuk mengidentifikasi setiap peristiwa secara unik. Anda dapat menggunakan nilai ini untuk mengidentifikasi satu peristiwa. Misalnya, Anda dapat menggunakan ID sebagai kunci utama untuk mengambil data log dari database yang dapat dicari.

Sejak: 1.01

Opsional: Salah

eventType

Mengidentifikasi jenis peristiwa yang menghasilkan catatan peristiwa. Ini bisa menjadi salah satu dari nilai berikut:

  • AwsApiCallSebuah API dipanggil.

  • AwsServiceEvent— Layanan ini menghasilkan acara yang terkait dengan jejak Anda. Misalnya, ini dapat terjadi ketika akun lain melakukan panggilan dengan sumber daya yang Anda miliki.

  • AwsConsoleAction— Tindakan diambil di konsol yang bukan panggilan API.

  • AwsConsoleSignIn— Pengguna di akun Anda (root, IAM, federasi, SAMP, atau SwitchRole) masuk ke. AWS Management Console

  • AwsCloudTrailInsightJika peristiwa Insights diaktifkan, CloudTrail hasilkan peristiwa Insights saat CloudTrail mendeteksi aktivitas operasional yang tidak biasa seperti lonjakan penyediaan sumber daya atau ledakan tindakan (IAM). AWS Identity and Access Management

    AwsCloudTrailInsightevent tidak menggunakan bidang berikut:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

Sejak: 1.02

Opsional: Salah

apiVersion

Mengidentifikasi versi API yang terkait dengan AwsApiCall eventType nilai.

Sejak: 1.01

Opsional: Benar

managementEvent

Nilai Boolean yang mengidentifikasi apakah acara tersebut adalah acara manajemen. managementEventditampilkan dalam catatan peristiwa jika eventVersion 1,06 atau lebih tinggi, dan jenis acara adalah salah satu dari yang berikut:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Sejak: 1.06

Opsional: Benar

readOnly

Mengidentifikasi apakah operasi ini adalah operasi read-only. Ini dapat berupa salah satu dari nilai berikut:

  • true— Operasi hanya baca (misalnya,DescribeTrails).

  • false— Operasi hanya menulis (misalnya,DeleteTrail).

Sejak: 1.01

Opsional: Benar

resources

Daftar sumber daya yang diakses dalam acara tersebut. Bidang dapat berisi informasi berikut:

  • ARN Sumber Daya

  • ID akun pemilik sumber daya

  • Pengidentifikasi jenis sumber daya dalam format: AWS::aws-service-name::data-type-name

Misalnya, ketika suatu AssumeRole peristiwa dicatat, resources bidang dapat muncul seperti berikut:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID Akun: 123456789012

  • Pengidentifikasi jenis sumber daya: AWS::IAM::Role

Misalnya log dengan resources bidang, lihat Peristiwa AWS STS API di File CloudTrail Log di Panduan Pengguna IAM atau Logging AWS KMS API Calls di Panduan AWS Key Management Service Pengembang.

Sejak: 1.01

Opsional: Benar

recipientAccountId

Merupakan ID akun yang menerima acara ini. recipientAccountIDMungkin berbeda dari CloudTrail elemen UserIdentityaccountId. Ini dapat terjadi dalam akses sumber daya lintas akun. Misalnya, jika kunci KMS, juga dikenal sebagai AWS KMS key, digunakan oleh akun terpisah untuk memanggil Encrypt API, recipientAccountID nilai accountId dan akan sama untuk acara yang dikirimkan ke akun yang melakukan panggilan, tetapi nilainya akan berbeda untuk acara yang dikirimkan ke akun yang memiliki kunci KMS.

Sejak: 1.02

Opsional: Benar

serviceEventDetails

Mengidentifikasi peristiwa layanan, termasuk apa yang memicu peristiwa dan hasilnya. Untuk informasi selengkapnya, lihat Layanan AWS acara. Bidang ini memiliki ukuran maksimum 100 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.05

Opsional: Benar

sharedEventID

GUID dihasilkan oleh CloudTrail untuk mengidentifikasi CloudTrail peristiwa secara unik dari AWS tindakan yang sama yang dikirim ke akun yang berbeda. AWS

Misalnya, ketika akun menggunakan akun AWS KMS keymilik akun lain, akun yang menggunakan kunci KMS dan akun yang memiliki kunci KMS menerima CloudTrail peristiwa terpisah untuk tindakan yang sama. Setiap CloudTrail acara yang disampaikan untuk AWS aksi ini berbagi hal yang samasharedEventID, tetapi juga memiliki keunikan eventID danrecipientAccountID.

Untuk informasi selengkapnya, lihat Contoh ShareDeventid.

catatan

sharedEventIDBidang ini hadir hanya ketika CloudTrail acara dikirimkan ke beberapa akun. Jika penelepon dan pemilik adalah AWS akun yang sama, hanya CloudTrail mengirim satu acara, dan sharedEventID bidang tidak ada.

Sejak: 1.03

Opsional: Benar

vpcEndpointId

Mengidentifikasi titik akhir VPC tempat permintaan dibuat dari VPC ke layanan AWS lain, seperti Amazon S3.

Sejak: 1.04

Opsional: Benar

vpcEndpointAccountId

Mengidentifikasi Akun AWS ID pemilik titik akhir VPC untuk titik akhir yang sesuai yang telah dilalui permintaan.

Sejak: 1.09

Opsional: Benar

eventCategory

Menampilkan kategori acara. eventCategoryIni digunakan dalam LookupEventspanggilan untuk acara manajemen dan Wawasan.

  • Untuk acara manajemen, nilainya adalahManagement.

  • Untuk peristiwa data, nilainya adalahData.

  • Untuk acara Wawasan, nilainya adalahInsight.

Sejak: 1.07

Opsional: Salah

addendum

Jika pengiriman acara tertunda, atau informasi tambahan tentang peristiwa yang ada tersedia setelah acara dicatat, bidang addendum menunjukkan informasi tentang mengapa acara ditunda. Jika informasi hilang dari peristiwa yang ada, bidang addendum mencakup informasi yang hilang dan alasan mengapa itu hilang. Isi termasuk yang berikut ini.

  • reason- Alasan bahwa acara atau beberapa isinya hilang. Nilai dapat berupa salah satu dari berikut ini.

    • DELIVERY_DELAY— Ada penundaan pengiriman acara. Ini bisa disebabkan oleh lalu lintas jaringan yang tinggi, masalah konektivitas, atau masalah CloudTrail layanan.

    • UPDATED_DATA— Bidang dalam catatan peristiwa hilang atau memiliki nilai yang salah.

    • SERVICE_OUTAGE— Layanan yang mencatat peristiwa untuk CloudTrail mengalami pemadaman, dan tidak dapat mencatat peristiwa. CloudTrail Ini sangat jarang.

  • updatedFields- Bidang catatan acara yang diperbarui oleh addendum. Ini hanya disediakan jika alasannyaUPDATED_DATA.

  • originalRequestID- ID unik asli dari permintaan. Ini hanya disediakan jika alasannyaUPDATED_DATA.

  • originalEventID- ID acara asli. Ini hanya disediakan jika alasannyaUPDATED_DATA.

Sejak: 1.08

Opsional: Benar

sessionCredentialFromConsole

Menunjukkan apakah suatu peristiwa berasal dari AWS Management Console sesi atau tidak. Bidang ini tidak ditampilkan kecuali nilainyatrue, artinya klien yang digunakan untuk melakukan panggilan API adalah proxy atau klien eksternal. Jika klien proxy digunakan, bidang tlsDetails acara tidak ditampilkan.

Sejak: 1.08

Opsional: Benar

edgeDeviceDetails

Menampilkan informasi tentang perangkat edge yang menjadi target permintaan. Saat ini, acara S3 Outpostsperangkat menyertakan bidang ini. Bidang ini memiliki ukuran maksimum 28 KB; konten yang melebihi batas itu terpotong.

Sejak: 1.08

Opsional: Benar

tlsDetails

Menampilkan informasi tentang versi Transport Layer Security (TLS), cipher suite, dan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari nama host yang disediakan klien yang digunakan dalam panggilan API layanan, yang biasanya merupakan FQDN dari titik akhir layanan. CloudTrailmasih mencatat detail TLS sebagian jika informasi yang diharapkan hilang atau kosong. Misalnya, jika versi TLS dan cipher suite hadir, tetapi HOST header kosong, detail TLS yang tersedia masih dicatat dalam acara tersebut. CloudTrail

  • tlsVersion- Versi TLS dari permintaan.

  • cipherSuite- Suite cipher (kombinasi algoritma keamanan yang digunakan) dari permintaan.

  • clientProvidedHostHeader- Nama host yang disediakan klien yang digunakan dalam panggilan API layanan, yang biasanya merupakan FQDN dari titik akhir layanan.

catatan

Ada beberapa kasus ketika tlsDetails bidang tidak ada dalam catatan peristiwa.

  • tlsDetailsBidang tidak ada jika panggilan API dilakukan oleh atas nama Anda. Layanan AWS invokedByBidang dalam userIdentity elemen mengidentifikasi Layanan AWS yang membuat panggilan API.

  • Jika sessionCredentialFromConsole hadir dengan nilai true, tlsDetails hadir dalam catatan peristiwa hanya jika klien eksternal digunakan untuk membuat panggilan API.

Sejak: 1.08

Opsional: Benar

Kolom rekaman untuk acara Insights

Berikut ini adalah atribut yang ditampilkan dalam struktur JSON dari peristiwa Insights yang berbeda dari yang ada dalam peristiwa manajemen atau data.

sharedEventId

A sharedEventID for CloudTrail Insights event berbeda dari sharedEventID untuk manajemen dan tipe data CloudTrail peristiwa. Dalam acara Insights, a sharedEventID adalah GUID yang dihasilkan oleh CloudTrail Insights untuk mengidentifikasi peristiwa Insights secara unik. sharedEventIDadalah umum antara awal dan akhir peristiwa Wawasan, dan membantu menghubungkan kedua peristiwa untuk mengidentifikasi aktivitas yang tidak biasa secara unik. Anda dapat menganggapnya sharedEventID sebagai ID acara Insights keseluruhan.

Sejak: 1.07

Opsional: Salah

insightDetails

Wawasan acara saja. Menampilkan informasi tentang pemicu yang mendasari peristiwa Insights, seperti sumber peristiwa, agen pengguna, statistik, nama API, dan apakah acara tersebut merupakan awal atau akhir peristiwa Insights. Untuk informasi selengkapnya tentang isi insightDetails blok, lihatCloudTrail Elemen wawasan insightDetails.

Sejak: 1.07

Opsional: Salah

Contoh ShareDeventid

Berikut ini adalah contoh yang menjelaskan bagaimana CloudTrail memberikan dua peristiwa untuk tindakan yang sama:

  1. Alice memiliki AWS akun (111111111111) dan membuat akun. AWS KMS key Dia adalah pemilik kunci KMS ini.

  2. Bob memiliki AWS akun (222222222222). Alice memberi Bob izin untuk menggunakan kunci KMS.

  3. Setiap akun memiliki jejak dan ember terpisah.

  4. Bob menggunakan kunci KMS untuk memanggil Encrypt API.

  5. CloudTrail mengirimkan dua peristiwa terpisah.

    • Satu acara dikirim ke Bob. Acara tersebut menunjukkan bahwa ia menggunakan kunci KMS.

    • Satu acara dikirim ke Alice. Acara tersebut menunjukkan bahwa Bob menggunakan kunci KMS.

    • Peristiwa memiliki hal yang samasharedEventID, tetapi eventID dan recipientAccountID unik.

Bagaimana bidang shareDeventid muncul di log

ID acara bersama di CloudTrail Wawasan

A sharedEventID for CloudTrail Insights event berbeda dari sharedEventID untuk manajemen dan tipe data CloudTrail peristiwa. Dalam acara Insights, a sharedEventID adalah GUID yang dihasilkan oleh CloudTrail Insights untuk mengidentifikasi pasangan awal dan akhir peristiwa Insights secara unik. sharedEventIDadalah umum antara awal dan akhir acara Wawasan, dan membantu menciptakan korelasi antara kedua peristiwa untuk mengidentifikasi aktivitas yang tidak biasa secara unik.

Anda dapat menganggapnya sharedEventID sebagai ID acara Insights keseluruhan.