Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudTrail contenuto del record
Il corpo del record contiene i campi che consentono di determinare l'azione richiesta, nonché quando e dove la richiesta è stata effettuata. Quando il valore di Optional è True, il campo è presente solo quando si applica al servizio, all'API o al tipo di evento. Un valore Optional (Facoltativo) di False indica che il campo è sempre presente o che la sua presenza non dipende dal servizio, dall'API o dal tipo di evento. Un esempio è responseElements
, presente negli eventi per operazioni che comportano modifiche (operazioni di creazione, aggiornamento o eliminazione).
CloudTrail tronca un campo se il contenuto del campo supera la dimensione massima del campo. Se un campo viene troncato, è presente omitted
con valore true
.
eventTime
-
Data e ora in cui è stata completata la richiesta in formato UTC (Coordinated Universal Time). La marca temporale di un evento proviene dall'host locale che fornisce l'endpoint API del servizio su cui è stata effettuata la chiamata API. Ad esempio, un evento CreateBucket API eseguito nella regione Stati Uniti occidentali (Oregon) otterrà il timestamp dall'ora in cui si trova su un AWS host che esegue l'endpoint Amazon S3,.
s3.us-west-2.amazonaws.com
In generale, AWS i servizi utilizzano Network Time Protocol (NTP) per sincronizzare gli orologi di sistema.Since: 1.0
Optional: False
eventVersion
-
Versione del formato dell'evento di log. La versione attuale è la 1.10.
Il valore
eventVersion
è una versione maggiore e minore nel formatoversione_principale
.versione_secondaria
. Ad esempio, puoi avere un valoreeventVersion
di1.09
, dove1
è la versione principale e09
è la versione secondaria.CloudTrail incrementa la versione principale se viene apportata una modifica alla struttura degli eventi che non è compatibile con le versioni precedenti. Ciò include la rimozione di un campo JSON già esistente o la modifica della modalità di rappresentazione del contenuto di un campo (ad esempio, un formato di data). CloudTrail incrementa la versione secondaria se una modifica aggiunge nuovi campi alla struttura dell'evento. Questo può verificarsi se sono disponibili nuove informazioni per alcuni o tutti gli eventi esistenti oppure se sono disponibili nuove informazioni solo per novi tipi di eventi. Le applicazioni possono ignorare i nuovi campi per rimanere compatibili con le nuove versioni secondarie della struttura dell'evento.
Se CloudTrail introduce nuovi tipi di eventi, ma la struttura dell'evento rimane invariata, la versione dell'evento non cambia.
Per essere certi che le applicazioni possano analizzare la struttura dell'evento, è consigliabile eseguire un confronto "uguale a" sul numero della versione principale. Per essere sicuri che i campi previsti dall'applicazione esistano, consigliamo anche di eseguire un confronto greater-than-or-equal -to sulla versione secondaria. Non sono presenti zeri iniziali nella versione secondaria. Puoi interpretare sia
versione_principale
cheversione_secondaria
come numeri ed eseguire operazioni di confronto.Since: 1.0
Optional: False
userIdentity
-
Informazioni relative all'identità IAM che ha effettuato una richiesta. Per ulteriori informazioni, consulta CloudTrail elemento userIdentity.
Since: 1.0
Optional: False
eventSource
-
Servizio a cui è stata eseguita la richiesta. Questo nome è in genere la versione abbreviata del nome del servizio senza spazi e con il suffisso
.amazonaws.com
. Per esempio:-
AWS CloudFormation è
cloudformation.amazonaws.com
. -
Amazon EC2 è
ec2.amazonaws.com
. -
Amazon Simple Workflow Service è
swf.amazonaws.com
.
Questa convenzione è caratterizzata da alcune eccezioni. Ad esempio,
eventSource
per Amazon CloudWatch èmonitoring.amazonaws.com
.Since: 1.0
Optional: False
-
eventName
-
Operazione richiesta, che è una delle operazioni nell'API per il servizio specifico.
Since: 1.0
Optional: False
awsRegion
-
Il Regione AWS destinatario della richiesta, ad esempio
us-east-2
. Per informazioni, consulta CloudTrail Regioni supportate.Since: 1.0
Optional: False
sourceIPAddress
-
Indirizzo IP da cui è stata effettuata la richiesta. Per le operazioni che hanno origine dalla console del servizio, l'indirizzo rilevato fa riferimento alla risorsa cliente sottostante, non al server Web della console. Per i servizi in AWS, viene visualizzato solo il nome DNS.
Nota
Per gli eventi generati da AWS, questo campo è in genere
AWS Internal/
, dove#
rappresenta un numero utilizzato per scopi interni.#
Since: 1.0
Optional: False
userAgent
-
L'agente tramite il quale è stata effettuata la richiesta, ad esempio il AWS Management Console AWS servizio, gli AWS SDK o il. AWS CLI Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Di seguito sono riportati i valori di esempio:
-
lambda.amazonaws.com
- La richiesta è stata effettuata con AWS Lambda. -
aws-sdk-java
- La richiesta è stata effettuata con AWS SDK for Java. -
aws-sdk-ruby
- La richiesta è stata effettuata con AWS SDK for Ruby. -
aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5
— La richiesta è stata effettuata con l' AWS CLI installazione su Linux.
Nota
Per gli eventi generati da AWS, se CloudTrail sa chi Servizio AWS ha effettuato la chiamata, questo campo è l'origine dell'evento del servizio chiamante (ad esempio,
ec2.amazonaws.com
). Altrimenti, questo campo èAWS Internal/
dove si#
trova un numero utilizzato per scopi interni.#
Since: 1.0
Optional: True
-
errorCode
-
L'errore di AWS servizio se la richiesta restituisce un errore. Per un esempio che mostra questo campo, consulta Esempio di codice di errore e log dei messaggi. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.
Since: 1.0
Optional: True
errorMessage
-
Descrizione dell'errore, se la richiesta restituisce un errore. Questo messaggio include messaggi relativi a errori di autorizzazione. CloudTrail acquisisce il messaggio registrato dal servizio nella gestione delle eccezioni. Per vedere un esempio, consulta Esempio di codice di errore e log dei messaggi. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.
Nota
Alcuni AWS servizi forniscono il comando
errorCode
eerrorMessage
come campi di primo livello nell'evento. Altri servizi AWS restituiscono informazioni di errore come parte diresponseElements
.Since: 1.0
Optional: True
requestParameters
-
Eventuali parametri stati inviati assieme alla richiesta. Questi parametri sono documentati nella documentazione di riferimento dell'API per il servizio appropriato AWS . Questo campo ha una dimensione massima di 100 KB. Il contenuto che supera tale limite viene troncato.
Since: 1.0
Optional: False
responseElements
-
Elemento di risposta per le operazioni che comportano modifiche (operazioni di creazione, aggiornamento o eliminazione). Se un'operazione non modifica lo stato (ad esempio, una richiesta per recuperare o elencare gli oggetti), questo elemento viene omesso. Queste azioni sono documentate nella documentazione di riferimento dell'API per il servizio appropriato AWS . Questo campo ha una dimensione massima di 100 KB. Il contenuto che supera tale limite viene troncato.
Il
responseElements
valore è utile per aiutarti a tracciare una richiesta con AWS Support. Siax-amz-request-id
chex-amz-id-2
contengono informazioni che consentono di tracciare una richiesta con AWS Support. Questi valori sono gli stessi che il servizio restituisce nella risposta alla richiesta che avvia gli eventi, in modo che sia possibile utilizzarli per abbinare l'evento alla richiesta.Since: 1.0
Optional: False
-
additionalEventData
-
Dati aggiuntivi sull'evento non facenti parte della richiesta o della risposta. Questo campo ha una dimensione massima di 28 KB. Il contenuto che supera tale limite viene troncato.
Since: 1.0
Optional: True
requestID
-
Valore che identifica la richiesta. Il servizio chiamato genera questo valore. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato.
Since: 1.01
Optional: True
eventID
-
GUID generato da CloudTrail per identificare in modo univoco ogni evento. Puoi utilizzare questo valore per identificare un singolo evento. Ad esempio, puoi utilizzare l'ID come chiave primaria per recuperare i dati di log da un database ricercabile.
Since: 1.01
Optional: False
eventType
-
Identifica il tipo di evento che ha generato il record dell'evento. Può essere uno dei seguenti valori:
-
AwsApiCall
- Un'API è stata chiamata. -
AwsServiceEvent
- Il servizio ha generato un evento correlato al percorso. Ad esempio, ciò si può verificare quando un altro account ha effettuato una chiamata con una risorsa di tua proprietà. -
AwsConsoleAction
- Nella console è stata eseguita un'azione che non era una chiamata API. -
AwsConsoleSignIn
— Un utente del tuo account (root, IAM, federated, SAML o SwitchRole) ha effettuato l'accesso a. AWS Management Console -
AwsCloudTrailInsight
— Se gli eventi Insights sono abilitati, CloudTrail genera eventi Insights quando CloudTrail rileva attività operative insolite come picchi nell'approvvigionamento delle risorse o esplosioni di azioni (IAM). AWS Identity and Access ManagementAwsCloudTrailInsight
eventi non usano i campi seguenti:-
eventName
-
eventSource
-
sourceIPAddress
-
userAgent
-
userIdentity
-
Since: 1.02
Optional: False
-
apiVersion
-
Identifica la versione API associata al valore
AwsApiCall
eventType
.Since: 1.01
Optional: True
managementEvent
-
Un valore booleano che identifica se l'evento è un evento di gestione.
managementEvent
viene mostrato in un record di eventi seeventVersion
è 1.06 o superiore e il tipo di evento è uno dei seguenti:-
AwsApiCall
-
AwsConsoleAction
-
AwsConsoleSignIn
-
AwsServiceEvent
Since: 1.06
Optional: True
-
-
readOnly
-
Identifica se questa operazione è un'operazione di sola lettura. Può essere uno dei seguenti valori:
-
true
- L'operazione è di sola lettura (ad esempio,DescribeTrails
). -
false
- L'operazione è di sola scrittura (ad esempio,DeleteTrail
).
Since: 1.01
Optional: True
-
-
resources
-
Elenco delle risorse a cui è stato eseguito l'accesso nell'evento. Il campo può contenere le informazioni seguenti:
-
ARN delle risorse
-
ID account del proprietario delle risorse
-
Identificatore del tipo di risorsa nel formato:
AWS::
aws-service-name
::data-type-name
Ad esempio, quando viene registrato un evento
AssumeRole
, il camporesources
può avere il seguente aspetto:-
ARN:
arn:aws:iam::123456789012:role/
myRole
-
ID account:
123456789012
-
Identificatore del tipo di risorsa:
AWS::
IAM
::Role
Ad esempio, i log con il
resources
campo, consulta AWS STS API Event in CloudTrail Log File nella IAM User Guide o Logging AWS KMS API Calls nella Developer Guide.AWS Key Management ServiceSince: 1.01
Optional: True
-
recipientAccountId
-
Rappresenta l'ID dell'account che ha ricevuto questo evento.
recipientAccountID
può essere diverso da CloudTrail elemento userIdentityaccountId
. Questo può verificarsi nell'accesso alle risorse da più account. Ad esempio, se una chiave KMS, definita anche AWS KMS key, è stata utilizzata da un account diverso per chiamare l'API di crittografia, i valoriaccountId
erecipientAccountID
sono uguali per l'evento distribuito all'account che ha effettuato la chiamata, ma sono diversi per l'evento distribuito all'account proprietario della chiave KMS.Since: 1.02
Optional: True
serviceEventDetails
-
Identifica l'evento del servizio, incluso l'elemento che ha attivato l'evento e il risultato. Per ulteriori informazioni, consulta AWS eventi di servizio. Questo campo ha una dimensione massima di 100 KB. Il contenuto che supera tale limite viene troncato.
Since: 1.05
Optional: True
sharedEventID
-
GUID generato da CloudTrail per identificare in modo univoco CloudTrail gli eventi derivanti dalla stessa AWS azione inviata a diversi account. AWS
Ad esempio, quando un account utilizza un account AWS KMS keyche appartiene a un altro account, l'account che ha utilizzato la chiave KMS e l'account che possiede la chiave KMS ricevono CloudTrail eventi separati per la stessa azione. Ogni CloudTrail evento fornito per questa AWS azione è lo stesso
sharedEventID
, ma ha anche un unicoeventID
e.recipientAccountID
Per ulteriori informazioni, consulta Esempio di sharedEventID.
Nota
Il
sharedEventID
campo è presente solo quando CloudTrail gli eventi vengono consegnati a più account. Se il chiamante e il proprietario hanno lo stesso AWS account, CloudTrail invia un solo evento e ilsharedEventID
campo non è presente.Since: 1.03
Optional: True
-
vpcEndpointId
-
Identifica l'endpoint VPC in cui le richieste sono state effettuate da un VPC a un altro servizio AWS , ad esempio Amazon S3.
Since: 1.04
Optional: True
eventCategory
-
Mostra la categoria dell'evento.
eventCategory
Viene utilizzato nelleLookupEvents
chiamate per la gestione e negli eventi Insights.-
Per gli eventi di gestione, il valore è
Management
. -
Per gli eventi di dati, il valore è
Data
. -
Per gli eventi Insights, il valore è
Insight
.
Since: 1.07
Optional: False
-
addendum
-
Se la consegna di un evento ha subito un ritardo o se diventano disponibili ulteriori informazioni su un evento esistente dopo la registrazione dell'evento, un campo addendum mostra informazioni sul motivo per cui l'evento ha subito un ritardo. Se mancavano informazioni da un evento esistente, il campo addendum include le informazioni mancanti e un motivo per cui mancavano. Il contenuto include quanto segue.
-
reason
- Il motivo per cui l'evento o alcuni dei suoi contenuti mancavano. I valori possono essere uno dei seguenti.-
DELIVERY_DELAY
- La consegna degli eventi ha subito un ritardo. Ciò potrebbe essere causato da un elevato traffico di rete, da problemi di connettività o da un problema CloudTrail di servizio. -
UPDATED_DATA
- Un campo nel record dell'evento mancava o aveva un valore non corretto. -
SERVICE_OUTAGE
— Un servizio che registra gli eventi CloudTrail ha subito un'interruzione e su cui non è possibile registrare gli eventi. CloudTrail Questo è eccezionalmente raro.
-
-
updatedFields
- I campi record di evento aggiornati dall'addendum. Questo è fornito solo se il motivo èUPDATED_DATA
. -
originalRequestID
- L'ID univoco originale della richiesta. Questo è fornito solo se il motivo èUPDATED_DATA
. -
originalEventID
- L'ID evento originale. Questo è fornito solo se il motivo èUPDATED_DATA
.
Since: 1.08
Optional: True
-
sessionCredentialFromConsole
-
Indica se un evento ha avuto origine o meno da una sessione. AWS Management Console Questo campo non viene visualizzato a meno che il valore sia
true
, che indica che il client utilizzato per effettuare la chiamata API era un proxy o un client esterno. Se è stato utilizzato un client proxy, il campo dell'eventotlsDetails
non viene visualizzato.Since: 1.08
Optional: True
edgeDeviceDetails
-
Mostra informazioni sui dispositivi edge che sono destinazioni di una richiesta. Attualmente, gli eventi dei dispositivi
S3 Outposts
includono questo campo. Questo campo ha una dimensione massima di 28 KB. Il contenuto che supera tale limite viene troncato. Since: 1.08
Optional: True
tlsDetails
-
Mostra informazioni sulla versione Transport Layer Security (TLS), sulle suite di crittografia e sul nome di dominio completo (FQDN) del nome host fornito dal client utilizzato nella chiamata all'API di servizio, che in genere è il nome di dominio completo dell'endpoint del servizio. CloudTrailregistra comunque i dettagli TLS parziali se le informazioni previste sono mancanti o vuote. Ad esempio, se la versione TLS e la suite di crittografia sono presenti, ma l'
HOST
intestazione è vuota, i dettagli TLS disponibili vengono comunque registrati nell'evento. CloudTrail-
tlsVersion
- La versione TLS di una richiesta. -
cipherSuite
- La suite di crittografia (combinazione di algoritmi di sicurezza utilizzati) di una richiesta. -
clientProvidedHostHeader
: il nome host fornito dal client utilizzato nella chiamata API del servizio, che in genere è il nome di dominio completo dell'endpoint del servizio.
Nota
In alcuni casi il campo
tlsDetails
non è presente in un record di eventi.-
Il
tlsDetails
campo non è presente se la chiamata API è stata effettuata da un utente per conto dell'utente. Servizio AWS Il campoinvokedBy
nell'elementouserIdentity
identifica il Servizio AWS che ha effettuato la chiamata API. -
Se
sessionCredentialFromConsole
è presente con un valore true,tlsDetails
è presente in un record di eventi solo se per effettuare la chiamata API è stato utilizzato un client esterno.
Since: 1.08
Optional: True
-
Campi dei record degli eventi Insights
Di seguito sono riportati gli attributi visualizzati nella struttura JSON di un evento Insights che differiscono da quelli di un evento di gestione o di dati.
sharedEventId
-
Gli eventi A
sharedEventID
for CloudTrail Insights differiscono dagli eventisharedEventID
per la gestione e i tipi di dati degli CloudTrail eventi. Negli eventi Insights, asharedEventID
è un GUID generato da CloudTrail Insights per identificare in modo univoco un evento Insights.sharedEventID
è comune tra gli eventi di inizio e fine di Insights e aiuta a collegare entrambi gli eventi per identificare in modo univoco le attività insolite. Puoi considerare losharedEventID
come l'ID evento generale di Insights.Since: 1.07
Optional: False
insightDetails
-
Solo eventi Insights. Mostra informazioni sui trigger sottostanti di un evento Insights, ad esempio l'origine evento, l'agente dell'utente, le statistiche, il nome dell'API e se l'evento è quello di inizio o di fine dell'evento Insights. Per ulteriori informazioni sui contenuti del blocco
insightDetails
, consulta CloudTrail insightDetailsElemento Insights.Since: 1.07
Optional: False