CloudTrail レコードの内容 - AWS CloudTrail

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。

eventTime

リクエストが作成された日付と時刻、協定世界時 (UTC)。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.05 です。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを作成したユーザーに関する情報。詳細については、「CloudTrail userIdentity エレメント」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。以下に例を示します。

  • AWS CloudFormation は、cloudformation.amazonaws.com となります。

  • Amazon EC2 は、ec2.amazonaws.com となります。

  • Amazon Simple Workflow Service は、swf.amazonaws.com となります。

この規則にはいくつかの例外があります。たとえば、Amazon CloudWatch の eventSourcemonitoring.amazonaws.com となります。

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

リクエストが行われた AWS リージョン。たとえば、us-east-2 など。「CloudTrail がサポートされているリージョン」を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

使用可能: 1.0 以降

オプション: False

userAgent

AWS マネジメントコンソール、AWS のサービス、AWS SDK または AWS CLI など、リクエストが行われたエージェント。以下は値の例です。

  • signin.amazonaws.com – リクエストは、AWS マネジメントコンソール で IAM ユーザーにより行われました。

  • console.amazonaws.com – リクエストは、AWS マネジメントコンソールでルートユーザーにより行われました。

  • lambda.amazonaws.com – リクエストは AWS Lambda で行われました。

  • aws-sdk-java – リクエストは AWS SDK for Java で行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Ruby で行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS からのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。

注記

一部の AWS のサービスは、errorCode および errorMessage をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。

このフィールドのサポートは、eventVersion 1.00 から開始されます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

使用可能: 1.01 以降

オプション: False

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスは証跡に関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleSignin – AWS マネジメントコンソール にサインインしているアカウント (ルート、IAM、フェデレーション、SAML、または SwitchRole) のユーザー。

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドのあるログの例については、IAM ユーザーガイド の「CloudTrail ログファイル内の AWS STS API イベント」、または、AWS Key Management Service Developer Guide の「AWS KMS API コールのログ記録」を参照してください。

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity エレメントaccountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountIdrecipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS サービスイベント」を参照してください。

使用可能: 1.05 以降

オプション: True

sharedEventID

異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。

たとえば、アカウントが別のアカウントに属するカスタマーマスターキー (CMK) とも呼ばれる KMS キーを使用する場合、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じ sharedEventID を共有しますが、一意の eventID および recipientAccountID もあります。

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04 以降

オプション: True

インサイトイベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

eventCategory

LookupEvents コールで使用されるイベントカテゴリが表示されます。Insights events では、値は insight です。

使用可能: 1.07 以降

オプション: False

sharedEventId

CloudTrail Insights イベントの sharedEventID は、CloudTrail イベントの管理タイプおよびデータタイプの sharedEventID とは異なります。Insights events では、sharedEventID はインサイトイベントを一意に識別するために CloudTrail Insights によって生成される GUID です。sharedEventID は、開始イベントと終了イベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。

使用可能: 1.07 以降

オプション: False

state

インサイトイベントのみ。イベントがインサイトの開始または終了 (異常なアクティビティの開始または終了) を表すかどうかを示します。有効な値は Start または End です。

使用可能: 1.07 以降

オプション: False

eventName

異常なアクティビティが検出された AWS API。

使用可能: 1.07 以降

オプション: False

insightType

インサイトイベントのタイプ。値は ApiCallRateInsight です。

使用可能: 1.07 以降

オプション: False

insightContext

インサイトイベントをトリガーしたコール数と、1 分あたりの通常のサブジェクト API コール数を比較したデータです。

使用可能: 1.07 以降

オプション: True

statistics

アカウント別の平均サブジェクト API コール数、インサイトイベントをトリガーしたコール数、およびインサイトイベントの継続時間 (分) に関するデータのコンテナ。

使用可能: 1.07 以降

オプション: True

baseline

特定の AWS リージョン内のアカウントごとに、前週内に測定された、対象の API の 1 分あたりの標準的な平均コール数を示します。

使用可能: 1.07 以降

オプション: True

insight

インサイトイベントのログ記録をトリガーするサブジェクト API コールの異常な数を示します。開始イベントの CloudTrail Insights 平均は、インサイトイベントをトリガーした API の 1 分あたりのコール数です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始インサイトイベントと終了インサイトイベントの間の異常なアクティビティの期間における 1 分あたりの API コール数です。

使用可能: 1.07 以降

オプション: True

insightDuration

インサイトイベントの期間 (分) (サブジェクト API における異常なアクティビティの開始から終了までの期間) です。insightDuration は、終了 Insights events でのみ発生します。

使用可能: 1.07 以降

オプション: True