翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail レコードの内容
レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプション の値が True の場合、 フィールドはサービス、、APIまたはイベントタイプに適用される場合にのみ存在します。オプション値 False は、フィールドが常に存在するか、その存在がサービス、、APIまたはイベントタイプに依存しないことを意味します。例は responseElements
です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。
CloudTrail は、フィールドの内容が最大フィールドサイズを超える場合、フィールドを切り捨てます。フィールドが切り捨てられると、omitted
は true
の値で示されます。
eventTime
-
リクエストが完了した日時、調整されたユニバーサルタイム (UTC)。イベントのタイムスタンプは、API呼び出しが行われたサービスAPIエンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行されるCreateBucketAPIイベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得します
s3.us-west-2.amazonaws.com
。通常、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。使用可能: 1.0 以降
オプション: False
eventVersion
-
ログイベント形式のバージョン。現在のバージョンは 1.10 です。
eventVersion
値は 形式のメジャーバージョンとマイナーバージョンです。major_version
.minor_version
。 例えば、 のeventVersion
値を にすることができます。ここで1.09
、1
はメジャーバージョン、09
はマイナーバージョンです。CloudTrail 下位互換性のないイベント構造が変更された場合、 はメジャーバージョンを増分します。これには、既に存在するJSONフィールドの削除や、フィールドの内容の表示方法 (日付形式など) CloudTrail の変更が含まれます。変更によってイベント構造に新しいフィールドが追加されると、マイナーバージョンが増加します。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。
が新しいイベントタイプ CloudTrail を導入し、そうでなければイベントの構造が変更されない場合、イベントバージョンは変更されません。
アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションに期待されるフィールドが存在することを確認するには、マイナーバージョンで greater-than-or-equal-to 比較を実行することもお勧めします。マイナーバージョンには先頭のゼロはありません。両方を解釈できます。
major_version
また、minor_version
を数値として、比較オペレーションを実行します。使用可能: 1.0 以降
オプション: False
userIdentity
-
リクエストを行った IAM ID に関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。
使用可能: 1.0 以降
オプション: False
eventSource
-
リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に
.amazonaws.com
を付けたものです。例:-
AWS CloudFormation は です
cloudformation.amazonaws.com
。 -
Amazon EC2は です
ec2.amazonaws.com
。 -
Amazon Simple Workflow Service は
swf.amazonaws.com
です。
この規則にはいくつかの例外があります。例えば、Amazon
eventSource
の CloudWatch は ですmonitoring.amazonaws.com
。使用可能: 1.0 以降
オプション: False
-
eventName
-
リクエストされたアクション。これは、APIそのサービスの のアクションの 1 つです。
使用可能: 1.0 以降
オプション: False
awsRegion
-
など、 AWS リージョン リクエストが行われた
us-east-2
。「CloudTrail サポートされているリージョン」を参照してください。使用可能: 1.0 以降
オプション: False
sourceIPAddress
-
リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS名前のみが表示されます。
注記
AWSからのイベントの場合、このフィールドは通常
AWS Internal/
で、#
は内部で使用される数字です。#
使用可能: 1.0 以降
オプション: False
userAgent
-
AWS Management Console、 AWS サービス、、 AWS SDKs など、リクエストが行われたエージェント AWS CLI。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。
-
lambda.amazonaws.com
– リクエストは AWS Lambdaで行われました。 -
aws-sdk-java
– リクエストは AWS SDK for Javaで行われました。 -
aws-sdk-ruby
– リクエストは AWS SDK for Rubyで行われました。 -
aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5
– リクエストは Linux に AWS CLI インストールされた で行われました。
注記
によって発信されたイベントの場合 AWS、 が呼び出し AWS のサービス 元を CloudTrail 知っている場合、このフィールドは呼び出し元のサービスのイベントソースです (例:
ec2.amazonaws.com
)。それ以外の場合、このフィールドは です。ここでAWS Internal/
、#
は内部目的で使用される数値です。#
使用可能: 1.0 以降
オプション: True
-
errorCode
-
リクエストが AWS エラーを返した場合のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。
ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反がある場合、エラーコードは です
VpceAccessDenied
。使用可能: 1.0 以降
オプション: True
errorMessage
-
リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証失敗のメッセージが含まれます。 は、例外処理でサービスによって記録されたメッセージを CloudTrail キャプチャします。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。
ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反がある場合、
errorMessage
は常に次のメッセージになります。The request was denied due to a VPC endpoint policy
VPC エンドポイントポリシー違反のアクセス拒否イベントの詳細については、IAM「 ユーザーガイド」の「アクセス拒否エラーメッセージの例」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、このガイドの「ネットワークアクティビティイベント」を参照してください。注記
一部の AWS サービスは、
errorCode
および をイベントの最上位フィールドerrorMessage
として提供します。他の AWS のサービスでは、responseElements
の一部としてエラー情報を提供します。使用可能: 1.0 以降
オプション: True
requestParameters
-
リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスのAPIリファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。
使用可能: 1.0 以降
オプション: False
responseElements
-
変更を行うアクション (アクションを作成、更新、または削除) のレスポンス要素がある場合。アクションが はレスポンス要素を返しません。このフィールドは です
null
。次の場合 アクションの状態は変更されません (オブジェクトの取得または一覧表示のリクエストなど)。 この要素は省略されます。アクションのレスポンス要素は、 APIリファレンスに記載されています。 適切な のドキュメント AWS のサービス。このフィールドの最大サイズ 100 KB の場合、その制限を超えるコンテンツは切り捨てられます。この
responseElements
値は、リクエストの追跡に役立ちます。 と AWS Support。x-amz-request-id
と の両方x-amz-id-2
には、 を使用してリクエストを追跡するのに役立つ情報が含まれています AWS Support。これらの値は次のとおりです。 リクエストに対するレスポンスでサービスが返すものと同じです。 はイベントを開始するため、イベントを に一致させることができます。 リクエスト。使用可能: 1.0 以降
オプション: False
-
additionalEventData
-
リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。
使用可能: 1.0 以降
オプション: True
requestID
-
リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。
使用可能: 1.01 以降
オプション: True
eventID
-
GUID によって生成され CloudTrail 、各イベントを一意に識別します。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。
使用可能: 1.01 以降
オプション: False
eventType
-
イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。
-
AwsApiCall
– が呼び出APIされました。 -
AwsServiceEvent
– サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。 -
AwsConsoleAction
– コンソールで、API呼び出しではないアクションを実行しました。 -
AwsConsoleSignIn
– アカウントにサインインしているユーザー (ルート、IAM、フェデレーティッド、SAML、または SwitchRole) AWS Management Console。 -
AwsCloudTrailInsight
– Insights イベントが有効になっている場合、 は、リソースプロビジョニングの急増や AWS Identity and Access Management (IAM) アクションのバーストなど、異常な運用アクティビティ CloudTrail を検出したときに Insights イベント CloudTrail を生成します。AwsCloudTrailInsight
イベントは次のフィールドを使用しません:-
eventName
-
eventSource
-
sourceIPAddress
-
userAgent
-
userIdentity
-
-
AwsVpceEvents
– CloudTrail ネットワークアクティビティイベント (プレビュー) により、VPCエンドポイント所有者は、プライベートから VPC へのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントを記録するには、VPCエンドポイント所有者がイベントソースのネットワークアクティビティイベントを有効にする必要があります。
使用可能: 1.02 以降
オプション: False
-
apiVersion
-
AwsApiCall
eventType
値に関連付けられたAPIバージョンを識別します。使用可能: 1.01 以降
オプション: True
managementEvent
-
イベントが管理イベントかどうかを識別するブール値。
eventVersion
が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent
がイベントレコードに表示されます。-
AwsApiCall
-
AwsConsoleAction
-
AwsConsoleSignIn
-
AwsServiceEvent
使用可能: 1.06 以降
オプション: True
-
-
readOnly
-
この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。
-
true
– オペレーションは読み取り専用です (例:DescribeTrails
)。 -
false
– オペレーションは書き込み専用です (例:DeleteTrail
)。
使用可能: 1.01 以降
オプション: True
-
-
resources
-
イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。
-
リソース ARNs
-
リソース所有者のアカウント ID
-
以下の形式でのリソースタイプ識別子 :
AWS::
aws-service-name
::data-type-name
たとえば、
AssumeRole
イベントが記録されると、resources
フィールドは次のようになります。-
ARN:
arn:aws:iam::123456789012:role/
myRole
-
アカウント ID:
123456789012
-
リソースタイプ識別子 :
AWS::
IAM
::Role
resources
フィールドを使用したログの例については、IAM「 ユーザーガイド」のAWS STS CloudTrail 「ログファイルのAPIイベント」または「 AWS Key Management Service デベロッパーガイド」の「通話のログ記録 AWS KMS API」を参照してください。使用可能: 1.01 以降
オプション: True
-
recipientAccountId
-
このイベントを受信したアカウント ID を表します。
recipientAccountID
は CloudTrail userIdentity 要素accountId
とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、 とも呼ばれるKMSキーAWS KMS keyが別のアカウントによって Encrypt APIを呼び出すために使用された場合、accountId
と のrecipientAccountID
値は、呼び出しを行ったアカウントに配信されたイベントで同じになりますが、KMSキーを所有するアカウントに配信されたイベントでは値が異なります。使用可能: 1.02 以降
オプション: True
serviceEventDetails
-
イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳しくは、AWS のサービス イベント を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。
使用可能: 1.05 以降
オプション: True
sharedEventID
-
GUID によって生成され CloudTrail 、異なる AWS アカウントに送信するのと同じ AWS アクションからの CloudTrail イベントを一意に識別します。
例えば、アカウントAWS KMS keyが別のアカウントに属する を使用する場合、KMSキーを使用したアカウントとKMSキーを所有するアカウントは、同じアクションに対して個別の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは、同じ を共有しますが
sharedEventID
、一意のeventID
と もありますrecipientAccountID
。詳細については、「sharedEventID の例」を参照してください。
注記
sharedEventID
フィールドは、 CloudTrail イベントが複数のアカウントに配信される場合にのみ表示されます。発信者と所有者が同じ AWS アカウントである場合、 は 1 つのイベントのみ CloudTrail を送信し、sharedEventID
フィールドは存在しません。使用可能: 1.03 以降
オプション: True
-
vpcEndpointId
-
から Amazon などの別の AWS サービスVPCへのリクエストが行われたVPCエンドポイントを識別しますEC2。
使用可能: 1.04 以降
オプション: True
-
vpcEndpointAccountId
-
リクエストがトラバースされた対応するVPCエンドポイントのエンドポイント所有者の AWS アカウント ID を識別します。
以降: 1.09
オプション: True
eventCategory
-
イベントカテゴリを表示します。イベントカテゴリは、 管理イベントまたは Insights イベントをフィルタリングするための
LookupEvents
呼び出しに使用されます。-
管理イベントの場合、値は
Management
です。 -
データイベントの場合、値は
Data
です。 -
Insights イベントの場合、値は
Insight
です。 -
ネットワークアクティビティイベントの場合、値は です
NetworkActivity
。
使用可能: 1.07 以降
オプション: False
-
addendum
-
イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。
-
reason
- イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。-
DELIVERY_DELAY
- イベントの配信に遅延がありました。これは、ネットワークトラフィックの増加、接続の問題、または CloudTrail サービスの問題が原因である可能性があります。 -
UPDATED_DATA
- イベントレコードのフィールドが見つからないか、正しくない値がありました。 -
SERVICE_OUTAGE
– イベントを にログ記録し、イベント CloudTrail を にログ記録できなかったサービス CloudTrail。これは非常にまれです。
-
-
updatedFields
- 補遺によって更新されるイベントレコードフィールド。これは、理由がUPDATED_DATA
の場合にのみ提供されます。 -
originalRequestID
- リクエストの元の一意の ID。これは、理由がUPDATED_DATA
の場合にのみ提供されます。 -
originalEventID
- 元のイベントの ID。これは、理由がUPDATED_DATA
の場合にのみ提供されます。
使用可能: 1.08 以降
オプション: True
-
sessionCredentialFromConsole
-
イベントが AWS Management Console セッションから発生したかどうかを示します。このフィールドは、値が でない限り表示されません。つまり
true
、API呼び出しの実行に使用されたクライアントはプロキシまたは外部クライアントでした。プロキシクライアントが使用された場合、tlsDetails
イベントフィールドは表示されません。使用可能: 1.08 以降
オプション: True
edgeDeviceDetails
-
リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、
S3 Outposts
デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。 使用可能: 1.08 以降
オプション: True
tlsDetails
-
サービスAPIコールで使用されるクライアント提供のホスト名の Transport Layer Security (TLS) バージョン、暗号スイート、および完全修飾ドメイン名 (FQDN) に関する情報を表示します。これは、通常、サービスエンドポイントFQDNの です。 CloudTrail は、予想される情報が欠落しているか空である場合、部分的なTLS詳細を記録します。例えば、TLSバージョンと暗号スイートが存在するが、
HOST
ヘッダーが空の場合、使用可能なTLS詳細が CloudTrail イベントに記録されます。-
tlsVersion
- リクエストTLSのバージョン。 -
cipherSuite
- リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。 -
clientProvidedHostHeader
- サービスAPIコールで使用されるクライアント提供のホスト名。通常はサービスエンドポイントFQDNの です。
注記
tlsDetails
フィールドがイベントレコードに存在しない場合があります。-
API 通話が AWS のサービス ユーザーに代わって によって行われた場合、
tlsDetails
フィールドは存在しません。userIdentity
要素のinvokedBy
フィールドは、 AWS のサービス API呼び出しを行った を識別します。 -
sessionCredentialFromConsole
が true の値で存在する場合、tlsDetails
は、外部クライアントがAPI呼び出しに使用された場合にのみイベントレコードに存在します。
使用可能: 1.08 以降
オプション: True
-
Insights イベントのレコードフィールド
以下は、Insights イベントのJSON構造に表示される属性で、管理イベントまたはデータイベントの属性とは異なるものです。
sharedEventId
-
sharedEventID
for CloudTrail Insights イベントは、イベントの管理タイプとデータタイプのsharedEventID
CloudTrail とは異なります。Insights イベントでは、sharedEventID
は CloudTrail Insights イベントを一意に識別するために Insights によってGUID生成される です。sharedEventID
は、Insights イベントの開始と終了の間で一般的であり、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID
は、全体的なインサイトイベント ID と考えることができます。使用可能: 1.07 以降
オプション: False
insightDetails
-
インサイトイベントのみ。イベントソース、ユーザーエージェント、統計、API名前、イベントが Insights イベントの開始または終了かどうかなど、Insights イベントの基盤となるトリガーに関する情報を表示します。
insightDetails
ブロックの内容の詳細については、「CloudTrail Insights insightDetails要素」を参照してください。使用可能: 1.07 以降
オプション: False
sharedEventID の例
以下は、 が同じアクションに対して が 2 つのイベントを CloudTrail で提供する方法を説明する例です。
-
Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこのKMSキーの所有者です。
-
Bob には AWS アカウント (222222222222) があります。Alice はKMS、キーを使用するアクセス許可を Bob に付与します。
-
各アカウントにはトレイルおよび別のバケットがあります。
-
Bob は KMSキーを使用して
Encrypt
を呼び出しますAPI。 -
CloudTrail は 2 つの個別のイベントを送信します。
-
1 つのイベントが Bob に送信されます。イベントは、キーを使用したことを示しますKMS。
-
1 つのイベントが Alice に送信されます。イベントは、Bob がKMSキーを使用したことを示しています。
-
イベントと同じ
sharedEventID
ですが、eventID
およびrecipientAccountID
は一意です。
-
IDs CloudTrail Insights の共有イベント
sharedEventID
for CloudTrail Insights イベントは、 CloudTrail イベントの管理タイプとデータタイプの sharedEventID
とは異なります。Insights イベントでは、 sharedEventID
は CloudTrail Insights イベントの開始ペアと終了ペアを一意に識別するために Insights によってGUID生成される です。 sharedEventID
は、Insights の開始イベントと終了イベントの間で一般的であり、両方のイベント間の相関関係を作成して異常なアクティビティを一意に識別するのに役立ちます。
sharedEventID
は、全体的なインサイトイベント ID と考えることができます。