CloudTrail 記録内容 - AWS CloudTrail
Insights イベントのレコードフィールド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail 記録内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。Falseオプションの値は、そのフィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

CloudTrail フィールドの内容が最大フィールドサイズを超えると、フィールドを切り捨てます。フィールドが切り捨てられると、omittedtrue の値で示されます。

eventTime

リクエストが完了した日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API コールが行われたサービス API エンドポイントを提供するローカルホストから取得されます。たとえば、米国西部 (オレゴン) リージョンで実行される CreateBucket API イベントのタイムスタンプは、Amazon S3 AWS s3.us-west-2.amazonaws.com エンドポイントを実行しているホストの時刻から取得されます。一般に、 AWS サービスはネットワークタイムプロトコル (NTP) を使用してシステムクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.10 です。

eventVersion の値は、major_version.minor_version の形式でメジャーおよびマイナーのバージョンです。例えば、eventVersion の値が 1.09 の場合には、1 がメジャーバージョンを示し、09 がマイナーバージョンを示します。

CloudTrail 下位互換性のないイベント構造に変更が加えられた場合は、メジャーバージョンをインクリメントします。これには、すでに存在する JSON フィールドの削除や、フィールドの内容の表示方法 (日付形式など) の変更が含まれます。 CloudTrail 変更によってイベント構造に新しいフィールドが追加された場合は、マイナーバージョンをインクリメントします。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

CloudTrail 新しいイベントタイプが導入されたが、それ以外はイベントの構造が変更されない場合、イベントバージョンは変わりません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションが期待するフィールドが存在することを確認するために、マイナーバージョンで to greater-than-or-equal 比較を行うこともおすすめします。マイナーバージョンには先頭のゼロはありません。major_version および minor_version を数値として解釈し、比較操作を実行できます。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを作成した IAM アイデンティティに関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例:

  • AWS CloudFormation ですcloudformation.amazonaws.com

  • Amazon EC2 は ec2.amazonaws.com です。

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。eventSourceたとえば、Amazon CloudWatch 場合はですmonitoring.amazonaws.com

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

AWS リージョン リクエストの送信先 (など) us-east-2CloudTrail サポートされているリージョン を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスでは AWS、DNS 名だけが表示されます。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

リクエストが行われたエージェント (、 AWS サービス AWS Management Console、 AWS SDK、など)。 AWS CLIこのフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • lambda.amazonaws.com – リクエストは AWS Lambdaで行われました。

  • aws-sdk-java – リクエストは AWS SDK for Javaで行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Rubyで行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— Linux AWS CLI にインストールされた状態でリクエストが行われた。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: True

errorCode

AWS リクエストがエラーを返す場合のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには認証失敗のメッセージが含まれます。 CloudTrail サービスが例外処理で記録したメッセージをキャプチャします。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

注記

AWS サービスの中には、errorCodeerrorMessageイベントの最上位フィールドとしてとを提供するサービスもあります。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、 AWS 該当するサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションが状態を変更しない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、 AWS 該当するサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

responseElementsこの値は、リクエストの追跡に役立ちます。 AWS Supportx-amz-request-id および x-amz-id-2 の両方には、 AWS Supportでリクエストのトレースに役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.01 以降

オプション: True

eventID

によって生成される GUID は CloudTrail 、各イベントを一意に識別します。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction - コンソールで API コールではないアクションが実行されました。

  • AwsConsoleSignIn— アカウントのユーザ (ルート、IAM、フェデレーテッド、SAML、または SwitchRole) がにログインしている。 AWS Management Console

  • AwsCloudTrailInsight— トレイルで Insights イベントが有効になっている場合、リソースプロビジョニングの急増や (IAM) AWS Identity and Access Management アクションの急増など、 CloudTrail 異常な運用アクティビティを検出すると Insights CloudTrail イベントが生成されます。

    AwsCloudTrailInsight イベントは次のフィールドを使用しません:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resourcesフィールドを含むログの例については、『IAM ユーザーガイド』の「AWS STS CloudTrail ログファイルの API イベント」または『開発者ガイド』の「AWS KMS API 呼び出しのロギング」を参照してください。AWS Key Management Service

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity 要素 accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、AWS KMS key とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 APIが呼び出された場合、accountId の値と recipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、KMS キーを所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳しくは、AWS サービスイベント を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.05 以降

オプション: True

sharedEventID

CloudTrail によって生成された GUID は、 CloudTrail AWS 異なるアカウントに送信された同じアクションのイベントを一意に識別します。 AWS

たとえば、AWS KMS keyあるアカウントが別のアカウントに属するアカウントを使用する場合、KMS キーを使用したアカウントと KMS キーを所有するアカウントは、 CloudTrail 同じアクションに対して別々のイベントを受け取ります。 CloudTrail AWS このアクションで配信される各イベントは同じものですがsharedEventID、固有の AND も付けられます。eventID recipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventIDこのフィールドは、 CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。 AWS 発信者と所有者が同じアカウントの場合、 CloudTrail 送信されるイベントは 1 つだけで、sharedEventIDフィールドは存在しません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04 以降

オプション: True

eventCategory

LookupEvents コールで使用されるイベントカテゴリが表示されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • Insights イベントの場合、値は Insight です。

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。ネットワークトラフィックの増加、接続の問題、 CloudTrail またはサービスの問題が原因の可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE— CloudTrail 停止したイベントをログに記録するサービスで、イベントを記録できなかったサービス CloudTrail。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

AWS Management Console イベントがセッションから発生したかどうかを示します。このフィールドは、値が true でなければ表示されません。つまり、API コールを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでなければ表示されません。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

サービス API 呼び出しで使用されるクライアント指定のホスト名 (通常はサービスエンドポイントの FQDN) のトランスポート層セキュリティ (TLS) バージョン、暗号スイート、および完全修飾ドメイン名 (FQDN) に関する情報を表示します。 CloudTrail必要な情報がない場合や空である場合でも、TLS の詳細の一部が記録されます。たとえば、TLS バージョンと暗号スイートは存在するが、HOSTヘッダーが空の場合、利用可能な TLS の詳細は引き続きイベントに記録されます。 CloudTrail TLS の詳細を記録するサービスの詳細については、を参照してください。CloudTrail TLS をサポートするサービスの詳細 CloudTrail

  • tlsVersion - リクエストの TLS バージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービス API コールで使用されるクライアント提供のホスト名 (通常はサービスエンドポイントの FQDN)。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API 呼び出しがユーザーに代わって行われた場合、tlsDetailsこのフィールドは表示されません。 AWS のサービス userIdentity 要素内の invokedBy フィールドは、API 呼び出しを行った AWS のサービス を識別します。

  • sessionCredentialFromConsole が true の値を持つ場合、tlsDetails は、API 呼び出しを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

Insights イベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

CloudTrail Insights sharedEventID イベントの A は、sharedEventIDイベントの管理やデータタイプとは異なります。 CloudTrailインサイトイベントでは、a sharedEventID CloudTrail はインサイトイベントを一意に識別するためにインサイトによって生成される GUID です。 sharedEventIDInsights イベントの開始と終了に共通し、両方のイベントを結び付けて異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。insightDetails ブロックの内容の詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。

使用可能: 1.07 以降

オプション: False