CloudTrail レコードの内容 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。あんオプションFalseは、フィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例: 「」。responseElementsこれは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

eventTime

リクエストが作成された日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API 呼び出しが行われたサービス API エンドポイントを提供するローカルホストから取得されます。たとえば、CreateBucket米国西部 (オレゴン) リージョンで実行されている API イベントでは、AWSAmazon S3 エンドポイントを実行しているホスト、s3.us-west-2.amazonaws.com。一般的に、AWSサービスは Network Time Protocol (NTP) を使用してシステムクロックを同期させます。

使用可能: 1.0

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.08 です。

-eventVersion値は、形式のメジャーバージョンとマイナーバージョンです。major_versionminor_version。たとえば、以下のオプションを使用できます。eventVersion1.07となる。ここで1はメジャーバージョンであり、07はマイナーバージョンです。

CloudTrail は、後方互換性のないイベント構造に変更を加えた場合、メジャーバージョンを増分します。これには、既に存在する JSON フィールドの削除や、フィールドのコンテンツの表現方法 (日付形式など) の変更が含まれます。イベント構造に新しいフィールドを追加した場合、CloudTrail はマイナーバージョンを増分します。これは、一部またはすべての既存のイベントに対して新しい情報が利用可能な場合、または新しいイベントタイプに対してのみ新しい情報が利用可能な場合に発生します。アプリケーションは、イベント構造の新しいマイナーバージョンとの互換性を保つために、新しいフィールドを無視することができます。

CloudTrail が新しいイベントタイプを導入したが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。

アプリケーションがイベント構造を解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンには先頭のゼロはありません。あなたは両方を解釈することができますmajor_versionおよびminor_versionを数値として取得し、比較操作を実行します。

使用可能: 1.0

オプション: False

userIdentity

リクエストを作成したユーザーに関する情報。詳細については、「CloudTrail userIdentity エレメント」を参照してください。

使用可能: 1.0

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。以下はその例です。

  • AWS CloudFormation は cloudformation.amazonaws.com

  • Amazon EC2 はec2.amazonaws.com

  • Amazon Simple Workflow Serviceswf.amazonaws.com

この規則にはいくつかの例外があります。たとえば、eventSourceAmazon CloudWatch は、以下のとおりです。monitoring.amazonaws.com

使用可能: 1.0

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0

オプション: False

awsRegion

リクエストが行われた AWS リージョン。たとえば、us-east-2 など。「CloudTrailのサポート対象リージョン」を参照してください。

使用可能: 1.0

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

使用可能: 1.0

オプション: False

userAgent

AWS Management Console、AWS のサービス、AWS SDK または AWS CLI など、リクエストが行われたエージェント。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • signin.amazonaws.com— リクエストは IAM ユーザーによって、AWS Management Console。

  • console.amazonaws.com – リクエストは、AWS Management Console でルートユーザーにより行われました。

  • lambda.amazonaws.com – リクエストは AWS Lambda で行われました。

  • aws-sdk-java – リクエストは AWS SDK for Java で行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Ruby で行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS からのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0

オプション: False

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。このフィールドの例については、」を参照してください。エラーコードとメッセージログの例。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

注記

一部の AWS のサービスは、errorCode および errorMessage をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0

オプション: False

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

-responseElements値は、リクエストをトレースするのに便利です。AWS Support。両方x-amz-request-idおよびx-amz-id-2には、リクエストのトレースに役立つ情報が含まれています。AWS Support。これらの値は、イベントを開始するリクエストへの応答としてが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

このフィールドのサポートは、eventVersion 1.00 から開始されます。

使用可能: 1.0

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

使用可能: 1.01

オプション: False

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent– サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction— コンソールで API 呼び出しではないアクションが実行されました。

  • AwsConsoleSignIn— アカウント (ルート、IAM、フェデレーション、SAML、または SwitchRole) のユーザー。AWS Management Console。

使用可能: 1.02

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

たとえば、resourcesフィールドの詳細については、AWS STSCloudTrail ログファイル内の API イベント()IAM ユーザーガイドまたはログ記録AWS KMSAPI 呼び出し()AWS Key Management Service開発者ガイド

使用可能: 1.01

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity エレメントaccountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountIdrecipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS サービスイベント」を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.05

オプション: True

sharedEventID

CloudTrail によって生成された GUID は、同じAWSアクションが異なるAWSアカウント.

たとえば、アカウントが KMS キー (カスタマーマスターキー (CMK)たとえば、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。各 CloudTrail イベントはこのAWSアクションは、同じsharedEventIDだけでなく、一意のeventIDおよびrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

-sharedEventIDフィールドは CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ場合AWSアカウントの場合、CloudTrail はイベントを 1 つだけ送信し、sharedEventIDフィールドなし。

使用可能: 1.03

オプション::: True

vpcEndpointId

VPC から別の VPC へのリクエストが行われた VPC エンドポイントを識別します。AWSAmazon S3 などのサービスが含まれます。

使用可能: 1.04

オプション::: True

eventCategory

LookupEvents コールで使用されるイベントカテゴリが表示されます。

  • 管理イベントの場合、値はです。Management

  • データイベントの場合、値はです。Data

  • インサイトイベントの場合、値はです。Insight

使用可能: 1.07

オプション::: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、追加フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容には以下のものがある。

  • reason-イベントまたはその内容の一部が欠落していた理由。値には次のいずれかを指定できます。

    • DELIVERY_DELAY— イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続性の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA— イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE— CloudTrail にイベントを記録するサービスが停止し、CloudTrail にイベントを記録できませんでした。これは非常にまれです。

  • updatedFields-補遺によって更新されるイベントレコードフィールド。これは、理由がUPDATED_DATA

  • originalRequestID: リクエストの元の一意の ID。これは、理由がUPDATED_DATA

  • originalEventID: 元のイベント ID。これは、理由がUPDATED_DATA

使用可能: 1.08

オプション::: True

sessionCredentialFromConsole

イベントがAWS Management Consoleセッション このフィールドは、値がtrueです。つまり、API 呼び出しを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでした。プロキシクライアントが使用された場合、tlsDetailsイベントフィールドは表示されません。

使用可能: 1.08

オプション::: True

edgeDeviceDetails

要求のターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outpostsデバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08

オプション::: True

tlsDetails

トランスポート層セキュリティ (TLS) バージョン、暗号スイート、およびサービス API 呼び出しのクライアント提供ホスト名のFQDN に関する情報を表示します。内容には以下のものがある。CloudTrail は、予想される情報が見つからないか空の場合、TLS の詳細の一部を記録します。たとえば、TLS のバージョンと暗号スイートが存在するが、HOSTヘッダーが空の場合、利用可能な TLS の詳細が CloudTrail イベントに記録されます。

もしsessionCredentialFromConsoleの値を持つ存在する場合true,tlsDetailsは、外部クライアントが API コールを行うために使用された場合にのみイベントレコードに存在します。

  • tlsVersion-リクエストの TLS バージョン。

  • cipherSuite-要求の暗号スイート(使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader: リクエストを行ったクライアントの FQDN。

使用可能: 1.08

オプション::: True

インサイトイベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

AsharedEventIDは、CloudTrail インサイトイベントのsharedEventIDCloudTrail イベントの管理タイプおよびデータタイプについては、「」を参照してください。インサイトイベントでは、sharedEventIDは、CloudTrail インサイトによって生成される GUID で、インサイトイベントを一意に識別します。sharedEventIDは、開始インサイトイベントと終了インサイトイベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07

オプション::: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。内容の詳細については、insightDetailsブロックの詳細については、CloudTrail インサイトinsightDetailselement

使用可能: 1.07

オプション::: False