CloudTrail レコードの内容 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプション の値が True の場合、 フィールドはサービス、、APIまたはイベントタイプに適用される場合にのみ存在します。オプションFalse は、フィールドが常に存在するか、その存在がサービス、、APIまたはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

CloudTrail は、フィールドの内容が最大フィールドサイズを超える場合、フィールドを切り捨てます。フィールドが切り捨てられると、omittedtrue の値で示されます。

eventTime

リクエストが完了した日時、調整されたユニバーサルタイム (UTC)。イベントのタイムスタンプは、API呼び出しが行われたサービスAPIエンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行されるCreateBucketAPIイベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得しますs3.us-west-2.amazonaws.com。通常、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.10 です。

eventVersion 値は 形式のメジャーバージョンとマイナーバージョンです。major_version.minor_version。 例えば、 のeventVersion値を にすることができます。ここで1.091 はメジャーバージョン、 09はマイナーバージョンです。

CloudTrail 下位互換性のないイベント構造が変更された場合、 はメジャーバージョンを増分します。これには、既に存在するJSONフィールドの削除や、フィールドの内容の表示方法 (日付形式など) CloudTrail の変更が含まれます。変更によってイベント構造に新しいフィールドが追加されると、マイナーバージョンが増加します。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

が新しいイベントタイプ CloudTrail を導入し、そうでなければイベントの構造が変更されない場合、イベントバージョンは変更されません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションに期待されるフィールドが存在することを確認するには、マイナーバージョンで greater-than-or-equal-to 比較を実行することもお勧めします。マイナーバージョンには先頭のゼロはありません。両方を解釈できます。major_version また、minor_version を数値として、比較オペレーションを実行します。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを行った IAM ID に関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例:

  • AWS CloudFormation は ですcloudformation.amazonaws.com

  • Amazon EC2は ですec2.amazonaws.com

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。例えば、Amazon eventSourceの CloudWatch は ですmonitoring.amazonaws.com

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。これは、APIそのサービスの のアクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

など、 AWS リージョン リクエストが行われた us-east-2。「CloudTrail サポートされているリージョン」を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS名前のみが表示されます。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

AWS Management Console、 AWS サービス、、 AWS SDKs など、リクエストが行われたエージェント AWS CLI。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • lambda.amazonaws.com – リクエストは AWS Lambdaで行われました。

  • aws-sdk-java – リクエストは AWS SDK for Javaで行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Rubyで行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux に AWS CLI インストールされた で行われました。

注記

によって発信されたイベントの場合 AWS、 が呼び出し AWS のサービス 元を CloudTrail 知っている場合、このフィールドは呼び出し元のサービスのイベントソースです (例: ec2.amazonaws.com)。それ以外の場合、このフィールドは です。ここでAWS Internal/## は内部目的で使用される数値です。

使用可能: 1.0 以降

オプション: True

errorCode

リクエストが AWS エラーを返した場合のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反がある場合、エラーコードは ですVpceAccessDenied

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証失敗のメッセージが含まれます。 は、例外処理でサービスによって記録されたメッセージを CloudTrail キャプチャします。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPCエンドポイントポリシー違反がある場合、 errorMessageは常に次のメッセージになります。 The request was denied due to a VPC endpoint policyVPC エンドポイントポリシー違反のアクセス拒否イベントの詳細については、IAM「 ユーザーガイド」の「アクセス拒否エラーメッセージの例」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、このガイドの「ネットワークアクティビティイベント」を参照してください。

注記

一部の AWS サービスは、 errorCode および をイベントの最上位フィールドerrorMessageとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスのAPIリファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクション (アクションを作成、更新、または削除) のレスポンス要素がある場合。アクションが 
はレスポンス要素を返しません。このフィールドは ですnull。次の場合
 アクションの状態は変更されません (オブジェクトの取得または一覧表示のリクエストなど)。
 この要素は省略されます。アクションのレスポンス要素は、 APIリファレンスに記載されています。
 適切な のドキュメント AWS のサービス。このフィールドの最大サイズ
 100 KB の場合、その制限を超えるコンテンツは切り捨てられます。

このresponseElements値は、リクエストの追跡に役立ちます。
 と AWS Support。x-amz-request-id と の両方 x-amz-id-2
 には、 を使用してリクエストを追跡するのに役立つ情報が含まれています AWS Support。これらの値は次のとおりです。
 リクエストに対するレスポンスでサービスが返すものと同じです。
 はイベントを開始するため、イベントを に一致させることができます。
 リクエスト。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.01 以降

オプション: True

eventID

GUID によって生成され CloudTrail 、各イベントを一意に識別します。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – が呼び出APIされました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction – コンソールで、API呼び出しではないアクションを実行しました。

  • AwsConsoleSignIn – アカウントにサインインしているユーザー (ルート、IAM、フェデレーティッド、SAML、または SwitchRole) AWS Management Console。

  • AwsCloudTrailInsight – Insights イベントが有効になっている場合、 は、リソースプロビジョニングの急増や AWS Identity and Access Management (IAM) アクションのバーストなど、異常な運用アクティビティ CloudTrail を検出したときに Insights イベント CloudTrail を生成します。

    AwsCloudTrailInsight イベントは次のフィールドを使用しません:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents – CloudTrail ネットワークアクティビティイベント (プレビュー) により、VPCエンドポイント所有者は、プライベートから VPC へのVPCエンドポイントを使用して行われた呼び出しを記録 AWS APIできます AWS のサービス。ネットワークアクティビティイベントを記録するには、VPCエンドポイント所有者がイベントソースのネットワークアクティビティイベントを有効にする必要があります。

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCall eventType 値に関連付けられたAPIバージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARNs

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドを使用したログの例については、IAM「 ユーザーガイド」のAWS STS CloudTrail 「ログファイルのAPIイベント」または「 AWS Key Management Service デベロッパーガイド」の「通話のログ記録 AWS KMS API」を参照してください。

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity 要素 accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、 とも呼ばれるKMSキーAWS KMS keyが別のアカウントによって Encrypt APIを呼び出すために使用された場合、 accountIdと のrecipientAccountID値は、呼び出しを行ったアカウントに配信されたイベントで同じになりますが、KMSキーを所有するアカウントに配信されたイベントでは値が異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳しくは、AWS のサービス イベント を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.05 以降

オプション: True

sharedEventID

GUID によって生成され CloudTrail 、異なる AWS アカウントに送信するのと同じ AWS アクションからの CloudTrail イベントを一意に識別します。

例えば、アカウントAWS KMS keyが別のアカウントに属する を使用する場合、KMSキーを使用したアカウントとKMSキーを所有するアカウントは、同じアクションに対して個別の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは、同じ を共有しますがsharedEventID、一意の eventIDと もありますrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、 CloudTrail イベントが複数のアカウントに配信される場合にのみ表示されます。発信者と所有者が同じ AWS アカウントである場合、 は 1 つのイベントのみ CloudTrail を送信し、 sharedEventIDフィールドは存在しません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

から Amazon などの別の AWS サービスVPCへのリクエストが行われたVPCエンドポイントを識別しますEC2。

使用可能: 1.04 以降

オプション: True

vpcEndpointAccountId

リクエストがトラバースされた対応するVPCエンドポイントのエンドポイント所有者の AWS アカウント ID を識別します。

以降: 1.09

オプション: True

eventCategory

イベントカテゴリを表示します。イベントカテゴリは、 管理イベントまたは Insights イベントをフィルタリングするためのLookupEvents呼び出しに使用されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • Insights イベントの場合、値は Insight です。

  • ネットワークアクティビティイベントの場合、値は ですNetworkActivity

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。これは、ネットワークトラフィックの増加、接続の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE – イベントを にログ記録し、イベント CloudTrail を にログ記録できなかったサービス CloudTrail。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

イベントが AWS Management Console セッションから発生したかどうかを示します。このフィールドは、値が でない限り表示されません。つまりtrue、API呼び出しの実行に使用されたクライアントはプロキシまたは外部クライアントでした。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

サービスAPIコールで使用されるクライアント提供のホスト名の Transport Layer Security (TLS) バージョン、暗号スイート、および完全修飾ドメイン名 (FQDN) に関する情報を表示します。これは、通常、サービスエンドポイントFQDNの です。 CloudTrail は、予想される情報が欠落しているか空である場合、部分的なTLS詳細を記録します。例えば、TLSバージョンと暗号スイートが存在するが、HOSTヘッダーが空の場合、使用可能なTLS詳細が CloudTrail イベントに記録されます。

  • tlsVersion - リクエストTLSのバージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービスAPIコールで使用されるクライアント提供のホスト名。通常はサービスエンドポイントFQDNの です。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API 通話が AWS のサービス ユーザーに代わって によって行われた場合、 tlsDetails フィールドは存在しません。userIdentity 要素の invokedByフィールドは、 AWS のサービス API呼び出しを行った を識別します。

  • sessionCredentialFromConsole が true の値で存在する場合、 tlsDetailsは、外部クライアントがAPI呼び出しに使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

Insights イベントのレコードフィールド

以下は、Insights イベントのJSON構造に表示される属性で、管理イベントまたはデータイベントの属性とは異なるものです。

sharedEventId

sharedEventID for CloudTrail Insights イベントは、イベントの管理タイプとデータタイプの sharedEventID CloudTrail とは異なります。Insights イベントでは、 sharedEventID は CloudTrail Insights イベントを一意に識別するために Insights によってGUID生成される です。 sharedEventIDは、Insights イベントの開始と終了の間で一般的であり、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計、API名前、イベントが Insights イベントの開始または終了かどうかなど、Insights イベントの基盤となるトリガーに関する情報を表示します。insightDetails ブロックの内容の詳細については、「CloudTrail Insights insightDetails要素」を参照してください。

使用可能: 1.07 以降

オプション: False

sharedEventID の例

以下は、 が同じアクションに対して が 2 つのイベントを CloudTrail で提供する方法を説明する例です。

  1. Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこのKMSキーの所有者です。

  2. Bob には AWS アカウント (222222222222) があります。Alice はKMS、キーを使用するアクセス許可を Bob に付与します。

  3. 各アカウントにはトレイルおよび別のバケットがあります。

  4. Bob は KMSキーを使用して Encrypt を呼び出しますAPI。

  5. CloudTrail は 2 つの個別のイベントを送信します。

    • 1 つのイベントが Bob に送信されます。イベントは、キーを使用したことを示しますKMS。

    • 1 つのイベントが Alice に送信されます。イベントは、Bob がKMSキーを使用したことを示しています。

    • イベントと同じ sharedEventID ですが、eventID および recipientAccountID は一意です。

ログに sharedEventID フィールドがどのように表示されるか

IDs CloudTrail Insights の共有イベント

sharedEventID for CloudTrail Insights イベントは、 CloudTrail イベントの管理タイプとデータタイプの sharedEventID とは異なります。Insights イベントでは、 sharedEventID は CloudTrail Insights イベントの開始ペアと終了ペアを一意に識別するために Insights によってGUID生成される です。 sharedEventIDは、Insights の開始イベントと終了イベントの間で一般的であり、両方のイベント間の相関関係を作成して異常なアクティビティを一意に識別するのに役立ちます。

sharedEventID は、全体的なインサイトイベント ID と考えることができます。