CloudTrail レコードの内容 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。あんオプションFalseは、フィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例: 「」。responseElements。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

eventTime

リクエストが作成された日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API 呼び出しが行われたサービス API エンドポイントを提供するローカルホストから取得されます。たとえば、CreateBucket米国西部(オレゴン)リージョンで実行される API イベントは、Amazon S3 エンドポイントを実行する AWS ホスト上の時刻からタイムスタンプを取得します。s3.us-west-2.amazonaws.com。AWS のサービスでは、Network Time Protocol (NTP) を使用してシステムクロックを同期させます。

使用可能: 1.0

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.08 です。

-eventVersion値は、形式のメジャーバージョンとマイナーバージョンです。major_versionminor_version。たとえば、eventVersion1.07となる。ここで、1はメジャーバージョンで、07はマイナーバージョンです。

後方互換性のないイベント構造に変更を加えた場合、CloudTrail はメジャーバージョンは増分されます。これには、すでに存在する JSON フィールドの削除や、フィールドのコンテンツの表現方法 (日付形式など) の変更が含まれます。CloudTrail は、変更によってイベント構造に新しいフィールドが追加された場合、マイナーバージョンは増分されます。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用できるか、新しいイベントタイプでのみ新しい情報が利用できる場合です。イベント構造の新しいマイナーバージョンとの互換性を保つには、アプリケーションは新しいフィールドを無視することができます。

CloudTrail では、新しいイベントタイプが導入されたが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。

アプリケーションがイベント構造を解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンでは、それ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンには先頭のゼロはありません。あなたは両方を解釈することができますmajor_versionおよびminor_versionを数値として取得し、比較操作を実行します。

使用可能: 1.0

オプション: False

userIdentity

リクエストを作成したユーザーに関する情報。詳細については、「CloudTrail userIdentity エレメント」を参照してください。

使用可能: 1.0

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。次に例を示します。

  • AWS CloudFormation はcloudformation.amazonaws.com

  • Amazon EC2 はec2.amazonaws.com

  • Amazon Simple Workflow Serviceswf.amazonaws.com

この規則にはいくつかの例外があります。たとえば、eventSourceAmazon CloudWatch のオプションは、monitoring.amazonaws.com

使用可能: 1.0

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0

オプション: False

awsRegion

リクエストが行われた AWS リージョン。たとえば、us-east-2。「CloudTrail がサポートされているリージョン」を参照してください。

使用可能: 1.0

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

使用可能: 1.0

オプション: False

userAgent

AWS マネジメントコンソール、AWS のサービス、AWS SDK または AWS CLI など、リクエストが行われたエージェント。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • signin.amazonaws.com— リクエストは AWS マネジメントコンソールで IAM ユーザーにより行われました。

  • console.amazonaws.com — リクエストは AWS マネジメントコンソールで root ユーザーにより行われました。

  • lambda.amazonaws.com— リクエストは AWS Lambda で行われました。

  • aws-sdk-java— リクエストは AWS SDK for Java で行われました。

  • aws-sdk-ruby— リクエストは Ruby の AWS SDK で行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS によって発信されたイベントの場合、このフィールドは通常AWS Internal/#となる。ここで、#は、内部で使用される数字です。

使用可能: 1.0

オプション: False

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。このフィールドの例については、」エラーコードとメッセージログの例。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

注記

一部の AWS サービスでは、errorCodeおよびerrorMessageイベントの最上位のフィールドとして指定します。他の AWS のサービスでは、responseElements

使用可能: 1.0

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0

オプション: False

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

-responseElementsの値は、AWS Support でリクエストをトレースするのに役立ちます。両方x-amz-request-idおよびx-amz-id-2には、AWS Support でのリクエストの追跡に役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

このフィールドのサポートは、eventVersion 1.00 から開始されます。

使用可能: 1.0

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

使用可能: 1.01

オプション: False

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent– サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction— コンソールで API 呼び出しではないアクションが実行されました。

  • AwsConsoleSignIn— AWS マネジメントコンソールにサインインしているアカウント (ルート、IAM、フェデレーション、SAML、または SwitchRole) のユーザー。

使用可能: 1.02

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

たとえば、resourcesフィールドの詳細については、CloudTrail ログファイル内の AWS STS API イベント()IAM ユーザーガイドまたはAWS KMS API コールの記録()AWS Key Management Service 開発者ガイド

使用可能: 1.01

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity エレメントaccountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountIdrecipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS サービスイベント」を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.05 以降

オプション: True

sharedEventID

異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。

たとえば、アカウントが KMS キー (カスタマーマスターキー (CMK)では、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じsharedEventIDだけでなく、一意のeventIDおよびrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

-sharedEventIDフィールドは CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventIDフィールドはありません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04

オプション:オプション True

eventCategory

LookupEvents コールで使用されるイベントカテゴリが表示されます。

  • 管理イベントの場合、の値はです。Management

  • データイベントの場合、の値はです。Data

  • インサイトイベントの場合、の値はです。Insight

使用可能: 1.07 以降

オプション:オプション False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、追加フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容には以下のものがある。

  • reason-イベントまたはその内容の一部が欠落していた理由。値には以下のいずれかを指定できます。

    • DELIVERY_DELAY— イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続性の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA— イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE— CloudTrail にイベントを記録するサービスが停止し、CloudTrail にイベントを記録できませんでした。これは非常にまれです。

  • updatedFields-補遺によって更新されるイベントレコードフィールド。これは、理由がUPDATED_DATA

  • originalRequestID-リクエストの元の一意の ID。これは、理由がUPDATED_DATA

  • originalEventID: 元のイベント ID。これは、理由がUPDATED_DATA

使用可能: 1.08

オプション:オプション True

sessionCredentialFromConsole

イベントが AWS マネジメントコンソールセッションから発生したかどうかを示します。このフィールドは、値がtrueです。つまり、API 呼び出しを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでした。プロキシクライアントが使用された場合、tlsDetailsイベントフィールドは表示されません。

使用可能: 1.08

オプション:オプション True

edgeDeviceDetails

要求のターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outpostsデバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08

オプション:オプション True

tlsDetails

トランスポート層セキュリティ (TLS) バージョン、暗号スイート、およびサービス API 呼び出しのクライアント提供ホスト名のFQDN に関する情報を表示します。内容には以下のものがある。CloudTrail は、予想される情報が見つからないか空の場合、TLS の詳細の一部を記録します。たとえば、TLS のバージョンと暗号スイートが存在するが、HOSTヘッダーが空の場合、利用可能な TLS の詳細が CloudTrail イベントに記録されます。

もしsessionCredentialFromConsoleの値を持つtrue,tlsDetailsは、API コールを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。

  • tlsVersion-リクエストの TLS バージョン。

  • cipherSuite-要求の暗号スイート(使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader-要求を行ったクライアントの FQDN。

使用可能: 1.08

オプション:オプション True

インサイトイベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

AsharedEventIDは、CloudTrail インサイトイベントのsharedEventIDCloudTrail イベントの管理タイプおよびデータタイプについて。インサイトイベントでは、sharedEventIDは、CloudTrail インサイトによって生成される GUID で、インサイトイベントを一意に識別します。sharedEventIDは、開始イベントと終了イベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション:オプション False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。内容の詳細については、insightDetailsブロックの詳細については、CloudTrail インサイトinsightDetailselement

使用可能: 1.07 以降

オプション:オプション False