CloudTrail レコードの内容 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。Falseオプションの値は、そのフィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

CloudTrail フィールドの内容が最大フィールドサイズを超える場合、 はフィールドを切り捨てます。フィールドが切り捨てられると、omittedtrue の値で示されます。

eventTime

リクエストが完了した日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API コールが行われたサービス API エンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行される CreateBucket API イベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得しますs3.us-west-2.amazonaws.com。一般に、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.10 です。

eventVersion の値は、major_version.minor_version の形式でメジャーおよびマイナーのバージョンです。例えば、eventVersion の値が 1.09 の場合には、1 がメジャーバージョンを示し、09 がマイナーバージョンを示します。

CloudTrail 下位互換性のないイベント構造が変更されると、 はメジャーバージョンを増やします。これには、既に存在する JSON フィールドの削除、またはフィールドの内容の表現方法 (日付形式など) の変更が含まれます。変更によってイベント構造に新しいフィールドが追加されると、 はマイナーバージョンを CloudTrail インクリメントします。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

が新しいイベントタイプ CloudTrail を導入しても、イベントの構造が変更されない場合、イベントバージョンは変更されません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションに期待されるフィールドが存在することを確認するには、マイナーバージョンで greater-than-or-equal対 の比較を実行することもお勧めします。マイナーバージョンには先頭のゼロはありません。major_version および minor_version を数値として解釈し、比較操作を実行できます。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを作成した IAM アイデンティティに関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。例:

  • AWS CloudFormation は ですcloudformation.amazonaws.com

  • Amazon EC2 は ec2.amazonaws.com です。

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。例えば、Amazon eventSourceの CloudWatch は ですmonitoring.amazonaws.com

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

など、リクエスト AWS リージョン が行われた us-east-2CloudTrail サポートされているリージョン を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS 名のみが表示されます。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

、 AWS サービス、 AWS SDKs AWS Management Console、 など、リクエストが行われたエージェント AWS CLI。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • lambda.amazonaws.com – リクエストは AWS Lambdaで行われました。

  • aws-sdk-java – リクエストは AWS SDK for Javaで行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Rubyで行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux に AWS CLI インストールされた で行われました。

注記

によって発生したイベントの場合 AWS、 が呼び出し AWS のサービス を行った を CloudTrail 知っている場合、このフィールドは呼び出し元のサービスのイベントソースです (例: ec2.amazonaws.com)。それ以外の場合、このフィールドは です。ここでAWS Internal/##は内部目的で使用される数値です。

使用可能: 1.0 以降

オプション: True

errorCode

リクエストが AWS エラーを返した場合のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、承認失敗のメッセージが含まれます。 は、例外処理でサービスによって記録されたメッセージを CloudTrail キャプチャします。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

注記

一部の AWS サービスでは、イベントの最上位フィールドerrorMessageとして errorCodeおよび が提供されます。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: False

responseElements

変更 (アクションの作成、更新、削除) を行うアクションのレスポンス要素がある場合。アクションが 
はレスポンス要素を返しません。このフィールドは ですnull。の場合
 アクションの状態は変更されません (オブジェクトの取得または一覧表示のリクエストなど)。
 この要素は省略されます。アクションのレスポンス要素は API リファレンスに記載されています。
 適切な のドキュメント AWS のサービス。このフィールドの最大サイズ
 100 KB 。この制限を超えるコンテンツは切り捨てられます。

responseElements 値は、リクエストをトレースするのに役立ちます。
 を で AWS Support使用します。x-amz-request-id と の両方 x-amz-id-2
 には、 を使用してリクエストを追跡するのに役立つ情報が含まれています AWS Support。これらの値は
 リクエストに対するレスポンスでサービスが返すものと同じです。
 はイベントを開始するため、イベントを と照合するために使用できます。
 リクエスト。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.01 以降

オプション: True

eventID

各イベントを一意に識別 CloudTrail するために によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction - コンソールで API コールではないアクションが実行されました。

  • AwsConsoleSignIn – アカウントにサインインしたユーザー (ルート、IAM、フェデレーティッド、SAML、または SwitchRole) AWS Management Console。

  • AwsCloudTrailInsight – Insights イベントが有効になっている場合、 はリソースプロビジョニングのスパイクや AWS Identity and Access Management (IAM) アクションのバーストなど、異常な運用アクティビティ CloudTrail を検出すると Insights イベント CloudTrail を生成します。

    AwsCloudTrailInsight イベントは次のフィールドを使用しません:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドを使用したログの例については、「IAM ユーザーガイドAWS STS 」の CloudTrail 「ログファイルの API イベント」または「 AWS Key Management Service デベロッパーガイド」のAWS KMS 「API コールのログ記録」を参照してください。

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity 要素 accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、AWS KMS key とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 APIが呼び出された場合、accountId の値と recipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、KMS キーを所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳しくは、AWS のサービス イベント を参照してください。このフィールドの最大サイズは 100 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.05 以降

オプション: True

sharedEventID

異なる AWS アカウントに送信されるのと同じ AWS アクションからの CloudTrail イベント CloudTrail を一意に識別するために によって生成される GUID。

例えば、アカウントAWS KMS keyが別のアカウントに属する を使用する場合、KMS キーを使用したアカウントと KMS キーを所有するアカウントは、同じアクションに対して個別の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは同じ を共有しますがsharedEventID、一意の eventIDと もありますrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、 CloudTrail イベントが複数のアカウントに配信される場合にのみ表示されます。発信者と所有者が同じ AWS アカウントである場合、 は 1 つのイベントのみ CloudTrail を送信し、 sharedEventIDフィールドは存在しません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04 以降

オプション: True

vpcEndpointAccountId

リクエストがトラバースされた対応するエンドポイントの VPC エンドポイント所有者の AWS アカウント ID を識別します。

以降: 1.09

オプション: True

eventCategory

イベントカテゴリを表示します。eventCategory は、管理イベントと Insights イベントのLookupEvents呼び出しに使用されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • Insights イベントの場合、値は Insight です。

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。これは、ネットワークトラフィックの増加、接続の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE – イベントを にログ記録し、 CloudTrail にイベントを記録できなかったサービス CloudTrail。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

AWS Management Console イベントがセッションから発生したかどうかを示します。このフィールドは、値が true でなければ表示されません。つまり、API コールを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでなければ表示されません。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

サービス API コールで使用されるクライアント提供のホスト名の Transport Layer Security (TLS) バージョン、暗号スイート、および完全修飾ドメイン名 (FQDN) に関する情報を表示します。これは通常、サービスエンドポイントの FQDN です。 CloudTrail は、予想される情報が欠落しているか空の場合、TLS の詳細の一部をログに記録します。例えば、TLS バージョンと暗号スイートが存在するが、 HOSTヘッダーが空の場合、使用可能な TLS の詳細はイベントに記録されます CloudTrail 。

  • tlsVersion - リクエストの TLS バージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービス API コールで使用されるクライアント提供のホスト名 (通常はサービスエンドポイントの FQDN)。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API コールが AWS のサービス ユーザーに代わって によって実行された場合、 tlsDetailsフィールドは存在しません。userIdentity 要素内の invokedBy フィールドは、API 呼び出しを行った AWS のサービス を識別します。

  • sessionCredentialFromConsole が true の値を持つ場合、tlsDetails は、API 呼び出しを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

Insights イベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

sharedEventID for CloudTrail Insights イベントは、イベントの管理タイプとデータ型sharedEventIDで CloudTrailとは異なります。Insights イベントでは、 sharedEventIDは CloudTrail Insights イベントを一意に識別するために Insights によって生成される GUID です。 sharedEventIDは、Insights の開始イベントと終了イベントの間で一般的であり、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。insightDetails ブロックの内容の詳細については、「CloudTrail insightDetailsインサイト要素」を参照してください。

使用可能: 1.07 以降

オプション: False

sharedEventID の例

以下は、 が同じアクションに対して 2 つのイベントを CloudTrail が配信する方法を説明する例です。

  1. Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこの KMS キーの所有者です。

  2. Bob には AWS アカウント (222222222222) があります。Alice は、Bob に KMS キーの使用を許可します。

  3. 各アカウントにはトレイルおよび別のバケットがあります。

  4. Bob は、KMS キーを使用して Encrypt API を呼び出します。

  5. CloudTrail は 2 つの異なるイベントを送信します。

    • 1 つのイベントが Bob に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • 1 つのイベントが Alice に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • イベントと同じ sharedEventID ですが、eventID および recipientAccountID は一意です。

sharedEventID フィールドがログに表示される方法

CloudTrail Insights IDs

sharedEventID for CloudTrail Insights イベントは、 CloudTrail イベントの管理タイプとデータ型sharedEventIDで とは異なります。Insights イベントでは、 sharedEventIDは CloudTrail Insights イベントの開始ペアと終了ペアを一意に識別するために Insights によって生成される GUID です。 sharedEventIDは、開始 Insights イベントと終了 Insights イベントの間で一般的であり、両方のイベント間の相関関係を作成して異常なアクティビティを一意に識別するのに役立ちます。

sharedEventID は、全体的なインサイトイベント ID と考えることができます。