コンソールにサインインする
AWS CloudTrail
ユーザーガイド (Version 1.0)

AWS ドキュメント » AWS CloudTrail » ユーザーガイド » CloudTrail ログイベントのリファレンス » CloudTrail レコードの内容

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。

eventTime

リクエストが作成された日付と時刻、協定世界時 (UTC)。

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.05 です。

userIdentity

リクエストを作成したユーザーに関する情報。詳細については、「CloudTrail userIdentity エレメント」を参照してください。

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。以下に例を示します。

  • AWS CloudFormation は、cloudformation.amazonaws.com となります。

  • Amazon EC2 は、ec2.amazonaws.com となります。

  • Amazon Simple Workflow Service は、swf.amazonaws.com となります。

この規則にはいくつかの例外があります。たとえば、Amazon CloudWatch の eventSourcemonitoring.amazonaws.com となります。

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

awsRegion

リクエストが行われた AWS リージョン。たとえば、us-east-2 など。「CloudTrail がサポートされているリージョン」を参照してください。

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

userAgent

AWS マネジメントコンソール、AWS のサービス、AWS SDK または AWS CLI など、リクエストが行われたエージェント。以下は値の例です。

  • signin.amazonaws.com – リクエストは、AWS マネジメントコンソール で IAM ユーザーにより行われました。

  • console.amazonaws.com – リクエストは、AWS マネジメントコンソールでルートユーザーにより行われました。

  • lambda.amazonaws.com – リクエストは AWS Lambda で行われました。

  • aws-sdk-java – リクエストは AWS SDK for Java で行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Ruby で行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS からのイベントの場合、このフィールドは通常、aws-internal/# で、# は内部で使用される数字です。

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。

注記

一部の AWS のサービスは、errorCode および errorMessage をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。

このフィールドのサポートは、eventVersion 1.00 から開始されます。

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスは証跡に関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleSignin – AWS マネジメントコンソール にサインインしているアカウント (ルート、IAM、フェデレーション、SAML、または SwitchRole) のユーザー。

このフィールドのサポートは、eventVersion 1.02 から開始されます。

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

このフィールドのサポートは、eventVersion 1.02 から開始されます。

managementEvent

イベントが管理イベントかどうかを識別するブール値。

このフィールドのサポートは、eventVersion 1.05 から開始されます。

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドのあるログの例については、IAM ユーザーガイド の「CloudTrail ログファイル内の AWS STS API イベント」、または、AWS Key Management Service Developer Guide の「AWS KMS API コールのログ記録」を参照してください。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity エレメントaccountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountIdrecipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。

このフィールドのサポートは、eventVersion 1.02 から開始されます。

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS サービスイベント」を参照してください。

このフィールドのサポートは、eventVersion 1.05 から開始されます。

sharedEventID

異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。

たとえば、アカウントが別のアカウントに属するカスタマーマスターキー (CMK) とも呼ばれる KMS キーを使用する場合、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じ sharedEventID を共有しますが、一意の eventID および recipientAccountID もあります。

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

このフィールドのサポートは、eventVersion 1.03 から開始されます。

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

このフィールドのサポートは、eventVersion 1.04 から開始されます。