CloudTrail レコードの内容 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。Falseオプションの値は、そのフィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

eventTime

リクエストが完了した日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API コールが行われたサービス API エンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行される CreateBucket API イベントは、Amazon S3 エンドポイント を実行している AWS ホストの時刻からタイムスタンプを取得しますs3.us-west-2.amazonaws.com。一般に、 AWS サービスは Network Time Protocol (NTP) を使用してシステムクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.11 です。

eventVersion の値は、major_version.minor_version の形式でメジャーおよびマイナーのバージョンです。例えば、eventVersion の値が 1.10 の場合には、1 がメジャーバージョンを示し、10 がマイナーバージョンを示します。

イベント構造に後方互換性のない変更が加えられた場合、CloudTrail により、メジャーバージョンが増分されます。これには、既に存在する JSON フィールドの削除や、フィールドのコンテンツの表現方法 (日付形式など) の変更が含まれます。イベント構造に新しいフィールドを追加する変更をした場合、CloudTrail がマイナーバージョンを増分します。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

CloudTrail により新しいイベントタイプが導入されたが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンには先頭のゼロはありません。major_version および minor_version を数値として解釈し、比較操作を実行できます。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを作成した IAM アイデンティティに関する情報。詳細については、「CloudTrail userIdentity 要素」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。以下に例を示します。

  • AWS CloudFormation は ですcloudformation.amazonaws.com

  • Amazon EC2 は ec2.amazonaws.com です。

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。例えば、Amazon CloudWatch の eventSource 値は monitoring.amazonaws.com です。

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

など、リクエスト AWS リージョン が行われた us-east-2。「CloudTrail がサポートされているリージョン」を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。のサービスの場合 AWS、DNS 名のみが表示されます。

注記

AWSからのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

サービス、 AWS AWS SDKs、 など AWS Management Console、リクエストが行われたエージェント AWS CLI。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。以下は値の例です。

  • lambda.amazonaws.com – リクエストは AWS Lambdaで行われました。

  • aws-sdk-java – リクエストは AWS SDK for Javaで行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Rubyで行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux に AWS CLI インストールされた で行われました。

注記

イベントの発生元の場合 AWS、CloudTrail が呼び出し AWS のサービス 元を知っている場合、このフィールドは呼び出し元のサービスのイベントソースです (例: ec2.amazonaws.com)。それ以外の場合、このフィールドは AWS Internal/# であり、# は内部目的に使用される数値です。

使用可能: 1.0 以降

オプション: True

errorCode

リクエストがエラーを返した場合 AWS のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、エラーコードは VpceAccessDenied です。

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認可エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、エラーコードとメッセージログの例を参照してください。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、errorMessage は常に次のメッセージになります: The request was denied due to a VPC endpoint policy。VPC エンドポイントポリシー違反におけるアクセス拒否イベントの詳細については、「IAM ユーザーガイド」の「アクセス拒否エラーメッセージの例」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、本ガイドの「Network activity events」を参照してください。

注記

一部の AWS サービスでは、イベントの最上位フィールドerrorMessageとして errorCodeと が提供されます。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、適切な AWS サービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、requestParametersコンテンツは省略されます。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクション (存在する場合) に対するレスポンス要素 (アクションの作成、更新、削除)。readOnly APIs、このフィールドは ですnull。アクションがレスポンス要素を返さない場合、このフィールドは null です。アクションのレスポンス要素については、該当する AWS のサービスの「API リファレンス」ドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、reponseElementsコンテンツは省略されます。

responseElements 値は、リクエストをトレースするのに役立ちます。
 で AWS サポート。x-amz-request-id および x-amz-id-2 のどちらにも、 サポートを使用してリクエストをトレースする際に役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。フィールドサイズが 28 KB を超えると、additionalEventDataコンテンツは省略されます。

のコンテンツは可変additionalEventDataです。例えば、AWS Management Console サインインイベントの場合、リクエストが多要素認証 (MFA) を使用してルートまたは IAM ユーザーによって行われたYes場合、 には の値を持つ MFAUsedフィールドを含めるadditionalEventDataことができます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.01 以降

オプション: True

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction - コンソールで API コールではないアクションが実行されました。

  • AwsConsoleSignIn – アカウントのユーザー (root、IAM、フェデレーション、SAML、またはスイッチロール) が AWS Management Consoleにサインインしました。

  • AwsCloudTrailInsight – Insights イベントが有効になっている場合、CloudTrail は、リソースプロビジョニングのスパイクや AWS Identity and Access Management (IAM) アクションのバーストなど、異常な運用アクティビティ CloudTrail を検出すると、Insights イベントを生成します。

    AwsCloudTrailInsight イベントは次のフィールドを使用しません:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

  • AwsVpceEvents – CloudTrail ネットワークアクティビティイベント (プレビュー) により、VPC エンドポイントの所有者は、プライベート VPC から への VPC エンドポイントを使用して行われた AWS API コールを記録できます AWS のサービス。ネットワークアクティビティイベントを記録するには、VPC エンドポイント所有者がイベントソースでネットワークアクティビティイベントを有効にする必要があります。

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。eventVersion が 1.06 以上で、イベントタイプが次のいずれかである場合、managementEvent がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドを使用したログの例については、「IAM ユーザーガイドAWS STS 」のCloudTrail ログファイルの API イベント」または「 AWS Key Management Service デベロッパーガイド」のAWS KMS 「API コールのログ記録」を参照してください。

使用可能: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity 要素 accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、AWS KMS key とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 APIが呼び出された場合、accountId の値と recipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、KMS キーを所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS のサービス のイベント」を参照してください。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、serviceEventDetailsコンテンツは省略されます。

使用可能: 1.05 以降

オプション: True

sharedEventID

CloudTrail によって生成された GUID は、異なる AWS アカウントに送信されるのと同じ AWS アクションから CloudTrail イベントを一意に識別します。

例えば、アカウントが別のアカウントに属する AWS KMS key を使用する場合、KMS キーを使用したアカウントと KMS キーを所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションで配信される各 CloudTrail イベントは同じ を共有しますがsharedEventID、一意の eventIDと もありますrecipientAccountID

詳細については、「sharedEventID の例」を参照してください。

注記

sharedEventID フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon EC2 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04 以降

オプション: True

vpcEndpointAccountId

リクエストがトラバースされた対応するエンドポイントの VPC エンドポイント所有者の AWS アカウント ID を識別します。

該当バージョン: 1.09

オプション: True

eventCategory

イベントカテゴリを表示します。イベントカテゴリは、管理イベントまたは Insights イベントをフィルタリングするための LookupEvents 呼び出しに使用されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • Insights イベントの場合、値は Insight です。

  • ネットワークアクティビティイベントの場合、値は NetworkActivity です。

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続性の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE - CloudTrail にイベントを記録するサービスが停止し、CloudTrail にイベントを記録できませんでした。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

イベントが AWS Management Console セッションから発生したかどうかを示します。このフィールドは、値が true でなければ表示されません。つまり、API コールを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでなければ表示されません。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

Transport Layer Security (TLS) バージョン、暗号スイート、およびサービス API コールで使用されるクライアント提供のホスト名の完全修飾ドメイン名 (FQDN) (通常はサービスエンドポイントの FQDN) に関する情報を表示します。CloudTrail は、予想される情報が見つからないか空の場合、TLS の詳細の一部を記録します。例えば、TLS のバージョンと暗号スイートが存在するが、HOST ヘッダーが空の場合、利用可能な TLS の詳細が CloudTrail イベントに記録されます。

  • tlsVersion - リクエストの TLS バージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービス API コールで使用されるクライアント提供のホスト名 (通常はサービスエンドポイントの FQDN)。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API コールが AWS のサービス ユーザーに代わって によって実行された場合、 tlsDetailsフィールドは存在しません。userIdentity 要素内の invokedBy フィールドは、API 呼び出しを行った AWS のサービス を識別します。

  • sessionCredentialFromConsole が true の値を持つ場合、tlsDetails は、API 呼び出しを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

Insights イベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

CloudTrail イベントの管理タイプおよびデータタイプの sharedEventID とは異なるCloudTrail Insights イベントの sharedEventID。Insights イベントでは、sharedEventID は Insights イベントを一意に識別するために CloudTrail Insights によって生成される GUID です。sharedEventID は、開始イベントと終了イベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07 以降

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計情報、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を示します。insightDetails ブロックの内容の詳細については、「CloudTrail Insights insightDetails 要素」を参照してください。

使用可能: 1.07 以降

オプション: False

sharedEventID の例

以下の例では、CloudTrail が同じアクションに対して 2 つのイベントをどのように提供するかを説明します。

  1. Alice には AWS アカウント (111111111111) があり、 を作成します AWS KMS key。彼女はこの KMS キーの所有者です。

  2. Bob には AWS アカウント (222222222222) があります。Alice は、Bob に KMS キーの使用を許可します。

  3. 各アカウントにはトレイルおよび別のバケットがあります。

  4. Bob は、KMS キーを使用して Encrypt API を呼び出します。

  5. CloudTrail は、2 つの別々のイベントを送信します。

    • 1 つのイベントが Bob に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • 1 つのイベントが Alice に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • イベントと同じ sharedEventID ですが、eventID および recipientAccountID は一意です。

sharedEventID フィールドがログに表示される方法

CloudTrail Insights での共有イベント ID

CloudTrail イベントの管理タイプおよびデータタイプの sharedEventID とは異なるCloudTrail Insights イベントの sharedEventID。Insights イベントでは、sharedEventID はインサイトイベントの開始および終了ペアを一意に識別するために CloudTrail Insights によって生成される GUID です。sharedEventID は、開始インサイトイベントと終了インサイトイベントの間で共通しており、両方のイベントの相関関係を作成して異常なアクティビティを一意に識別するのに役立ちます。

sharedEventID は、全体的なインサイトイベント ID と考えることができます。