CloudTrail レコードの内容 - AWS CloudTrail

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

CloudTrail レコードの内容

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。オプション値が False の場合、フィールドは常に存在するか、そのプレゼンスがサービス、API、またはイベントタイプに依存しないことを意味します。たとえば、 responseElements は、変更を行うアクション (作成、更新、または削除のアクション) のイベントにあります。

eventTime

リクエストが作成された日付と時刻、協定世界時 (UTC)。

使用可能: 1.0

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.08 です。

eventVersion値は、 形式のメジャーバージョンとマイナーバージョンです。major_version.minor_version。 たとえば、 eventVersionという値を持つことができます。ここで、 1.07 1はメジャーバージョン、 07はマイナーバージョンです。

CloudTrailは、後方互換性のないイベント構造に変更が加えられると、メジャーバージョンをインクリメントします。これには、既存の JSON フィールドの削除や、フィールドの内容 (日付形式など) の表示方法の変更が含まれます。変更がイベント構造に新しいフィールドを追加した場合、 はマイナーバージョンをCloudTrail増分します。これは、一部またはすべての既存のイベントに対して新しい情報が利用できる場合、あるいは新しいイベントタイプに対してのみ新しい情報が利用できる場合に発生する可能性があります。アプリケーションは、イベント構造の新しいマイナーバージョンとの互換性を維持するために、新しいフィールドを無視できます。

が新しいイベントタイプCloudTrailを導入しているが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。

アプリケーションがイベント構造を解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を実行することをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンに先頭のゼロはありません。この両方を major_version および minor_version を数字で指定し、比較演算を実行します。

使用可能: 1.0

オプション: False

userIdentity

リクエストを作成したユーザーに関する情報。詳細については、CloudTrail userIdentity 要素 を参照してください。

使用可能: 1.0

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に を付加.amazonaws.comしたものです。 例:

  • AWS CloudFormation は cloudformation.amazonaws.com

  • Amazon EC2 は ec2.amazonaws.com

  • Amazon Simple Workflow Service は swf.amazonaws.com

この規則にはいくつかの例外があります。たとえば、 eventSourceの Amazon CloudWatchは、 となりますmonitoring.amazonaws.com

使用可能: 1.0

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0

オプション: False

awsRegion

リクエストが行われた AWS リージョン。たとえば、 などus-east-2。 「」を参照してくださいCloudTrail がサポートされているリージョン

使用可能: 1.0

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

使用可能: 1.0

オプション: False

userAgent

、 AWS マネジメントコンソールのサービス、 、 など、リクエストが行われたエージェントAWS。AWSSDKsAWS CLI以下は値の例です。

  • signin.amazonaws.com – リクエストは、AWS マネジメントコンソール で IAM ユーザーにより行われました。

  • console.amazonaws.com – リクエストは、AWS マネジメントコンソールでルートユーザーにより行われました。

  • lambda.amazonaws.com – リクエストは AWS Lambda で行われました。

  • aws-sdk-java – リクエストは AWS SDK for Java で行われました。

  • aws-sdk-ruby – リクエストは AWS SDK for Ruby で行われました。

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS からのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0

オプション: False

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。

使用可能: 1.0

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。

注記

一部の AWS のサービスは、errorCode および errorMessage をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

使用可能: 1.0

オプション: False

responseElements

変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。

このresponseElements値は、 でリクエストをトレースするのに役立ちますAWS サポート。x-amz-request-idx-amz-id-2には、 を使用してリクエストを追跡するのに役立つ情報が含まれていますAWS サポート。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。

このフィールドのサポートは、eventVersion 1.00 から開始されます。

使用可能: 1.0

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。

このフィールドのサポートは、eventVersion 1.01 から開始されます。

使用可能: 1.01

オプション: False

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

使用可能: 1.01

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスは証跡に関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleSignin–にサインインしているアカウント (ルート、 IAM 、フェデレーション、SAML、または SwitchRole ) のユーザーAWS マネジメントコンソール。

使用可能: 1.02

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

使用可能: 1.01

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。managementEventは、1.06 以上の場合イベントレコードに表示され、イベントタイプは次のいずれかになります。eventVersion

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

使用可能: 1.01

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソースARNs

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドのあるログの例については、『AWS STSCloudTrail』の「 ログファイル内の IAM ユーザーガイド API イベント」、または、『AWS KMS』の「AWS Key Management Service Developer Guide API 呼び出しのログ記録」を参照してください。

使用可能: 1.01

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。は と異なる場合がありますrecipientAccountIDCloudTrail userIdentity 要素accountId これは、クロスアカウントリソースアクセスで発生する可能性があります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountIdrecipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、AWS サービスイベント を参照してください。

使用可能: 1.05

オプション: True

sharedEventID

異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。

たとえば、アカウントが別のアカウントに属するカスタマーマスターキー (CMK) とも呼ばれる KMS キーを使用する場合、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じ sharedEventID を共有しますが、一意の eventID および recipientAccountID もあります。

詳細については、sharedEventID例 を参照してください。

注記

sharedEventID フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

使用可能: 1.03

オプション: True

vpcEndpointId

VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

使用可能: 1.04

オプション: True

eventCategory

LookupEvents コールで使用されるイベントカテゴリが表示されます。

  • 管理イベントの場合、値は ですmanagement

  • データイベントの場合、値は ですdata

  • インサイトイベントの場合、値は ですinsight

使用可能: 1.07

オプション: False

addendum

イベント配信が遅延した場合、またはイベントがログ記録された後に既存のイベントに関する追加情報が利用可能になった場合、追加フィールドにはイベントが遅延した理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、追加フィールドには不足している情報と不足していた理由が含まれています。コンテンツには以下が含まれます。

  • reason- イベントまたはそのコンテンツの一部が欠落していた理由。以下のいずれかを指定できます。

    • DELIVERY_DELAY– イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続の問題、またはサービスの問題が原因である可能性があります。CloudTrail

    • UPDATED_DATA– イベントレコードのフィールドがないか、正しくない値があります。

    • SERVICE_OUTAGE– 停止CloudTrailした にイベントを記録し、 にイベントを記録できなかったサービスCloudTrail。これは非常にまれです。

  • updatedFields- 付録によって更新されたイベントレコードフィールド。これは、理由が である場合にのみ提供されますUPDATED_DATA

  • originalRequestID- リクエストの元の一意の ID。これは、理由が である場合にのみ提供されますUPDATED_DATA

  • originalEventID- 元のイベント ID。これは、理由が である場合にのみ提供されますUPDATED_DATA

使用可能: 1.08

オプション: True

sessionCredentialFromConsole

AWS マネジメントコンソールイベントをセッションから発信したかどうかを示します。このフィールドは、値が true でない限り表示されません。この値は、API コールを行うために使用されたクライアントがプロキシまたは外部クライアントであることを意味します。プロキシクライアントが使用された場合、tlsDetailsイベントフィールドは表示されません。

使用可能: 1.08

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outpostsデバイスイベントにはこのフィールドが含まれています。

使用可能: 1.08

オプション: True

tlsDetails

Transport Layer Security (TLS) バージョン、暗号スイート、サービス API コールのクライアント提供ホスト名の FQDN に関する情報を表示します。コンテンツには以下が含まれます。ただし、想定された情報が見つからないか空の場合、 は TLS の一部の詳細を記録します。CloudTrailたとえば、TLS バージョンと暗号スイートが存在しているが、HOSTヘッダーが空の場合、使用可能な TLS の詳細はCloudTrailイベントに記録されます。

sessionCredentialFromConsoleの値が true で存在する場合、 tlsDetailsは外部クライアントが API コールを行うために使用された場合にのみ、イベントレコードに存在します。

  • tlsVersion- リクエストの TLS バージョン。

  • cipherSuite- リクエストの暗号スイート (使用するセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader- リクエストを行ったクライアントの FQDN。

使用可能: 1.08

オプション: True

インサイトイベントのレコードフィールド

インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。

sharedEventId

CloudTrail Insights イベントの sharedEventID は、CloudTrail イベントの管理タイプおよびデータタイプの sharedEventID とは異なります。Insights eventsでは、 はインサイトイベントを一意sharedEventIDに識別するために によって生成される GUID です。CloudTrail InsightssharedEventIDは、開始と終了のインサイトイベントに共通し、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID は、全体的なインサイトイベント ID と考えることができます。

使用可能: 1.07

オプション: False

insightDetails

インサイトイベントのみ。イベントソース、ユーザーエージェント、統計、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を表示します。insightDetailsブロックの内容の詳細については、「」を参照してくださいCloudTrailInsights insightDetails要素

使用可能: 1.07

オプション: False