「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
CloudTrail レコードの内容
レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。オプション値が False の場合、フィールドは常に存在するか、そのプレゼンスがサービス、API、またはイベントタイプに依存しないことを意味します。たとえば、 responseElements
は、変更を行うアクション (作成、更新、または削除のアクション) のイベントにあります。
eventTime
-
リクエストが作成された日付と時刻、協定世界時 (UTC)。
使用可能: 1.0
オプション: False
eventVersion
-
ログイベント形式のバージョン。現在のバージョンは 1.08 です。
eventVersion
値は、 形式のメジャーバージョンとマイナーバージョンです。major_version
.minor_version
。 たとえば、eventVersion
という値を持つことができます。ここで、1.07
1
はメジャーバージョン、07
はマイナーバージョンです。CloudTrailは、後方互換性のないイベント構造に変更が加えられると、メジャーバージョンをインクリメントします。これには、既存の JSON フィールドの削除や、フィールドの内容 (日付形式など) の表示方法の変更が含まれます。変更がイベント構造に新しいフィールドを追加した場合、 はマイナーバージョンをCloudTrail増分します。これは、一部またはすべての既存のイベントに対して新しい情報が利用できる場合、あるいは新しいイベントタイプに対してのみ新しい情報が利用できる場合に発生する可能性があります。アプリケーションは、イベント構造の新しいマイナーバージョンとの互換性を維持するために、新しいフィールドを無視できます。
が新しいイベントタイプCloudTrailを導入しているが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。
アプリケーションがイベント構造を解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を実行することをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンに先頭のゼロはありません。この両方を
major_version
およびminor_version
を数字で指定し、比較演算を実行します。使用可能: 1.0
オプション: False
userIdentity
-
リクエストを作成したユーザーに関する情報。詳細については、CloudTrail userIdentity 要素 を参照してください。
使用可能: 1.0
オプション: False
eventSource
-
リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に を付加
.amazonaws.com
したものです。 例:-
AWS CloudFormation は
cloudformation.amazonaws.com
。 -
Amazon EC2 は
ec2.amazonaws.com
。 -
Amazon Simple Workflow Service は
swf.amazonaws.com
。
この規則にはいくつかの例外があります。たとえば、
eventSource
の Amazon CloudWatchは、 となりますmonitoring.amazonaws.com
。使用可能: 1.0
オプション: False
-
eventName
-
リクエストされたアクション。そのサービスの API アクションの 1 つです。
使用可能: 1.0
オプション: False
awsRegion
-
リクエストが行われた AWS リージョン。たとえば、 など
us-east-2
。 「」を参照してくださいCloudTrail がサポートされているリージョン。使用可能: 1.0
オプション: False
sourceIPAddress
-
リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。
使用可能: 1.0
オプション: False
userAgent
-
、 AWS マネジメントコンソールのサービス、 、 など、リクエストが行われたエージェントAWS。AWSSDKsAWS CLI以下は値の例です。
-
signin.amazonaws.com
– リクエストは、AWS マネジメントコンソール で IAM ユーザーにより行われました。 -
console.amazonaws.com
– リクエストは、AWS マネジメントコンソールでルートユーザーにより行われました。 -
lambda.amazonaws.com
– リクエストは AWS Lambda で行われました。 -
aws-sdk-java
– リクエストは AWS SDK for Java で行われました。 -
aws-sdk-ruby
– リクエストは AWS SDK for Ruby で行われました。 -
aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5
– リクエストは Linux にインストールされた AWS CLI で行われました。
注記 AWS からのイベントの場合、このフィールドは通常
AWS Internal/
で、#
は内部で使用される数字です。#
使用可能: 1.0
オプション: False
-
errorCode
-
リクエストがエラーを返す場合、AWS のサービスエラー。
使用可能: 1.0
オプション: True
errorMessage
-
リクエストがエラーを返す場合、エラーの説明。このメッセージには、認証エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、「エラーコードとメッセージログの例」を参照してください。
注記 一部の AWS のサービスは、
errorCode
およびerrorMessage
をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements
の一部としてエラー情報を提供します。使用可能: 1.0
オプション: True
requestParameters
-
リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。
使用可能: 1.0
オプション: False
responseElements
-
変更を行うアクションのレスポンスの要素 (アクションの作成、更新、削除)。アクションの状態が変わらない場合 (例: オブジェクトの取得やリストのリクエスト)、この要素は省略されます。これらのアクションは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。
この
responseElements
値は、 でリクエストをトレースするのに役立ちますAWS サポート。x-amz-request-id
とx-amz-id-2
には、 を使用してリクエストを追跡するのに役立つ情報が含まれていますAWS サポート。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。使用可能: 1.0
オプション: False
-
additionalEventData
-
リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。
このフィールドのサポートは、
eventVersion
1.00
から開始されます。使用可能: 1.0
オプション: True
requestID
-
リクエストを識別する値。呼び出されているサービスがこの値を生成します。
このフィールドのサポートは、
eventVersion
1.01
から開始されます。使用可能: 1.01
オプション: False
eventID
-
各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。
使用可能: 1.01
オプション: False
eventType
-
イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。
-
AwsApiCall
– API が呼び出されました。 -
AwsServiceEvent
– サービスは証跡に関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。 -
AwsConsoleSignin
–にサインインしているアカウント (ルート、 IAM 、フェデレーション、SAML、または SwitchRole ) のユーザーAWS マネジメントコンソール。
使用可能: 1.02
オプション: False
-
apiVersion
-
AwsApiCall
eventType
値に関連付けられた API バージョンを識別します。使用可能: 1.01
オプション: True
managementEvent
-
イベントが管理イベントかどうかを識別するブール値。
managementEvent
は、1.06 以上の場合イベントレコードに表示され、イベントタイプは次のいずれかになります。eventVersion
-
AwsApiCall
-
AwsConsoleAction
-
AwsConsoleSignIn
-
AwsServiceEvent
使用可能: 1.06
オプション: True
-
-
readOnly
-
この操作が、読み取り専用オペレーションであるかどうかを識別します。これには、次のいずれかの値を指定できます。
-
true
– オペレーションは読み取り専用です (例:DescribeTrails
)。 -
false
– オペレーションは書き込み専用です (例:DeleteTrail
)。
使用可能: 1.01
オプション: True
-
-
resources
-
イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。
-
リソースARNs
-
リソース所有者のアカウント ID
-
以下の形式でのリソースタイプ識別子 :
AWS::
aws-service-name
::data-type-name
たとえば、
AssumeRole
イベントが記録されると、resources
フィールドは次のようになります。-
ARN:
arn:aws:iam::123456789012:role/
myRole
-
アカウント ID:
123456789012
-
リソースタイプ識別子 :
AWS::
IAM
::Role
resources
フィールドのあるログの例については、『AWS STSCloudTrail』の「 ログファイル内の IAM ユーザーガイド API イベント」、または、『AWS KMS』の「AWS Key Management Service Developer Guide API 呼び出しのログ記録」を参照してください。使用可能: 1.01
オプション: True
-
recipientAccountId
-
このイベントを受信したアカウント ID を表します。は と異なる場合があります
recipientAccountID
CloudTrail userIdentity 要素。accountId
これは、クロスアカウントリソースアクセスで発生する可能性があります。たとえば、カスタマーマスターキー (CMK) とも呼ばれる KMS キーが別のアカウントで使用されて、暗号化 API が呼び出された場合、accountId
とrecipientAccountID
の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、CMK を所有するアカウントに配信されるイベントでの値は異なります。使用可能: 1.02
オプション: True
serviceEventDetails
-
イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、AWS サービスイベント を参照してください。
使用可能: 1.05
オプション: True
sharedEventID
-
異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。
たとえば、アカウントが別のアカウントに属するカスタマーマスターキー (CMK) とも呼ばれる KMS キーを使用する場合、CMK を使用したアカウントと CMK を所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じ
sharedEventID
を共有しますが、一意のeventID
およびrecipientAccountID
もあります。詳細については、sharedEventID例 を参照してください。
注記 sharedEventID
フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID
フィールドはありません。使用可能: 1.03
オプション: True
-
vpcEndpointId
-
VPC から Amazon S3 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。
使用可能: 1.04
オプション: True
eventCategory
-
LookupEvents
コールで使用されるイベントカテゴリが表示されます。-
管理イベントの場合、値は です
management
。 -
データイベントの場合、値は です
data
。 -
インサイトイベントの場合、値は です
insight
。
使用可能: 1.07
オプション: False
-
addendum
-
イベント配信が遅延した場合、またはイベントがログ記録された後に既存のイベントに関する追加情報が利用可能になった場合、追加フィールドにはイベントが遅延した理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、追加フィールドには不足している情報と不足していた理由が含まれています。コンテンツには以下が含まれます。
-
reason
- イベントまたはそのコンテンツの一部が欠落していた理由。以下のいずれかを指定できます。-
DELIVERY_DELAY
– イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続の問題、またはサービスの問題が原因である可能性があります。CloudTrail -
UPDATED_DATA
– イベントレコードのフィールドがないか、正しくない値があります。 -
SERVICE_OUTAGE
– 停止CloudTrailした にイベントを記録し、 にイベントを記録できなかったサービスCloudTrail。これは非常にまれです。
-
-
updatedFields
- 付録によって更新されたイベントレコードフィールド。これは、理由が である場合にのみ提供されますUPDATED_DATA
。 -
originalRequestID
- リクエストの元の一意の ID。これは、理由が である場合にのみ提供されますUPDATED_DATA
。 -
originalEventID
- 元のイベント ID。これは、理由が である場合にのみ提供されますUPDATED_DATA
。
使用可能: 1.08
オプション: True
-
sessionCredentialFromConsole
-
AWS マネジメントコンソールイベントをセッションから発信したかどうかを示します。このフィールドは、値が
true
でない限り表示されません。この値は、API コールを行うために使用されたクライアントがプロキシまたは外部クライアントであることを意味します。プロキシクライアントが使用された場合、tlsDetails
イベントフィールドは表示されません。使用可能: 1.08
オプション: True
edgeDeviceDetails
-
リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、
S3 Outposts
デバイスイベントにはこのフィールドが含まれています。 使用可能: 1.08
オプション: True
tlsDetails
-
Transport Layer Security (TLS) バージョン、暗号スイート、サービス API コールのクライアント提供ホスト名の FQDN に関する情報を表示します。コンテンツには以下が含まれます。ただし、想定された情報が見つからないか空の場合、 は TLS の一部の詳細を記録します。CloudTrailたとえば、TLS バージョンと暗号スイートが存在しているが、
HOST
ヘッダーが空の場合、使用可能な TLS の詳細はCloudTrailイベントに記録されます。sessionCredentialFromConsole
の値がtrue
で存在する場合、tlsDetails
は外部クライアントが API コールを行うために使用された場合にのみ、イベントレコードに存在します。-
tlsVersion
- リクエストの TLS バージョン。 -
cipherSuite
- リクエストの暗号スイート (使用するセキュリティアルゴリズムの組み合わせ)。 -
clientProvidedHostHeader
- リクエストを行ったクライアントの FQDN。
使用可能: 1.08
オプション: True
-
インサイトイベントのレコードフィールド
インサイトイベントの JSON 構造に表示される属性を以下に示します。管理イベントやデータイベントとは異なります。
sharedEventId
-
CloudTrail Insights イベントの
sharedEventID
は、CloudTrail イベントの管理タイプおよびデータタイプのsharedEventID
とは異なります。Insights eventsでは、 はインサイトイベントを一意sharedEventID
に識別するために によって生成される GUID です。CloudTrail InsightssharedEventID
は、開始と終了のインサイトイベントに共通し、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventID
は、全体的なインサイトイベント ID と考えることができます。使用可能: 1.07
オプション: False
insightDetails
-
インサイトイベントのみ。イベントソース、ユーザーエージェント、統計、API 名、イベントがインサイトイベントの開始か終了かなど、インサイトイベントの基礎となるトリガーに関する情報を表示します。
insightDetails
ブロックの内容の詳細については、「」を参照してくださいCloudTrailInsights insightDetails要素。使用可能: 1.07
オプション: False