CloudTrail 로그 이벤트 참조 - AWS CloudTrail

CloudTrail 로그 이벤트 참조

CloudTrail 로그는 JSON 형식의 레코드입니다. 이 로그는 요청한 사람, 사용된 서비스, 수행된 작업, 작업에 대한 파라미터와 같이 계정에서 리소스 요청에 대한 정보를 포함합니다. 이벤트 데이터는 Records 배열로 묶습니다.

다음 예제에서는 Mary_Major라는 IAM 사용자가 CloudTrail 콘솔에서 CloudTrail StartLogging API를 호출하여 로깅 프로세스를 시작하는 이벤트의 단일 로그 레코드를 보여 줍니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-06-18T22:28:31Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2019-06-19T00:18:31Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.64", "userAgent": "signin.amazonaws.com", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" }, "responseElements": null, "requestID": "ddf5140f-EXAMPLE", "eventID": "7116c6a1-EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }, ... additional entries ...

다음 예제에서는 AWS 시스템 관리자 API UpdateInstanceAssociationStatus가 비정상적인 횟수로 호출될 때 발생한 인사이트 이벤트의 단일 로그 레코드를 보여 줍니다. 인사이트 이벤트 레코드에는 인사이트 시작(또는 비정상적인 활동의 시작)을 표시하는 이벤트와 종료를 표시하는 이벤트 두 가지가 있습니다. 인사이트 이벤트의 경우 eventCategory의 값은 Insight입니다. insightDetails 블록은 통계를 포함하여 이벤트 상태, 소스, 이름, 인사이트 유형 및 컨텍스트를 식별합니다.

{ "Records": [ { "eventVersion": "1.07", "eventTime": "2019-10-17T10:05:00Z", "awsRegion": "us-east-1", "eventID": "aab985f2-3a56-48cc-a8a5-e0af77606f5f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50.1 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-17T10:13:00Z", "awsRegion": "us-east-1", "eventID": "ce7b8ac1-3f89-4dae-8d2a-6560e32f591a", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50 }, "insightDuration": 8 } } }, "eventCategory": "Insight" } ] }

다음 주제는 각 AWS API 호출 및 로그인 이벤트에 대해 CloudTrail을 캡처하는 데이터 필드를 나열합니다.