CloudTrail conteúdo do registro - AWS CloudTrail
Campos de registro para eventos do InsightsExemplo de sharedEventID

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail conteúdo do registro

O corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando e onde a solicitação foi feita. Quando o valor de Opcional for True, o campo estará presente somente quando se aplicar ao serviço, à API ou ao tipo de evento. Um valor opcional de False (Falso) significa que o campo está sempre presente ou que sua presença não depende do serviço, da API ou do tipo de evento. Um exemplo é responseElements, que está presente em eventos para ações que fazem alterações (criar, atualizar ou excluir ações).

CloudTrail trunca um campo se o conteúdo do campo exceder o tamanho máximo do campo. Se um campo estiver truncado, omitted estará presente com um valor de true.

eventTime

A data e a hora em que a solicitação foi concluída no formato de Tempo Universal Coordenado (UTC). O carimbo de data/hora de um evento vem do host local que fornece o endpoint da API de serviço no qual a chamada de API foi feita. Por exemplo, um evento de CreateBucket API executado na região Oeste dos EUA (Oregon) teria seu registro de data e hora a partir do momento em um AWS host executando o endpoint do Amazon S3,. s3.us-west-2.amazonaws.com Em geral, AWS os serviços usam o Network Time Protocol (NTP) para sincronizar os relógios do sistema.

Desde: 1.0

Opcional: False

eventVersion

A versão do formato do evento de log. A versão atual é 1.10.

O valor de eventVersion é uma versão principal e secundária no formulário major_version.minor_version. Por exemplo, é possível ter um valor eventVersion de 1.09, onde 1 é a versão principal, e09 é a versão secundária.

CloudTrail incrementa a versão principal se for feita uma alteração na estrutura do evento que não seja compatível com versões anteriores. Isso inclui remover um campo JSON que já existe ou alterar a forma como o conteúdo de um campo é representado (por exemplo, um formato de data). CloudTrail incrementa a versão secundária se uma alteração adicionar novos campos à estrutura do evento. Isso poderá ocorrer se novas informações forem fornecidas para alguns ou todos os eventos existentes ou se novas informações estiverem disponíveis somente para novos tipos de evento. As aplicações podem ignorar novos campos para permanecerem compatíveis com novas versões secundárias da estrutura do evento.

Se CloudTrail introduzir novos tipos de eventos, mas a estrutura do evento permanecer inalterada, a versão do evento não será alterada.

Para garantir que suas aplicações possam analisar a estrutura do evento, recomendamos que você faça uma comparação "igual a" no número da versão principal. Para garantir que os campos esperados pelo seu aplicativo existam, também recomendamos realizar uma comparação greater-than-or-equal -to na versão secundária. Não há zeros à esquerda na versão secundária. É possível interpretar major_version e minor_version como números e executar operações de comparação.

Desde: 1.0

Opcional: False

userIdentity

Informações sobre a identidade do IAM que fez uma solicitação. Para ter mais informações, consulte CloudTrail Elemento UserIdentity.

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços, mais .amazonaws.com. Por exemplo: .

  • AWS CloudFormation écloudformation.amazonaws.com.

  • O Amazon EC2 é ec2.amazonaws.com.

  • O Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, o eventSource para a Amazon CloudWatch émonitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações na API desse serviço.

Desde: 1.0

Opcional: False

awsRegion

Região da AWS Aquele para o qual a solicitação foi feita, comous-east-2. Consulte CloudTrail Regiões suportadas.

Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço informado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços em AWS, somente o nome DNS é exibido.

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

Desde: 1.0

Opcional: False

userAgent

O agente por meio do qual a solicitação foi feita AWS Management Console, como um AWS serviço, os AWS SDKs ou o. AWS CLI Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Veja a seguir exemplos de valores:

  • lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.

  • aws-sdk-java – A solicitação foi feita com o AWS SDK for Java.

  • aws-sdk-ruby – A solicitação foi feita com o AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— A solicitação foi feita com o AWS CLI instalado no Linux.

nota

Para eventos originados por AWS, se CloudTrail souber quem AWS service (Serviço da AWS) fez a chamada, esse campo é a origem do evento do serviço de chamada (por exemplo,ec2.amazonaws.com). Caso contrário, esse campo éAWS Internal/#, onde # é um número usado para fins internos.

Desde: 1.0

Opcional: True

errorCode

O erro de AWS serviço se a solicitação retornar um erro. Para obter um exemplo que mostra esse campo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhas de autorização. CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções. Para ver um exemplo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

nota

Alguns AWS serviços fornecem os errorCode e errorMessage como campos de alto nível no evento. Outros serviços do AWS fornecem informações de erro como parte do responseElements.

Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros estão documentados na documentação de referência da API para o AWS serviço apropriado. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: False

responseElements

Os elementos de resposta, se houver, para ações que fazem alterações (criar, atualizar ou excluir ações). Se a ação não retorna elementos de resposta, esse campo énull. Se uma ação não muda de estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento é omitido. Os elementos de resposta para ações estão documentados na referência da API documentação para o apropriado AWS service (Serviço da AWS). Esse campo tem um tamanho máximo de 100 KB; o conteúdo que excede esse limite é truncado.

O responseElements valor é útil para ajudar você a rastrear uma solicitação. com AWS Support. Ambos x-amz-request-id e x-amz-id-2 contêm informações que ajudam você a rastrear uma solicitação com AWS Support. Esses valores são os mesmos que o serviço retorna na resposta à solicitação que inicia os eventos, para que você possa usá-los para combinar o evento com o pedido.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.01

Opcional: True

eventID

GUID gerado por CloudTrail para identificar de forma exclusiva cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

  • AwsApiCall – Uma API foi chamada.

  • AwsServiceEvent – O serviço gerou um evento relacionado à sua trilha. Por exemplo, isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.

  • AwsConsoleAction – Foi executada uma ação no console que não era uma chamada de API.

  • AwsConsoleSignIn— Um usuário em sua conta (root, IAM, federado, SAML ou SwitchRole) conectado ao. AWS Management Console

  • AwsCloudTrailInsight— Se os eventos do Insights estiverem ativados, CloudTrail gera eventos do Insights ao CloudTrail detectar atividades operacionais incomuns, como picos no provisionamento de recursos ou surtos de AWS Identity and Access Management ações (IAM).

    Eventos de AwsCloudTrailInsight não usam os seguintes campos:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

Desde: 1.02

Opcional: False

apiVersion

Identifica a versão da API associada ao valor de AwsApiCall eventType.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent será mostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for um dos seguintes:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:

  • true – A operação é somente leitura (por exemplo, DescribeTrails).

  • false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:

  • ARNs de recursos

  • ID da conta do proprietário do recurso

  • Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter esta aparência:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID da conta: 123456789012

  • Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, registros com o resources campo, consulte Evento de AWS STS API no arquivo de CloudTrail registro no Guia do usuário do IAM ou Registro de chamadas de AWS KMS API no Guia do AWS Key Management Service desenvolvedor.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do CloudTrail Elemento UserIdentity accountId. Isso pode ocorrer no acesso a recursos entre contas. Por exemplo, se uma chave do KMS, também conhecida como AWS KMS key, foi usada por uma conta separada para chamar a API de criptografia, os valores accountId e recipientAccountID serão os mesmos para o evento fornecido à conta que fez a chamada, mas os valores serão diferentes para o evento fornecido à conta que possui a chave do KMS.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para ter mais informações, consulte AWS service (Serviço da AWS) eventos. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.05

Opcional: True

sharedEventID

GUID gerado por CloudTrail para identificar de forma exclusiva CloudTrail eventos da mesma AWS ação que é enviada para contas diferentes. AWS

Por exemplo, quando uma conta usa uma AWS KMS keyque pertence a outra conta, a conta que usou a chave KMS e a conta que possui a chave KMS recebem CloudTrail eventos separados para a mesma ação. Cada CloudTrail evento realizado para esta AWS ação compartilha o mesmosharedEventID, mas também tem um único eventID recipientAccountID e.

Para ter mais informações, consulte Exemplo de sharedEventID.

nota

O sharedEventID campo está presente somente quando CloudTrail os eventos são entregues em várias contas. Se o chamador e o proprietário forem da mesma AWS conta, CloudTrail enviará somente um evento e o sharedEventID campo não estará presente.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o endpoint da VPC em que as solicitações foram feitas a partir de uma VPC para outro serviço da AWS , como o Amazon S3.

Desde: 1.04

Opcional: True

vpcEndpointAccountId

Identifica o Conta da AWS ID do proprietário do VPC endpoint para o endpoint correspondente pelo qual uma solicitação foi enviada.

Desde: 1.09

Opcional: True

eventCategory

Mostra a categoria do evento. O eventCategory é usado em LookupEventschamadas para gerenciamento e eventos do Insights.

  • Para eventos de gerenciamento, o valor é Management.

  • Para eventos de dados, o valor é Data.

  • Para eventos do Insights, o valor é Insight.

Desde: 1.07

Opcional: False

addendum

Se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. O conteúdo inclui o seguinte:

  • reason - A razão pela qual o evento ou parte de seu conteúdo estavam faltando. Os valores podem ser qualquer um dos valores a seguir.

    • DELIVERY_DELAY - Houve um atraso na entrega de eventos. Isso pode ser causado por alto tráfego de rede, problemas de conectividade ou problemas de CloudTrail serviço.

    • UPDATED_DATA - Um campo no registro de eventos estava ausente ou tinha um valor incorreto.

    • SERVICE_OUTAGE— Um serviço que registra eventos em CloudTrail que houve uma interrupção e não conseguiu registrar CloudTrail eventos em. Isso é excepcionalmente raro.

  • updatedFields - Os campos de registro de eventos que são atualizados pelo adendo. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalRequestID - O ID exclusivo original da solicitação. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalEventID - O ID do evento original. Isso só será fornecido se o motivo for UPDATED_DATA.

Desde: 1.08

Opcional: True

sessionCredentialFromConsole

Mostra se um evento se originou ou não de uma AWS Management Console sessão. Este campo não é mostrado a menos que o valor seja true, o que significa que o cliente que foi usado para fazer a chamada de API era um proxy ou um cliente externo. Se um cliente proxy foi usado, campo do evento tlsDetails não é mostrado.

Desde: 1.08

Opcional: True

edgeDeviceDetails

Mostra informações sobre dispositivos de borda que são alvos de uma solicitação. No momento, os eventos do dispositivo S3 Outposts incluem este campo. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.08

Opcional: True

tlsDetails

Mostra informações sobre a versão do Transport Layer Security (TLS), os conjuntos de criptografia e o nome de domínio totalmente qualificado (FQDN) do nome de host fornecido pelo cliente usado na chamada da API de serviço, que normalmente é o FQDN do endpoint do serviço. CloudTrailainda registra detalhes parciais do TLS se as informações esperadas estiverem ausentes ou vazias. Por exemplo, se a versão do TLS e o conjunto de cifras estiverem presentes, mas o HOST cabeçalho estiver vazio, os detalhes do TLS disponíveis ainda serão registrados no evento. CloudTrail

  • tlsVersion - A versão do TLS de uma solicitação.

  • cipherSuite - O conjunto de cifras (combinação de algoritmos de segurança usados) de uma solicitação.

  • clientProvidedHostHeader — O nome do host fornecido pelo cliente usado na chamada da API de serviço, que geralmente é o FQDN do endpoint de serviço.

nota

Há alguns casos em que o campo tlsDetails não está presente em um registro de evento.

  • O tlsDetails campo não estará presente se a chamada da API tiver sido feita por um AWS service (Serviço da AWS) em seu nome. O campo invokedBy no elemento userIdentity identifica o AWS service (Serviço da AWS) que fez a chamada à API.

  • Se sessionCredentialFromConsole estiver presente com um valor true, o tlsDetails estará presente em um registro de evento somente se um cliente externo tiver sido usado para fazer a chamada de API.

Desde: 1.08

Opcional: True

Campos de registro para eventos do Insights

Veja a seguir os atributos mostrados na estrutura JSON de um evento do Insights que difere daqueles em um evento de dados ou de gerenciamento.

sharedEventId

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um evento do Insights. sharedEventIDé comum entre o início e o fim dos eventos do Insights e ajuda a conectar os dois eventos para identificar de forma exclusiva atividades incomuns. É possível pensar no sharedEventID como o ID de evento do Insights geral.

Desde: 1.07

Opcional: False

insightDetails

Somente eventos do Insights. Mostra informações sobre os acionadores subjacentes de um evento do Insights, como a fonte do evento, as estatísticas, o nome da API e se o evento é o início ou o fim do evento do Insights. Para obter mais informações sobre a estrutura e o conteúdo do arquivo insightDetails, consulte CloudTrail insightDetailsElemento Insights.

Desde: 1.07

Opcional: False

Exemplo de sharedEventID

Veja a seguir um exemplo que descreve como CloudTrail entrega dois eventos para a mesma ação:

  1. Alice tem uma AWS conta (111111111111) e cria uma. AWS KMS key Ela é a proprietária dessa chave do KMS.

  2. Bob tem uma AWS conta (222222222222). Alice concede a Bob permissão para usar a chave do KMS.

  3. Cada conta tem uma trilha e um bucket separado.

  4. Bob usa a chave do KMS para chamar a API Encrypt.

  5. CloudTrail envia dois eventos separados.

    • Um evento é enviado a Bob. O evento mostra que ele usou a chave do KMS.

    • Um evento é enviado a Alice. O evento mostra que o Bob usou a chave do KMS.

    • Os eventos têm o mesmo sharedEventID, mas o eventID e o recipientAccountID são exclusivos.

Como o campo sharedEventID aparece em logs

IDs de eventos compartilhados no CloudTrail Insights

Os eventos A sharedEventID for CloudTrail Insights diferem dos sharedEventID CloudTrail eventos de gerenciamento e dados. Em eventos do Insights, a sharedEventID é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. sharedEventIDé comum entre o início e o final do evento Insights e ajuda a criar uma correlação entre os dois eventos para identificar de forma exclusiva atividades incomuns.

É possível pensar no sharedEventID como o ID de evento do Insights geral.