CloudTrail conteúdo do registro - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail conteúdo do registro

O corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando e onde a solicitação foi feita. Quando o valor de Opcional for True, o campo estará presente somente quando se aplicar ao serviço, à API ou ao tipo de evento. Um valor opcional de False (Falso) significa que o campo está sempre presente ou que sua presença não depende do serviço, da API ou do tipo de evento. Um exemplo é responseElements, que está presente em eventos para ações que fazem alterações (criar, atualizar ou excluir ações).

eventTime

A data e a hora em que a solicitação foi concluída no formato de Tempo Universal Coordenado (UTC). O carimbo de data/hora de um evento vem do host local que fornece o endpoint da API de serviço no qual a chamada de API foi feita. Por exemplo, um evento de API CreateBucket executado na região Oeste dos EUA (Oregon) obteria seu carimbo de data/hora do host da AWS executando o endpoint do Amazon S3, s3.us-west-2.amazonaws.com. Em geral, os serviços da AWS usam o NTP (Network Time Protocol, Protocolo de horário de rede) para sincronizar os relógios do sistema.

Desde: 1.0

Opcional: False

eventVersion

A versão do formato do evento de log. A versão atual é 1.09.

O valor de eventVersion é uma versão principal e secundária no formulário major_version.minor_version. Por exemplo, é possível ter um valor eventVersion de 1.08, onde 1 é a versão principal, e08 é a versão secundária.

CloudTrail incrementa a versão principal se uma alteração for feita na estrutura do evento que não é compatível com a versão anterior. Isso inclui a remoção de um campo JSON que já existe ou a alteração de como os conteúdos de um campo são representados (por exemplo, um formato de data). CloudTrail incrementa a versão secundária se uma alteração adicionar novos campos à estrutura do evento. Isso poderá ocorrer se novas informações forem fornecidas para alguns ou todos os eventos existentes ou se novas informações estiverem disponíveis somente para novos tipos de evento. As aplicações podem ignorar novos campos para permanecerem compatíveis com novas versões secundárias da estrutura do evento.

Se CloudTrail introduz novos tipos do evento, mas a estrutura do evento permanece inalterada e a versão do evento não é alterada.

Para garantir que suas aplicações possam analisar a estrutura do evento, recomendamos que você faça uma comparação "igual a" no número da versão principal. Para garantir que os campos que são esperados pelo seu aplicativo existam, também recomendamos a execução de greater-than-or-equal-para comparação na versão secundária. Não há zeros à esquerda na versão secundária. É possível interpretar major_version e minor_version como números e executar operações de comparação.

Desde: 1.0

Opcional: False

userIdentity

Informações sobre a identidade do IAM que fez uma solicitação. Para obter mais informações, consulte CloudTrail Elemento UserIdentity.

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços, mais .amazonaws.com. Por exemplo:

  • AWS CloudFormation é cloudformation.amazonaws.com.

  • O Amazon EC2 é ec2.amazonaws.com.

  • O Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, oeventSourcepara Amazon CloudWatch émonitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações na API desse serviço.

Desde: 1.0

Opcional: False

awsRegion

ORegião da AWSpara o qual a solicitação foi feita, comous-east-2. Consulte CloudTrail Região da China.

Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço informado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços na AWS, apenas o nome de DNS é exibido.

Desde: 1.0

Opcional: False

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

userAgent

O agente por meio do qual a solicitação foi feita, como o AWS Management Console, um serviço da AWS, os SDKs da AWS ou a AWS CLI. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Veja a seguir exemplos de valores:

  • signin.amazonaws.com – A solicitação foi feita por um usuário do IAM com o AWS Management Console.

  • console.amazonaws.com – A solicitação foi feita por um usuário raiz com o AWS Management Console.

  • lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.

  • aws-sdk-java – A solicitação foi feita com o AWS SDK for Java.

  • aws-sdk-ruby – A solicitação foi feita com o AWS SDK for Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – A solicitação foi feita com a AWS CLI instalada no Linux.

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

Desde: 1.0

Opcional: True

errorCode

O erro do serviço da AWS se a solicitação retornar um erro. Para obter um exemplo que mostra esse campo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhas de autorização. CloudTrail captura a mensagem registrada pelo serviço em seu tratamento de exceções. Para ver um exemplo, consulte Exemplos de código de erro e log de mensagens. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

nota

Alguns serviços do AWS fornecidos pelo errorCode e errorMessage como campos de nível superior no evento. Outros serviços do AWS fornecem informações de erro como parte do responseElements.

Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros são registrados na documentação de referência da API do serviço da AWS apropriado. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.0

Opcional: False

responseElements

O elemento de resposta das ações que fazem alterações (criar, atualizar ou excluir ações). Se uma ação não altera o estado (por exemplo, uma solicitação para obter ou listar objetos), esse elemento é omitido. Essas ações são registradas na documentação de referência da API do serviço da AWS apropriado. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

O valor responseElements é útil para ajudar você a monitorar as solicitações com o AWS Support. x-amz-request-id e x-amz-id-2 contêm informações que ajudam você a monitorar solicitações com oAWS Support. Esses valores são os mesmos que os retornados pelo serviço na resposta à solicitação que inicia os eventos, para que possam ser usados para corresponder o evento à solicitação.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

O suporte a esse campo começa com eventVersion 1.00.

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado.

O suporte a esse campo começa com eventVersion 1.01.

Desde:1,01

Opcional:É verdade

eventID

GUID gerado por CloudTrail para identificar exclusivamente a cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

  • AwsApiCall – Uma API foi chamada.

  • AwsServiceEvent – O serviço gerou um evento relacionado à sua trilha. Por exemplo, isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.

  • AwsConsoleAction – Foi executada uma ação no console que não era uma chamada de API.

  • AwsConsoleSignIn— Um usuário em sua conta (root, IAM, federado, SAML ou SwitchRole) conectado aoAWS Management Console.

  • AwsCloudTrailInsight— Se os eventos do Insights estiverem habilitados para a trilha, CloudTrail gera eventos do Insights quando CloudTrail detecta atividades operacionais incomuns, como picos no provisionamento de recursos ou surtos deAWS Identity and Access Managementações (IAM).

    Eventos de AwsCloudTrailInsight não usam os seguintes campos:

    • eventName

    • eventSource

    • sourceIPAddress

    • userAgent

    • userIdentity

Desde: 1.02

Opcional: False

apiVersion

Identifica a versão da API associada ao valor de AwsApiCall eventType.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent será mostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for um dos seguintes:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:

  • true – A operação é somente leitura (por exemplo, DescribeTrails).

  • false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:

  • ARNs de recursos

  • ID da conta do proprietário do recurso

  • Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter esta aparência:

  • Nome de região da Amazon (ARN): arn:aws:iam::123456789012:role/myRole

  • ID da conta: 123456789012

  • Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, registros com oresourcescampo, consulteAWS STSEvento da API em CloudTrail Arquivo de registronoManual do usuário do IAMouRegistroAWS KMSChamadas de APInoAWS Key Management ServiceGuia do desenvolvedor.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do CloudTrail Elemento UserIdentity accountId. Isso pode ocorrer no acesso a recursos entre contas. Por exemplo, se uma chave do KMS, também conhecida como AWS KMS key, foi usada por uma conta separada para chamar a API de criptografia, os valores accountId e recipientAccountID serão os mesmos para o evento fornecido à conta que fez a chamada, mas os valores serão diferentes para o evento fornecido à conta que possui a chave do KMS.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para obter mais informações, consulte Eventos de serviço da AWS. Esse campo tem um tamanho máximo de 100 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.05

Opcional: True

sharedEventID

GUID gerado por CloudTrail para identificar de forma exclusiva CloudTrail eventos do mesmoAWSação que é enviada para diferentesAWScontas.

Por exemplo, quando uma conta usa umAWS KMS keyque pertence a outra conta, a conta que usou a chave do KMS e da propriedade da chave do KMS recebem separadamente CloudTrail eventos para a mesma ação. Cada CloudTrail evento entregue para esteAWSação compartilha o mesmosharedEventID, mas também tem um exclusivoeventIDerecipientAccountID.

Para obter mais informações, consulte Exemplo de sharedEventID.

nota

OsharedEventIDo campo está presente somente quando CloudTrail os eventos são entregues em várias contas. Se o chamador e o proprietário são a mesma conta da AWS, o CloudTrail envia apenas um evento, e o campo sharedEventID não aparece.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o endpoint da VPC em que as solicitações foram feitas a partir de uma VPC para outro serviço da AWS, como o Amazon S3.

Desde: 1.04

Opcional: True

eventCategory

Mostra a categoria de evento usada nas chamadas LookupEvents.

  • Para eventos de gerenciamento, o valor é Management.

  • Para eventos de dados, o valor é Data.

  • Para eventos do Insights, o valor é Insight.

Desde: 1.07

Opcional: False

addendum

Se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. O conteúdo inclui o seguinte:

  • reason - A razão pela qual o evento ou parte de seu conteúdo estavam faltando. Os valores podem ser qualquer um dos valores a seguir.

    • DELIVERY_DELAY - Houve um atraso na entrega de eventos. Isso pode ser causado por alto tráfego da rede, problemas de conectividade ou CloudTrail problema de serviço.

    • UPDATED_DATA - Um campo no registro de eventos estava ausente ou tinha um valor incorreto.

    • SERVICE_OUTAGE— Um serviço que registra eventos em CloudTrail tive uma interrupção e não consegui registrar eventos no CloudTrail. Isso é excepcionalmente raro.

  • updatedFields - Os campos de registro de eventos que são atualizados pelo adendo. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalRequestID - O ID exclusivo original da solicitação. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalEventID - O ID do evento original. Isso só será fornecido se o motivo for UPDATED_DATA.

Desde: 1.08

Opcional: True

sessionCredentialFromConsole

Mostra se um evento se originou ou não de um sessão do AWS Management Console. Este campo não é mostrado a menos que o valor seja true, o que significa que o cliente que foi usado para fazer a chamada de API era um proxy ou um cliente externo. Se um cliente proxy foi usado, campo do evento tlsDetails não é mostrado.

Desde: 1.08

Opcional: True

edgeDeviceDetails

Mostra informações sobre dispositivos de borda que são alvos de uma solicitação. No momento, os eventos do dispositivo S3 Outposts incluem este campo. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado.

Desde: 1.08

Opcional: True

tlsDetails

Mostra informações sobre a versão do Transport Layer Security (TLS), conjuntos de cifras e o FQDN do nome de host fornecido pelo cliente usado na chamada de API de serviço, que é normalmente o FQDN do endpoint do serviço. CloudTrailainda registra detalhes do TLS parciais se a informação esperada estiver ausente ou vazia. Por exemplo, se a versão do TLS e do conjunto de cifras estiverem presentes, mas oHOSTo cabeçalho está vazio, os detalhes TLS disponíveis ainda estão registrados no CloudTrail evento. Para obter mais informações sobre quais serviços registram os detalhes do TLS emCloudTrail, vejaServiços que suportam detalhes de TLS de CloudTrail.

Se sessionCredentialFromConsole estiver presente com um valor de true, o tlsDetails estará presente em um registro de evento somente se um cliente externo tiver sido usado para fazer a chamada de API.

  • tlsVersion - A versão do TLS de uma solicitação.

  • cipherSuite - O conjunto de cifras (combinação de algoritmos de segurança usados) de uma solicitação.

  • clientProvidedHostHeader — O nome do host fornecido pelo cliente usado na chamada da API de serviço, que geralmente é o FQDN do endpoint de serviço.

Desde: 1.08

Opcional: True

Campos de registro para eventos do Insights

Veja a seguir os atributos mostrados na estrutura JSON de um evento do Insights que difere daqueles em um evento de dados ou de gerenciamento.

sharedEventId

UMAsharedEventIDpelo CloudTrail Os eventos do Insights são diferentes dossharedEventIDpara o gerenciamento e os tipos de dados do CloudTraileventos. Em eventos do Insights, umsharedEventIDé um GUID gerado por CloudTrail Insights para identificar exclusivamente um evento do Insights exclusivamente.sharedEventIDé comum entre o evento do Insights de início e de término e ajuda a conectar ambos os eventos para identificar exclusivamente a atividade incomum. É possível pensar no sharedEventID como o ID de evento do Insights geral.

Desde: 1.07

Opcional: False

insightDetails

Somente eventos do Insights. Mostra informações sobre os acionadores subjacentes de um evento do Insights, como a fonte do evento, as estatísticas, o nome da API e se o evento é o início ou o fim do evento do Insights. Para obter mais informações sobre a estrutura e o conteúdo do arquivo insightDetails, consulte CloudTrail PercepçõesinsightDetailselemento.

Desde: 1.07

Opcional: False