CloudTrail 湖泊集成事件架构 - AWS CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 湖泊集成事件架构

下表描述了与 CloudTrail 事件记录中的架构元素相匹配的必需和可选架构元素。的eventData内容由您的事件提供;其他字段由摄取 CloudTrail 后提供。

CloudTrail 中对事件记录内容进行了更详细的描述CloudTrail 录制内容

以下字段由摄取 CloudTrail 后提供:

字段名称 输入类型 要求 描述
eventVersion 字符串 必需

事件版本。
eventCategory 字符串 必需

事件类别。对于非AWS 事件,该值为ActivityAuditLog
eventType 字符串 必需

事件类型。对于非AWS 事件,有效值为ActivityLog
eventID 字符串 必需 事件的唯一 ID。
eventTime

字符串

 必需

事件时间戳,yyyy-MM-DDTHH:mm:ss格式为通用协调时间 (UTC)。
awsRegion 字符串 必需

PutAuditEvents拨打电话 AWS 区域 的地点。
recipientAccountId 字符串 必需

表示收到此事件的账户 ID。 CloudTrail 通过根据事件负载计算来填充此字段。
附录

-

 可选

显示有关事件处理延迟原因的信息。如果现有事件中缺少信息,则附录块将包含缺失的信息,以及缺失信息的原因。

  • reason

 字符串 可选

事件或其部分内容丢失的原因。

  • updatedFields

 字符串 可选

由附录更新的事件记录字段。只有在原因为 UPDATED_DATA 时才提供此信息。

  • 原来的 UID

 字符串 可选

UID来自源的原始事件。只有在原因为 UPDATED_DATA 时才提供此信息。

  • originalEvent身份证

 字符串 可选

原始事件 ID。只有在原因为 UPDATED_DATA 时才提供此信息。
metadata

-

 必需

有关活动使用的通道的信息。

  • ingestionTime

 字符串 必需

处理事件的时间戳,yyyy-MM-DDTHH:mm:ss格式为通用协调时间 (UTC)。

  • 频道 ARN

 字符串 必需

活动使用的频道。ARN

以下字段由客户事件提供:

字段名称 输入类型 要求 描述
eventData

-

 必填 PutAuditEvents通话 CloudTrail 中发送到的审计数据。

  • 版本

 字符串 必需

来自事件源的事件版本。

长度限制:最大长度为 256。

  • userIdentity

-

 必需

有关发出请求的用户的信息。

    • type

字符串

 必需

用户身份的类型。

长度限制:最大长度为 128。

    • principalId

字符串

 必需

事件的角色的唯一标识符。

长度限制:最大长度为 1024。

    • details

JSON对象

 可选

有关身份的其他信息。

  • userAgent

字符串

 可选

通过其发出请求的代理。

长度限制:最大长度为 1024。

  • eventSource

字符串

 必需

这是合作伙伴事件源,或有关记录哪些事件的自定义应用程序。

长度限制:最大长度为 1024。

  • eventName

字符串

 必需

请求的操作,源服务或应用程序中的API操作之一。

长度限制:最大长度为 1024。

  • eventTime

字符串

 必需

事件时间戳,yyyy-MM-DDTHH:mm:ss格式为通用协调时间 (UTC)。

  • UID

 字符串 必需

标识请求的UID值。被调用的服务或应用程序将生成此值。

长度限制:最大长度为 1024。

  • requestParameters

JSON对象

 可选

与请求一起发送的参数(如果有)。此字段的最大大小为 100kB,超过该限制的内容将被拒绝。

  • responseElements

JSON对象

 可选

可做出更改的操作(创建、更新或删除操作)的响应元素。此字段的最大大小为 100kB,超过该限制的内容将被拒绝。

  • errorCode

 字符串 可选

表示事件错误的字符串。

长度限制:最大长度为 256。

  • errorMessage

 字符串 可选

错误的描述。

长度限制:最大长度为 256。

  • sourceIPAddress

字符串

 可选

已从中发出请求的 IP 地址。IPv4和IPv6地址都被接受。

  • recipientAccountId

 字符串 必需

表示已收到此事件的账户 ID。账户 ID 必须与拥有该频道的 AWS 账户 ID 相同。

  • additionalEventData

JSON对象

 可选

不是请求或响应一部分的关于事件的其他数据。此字段的最大大小为 28kB,超过该限制的内容将被拒绝。

以下示例显示了与 CloudTrail 事件记录中的架构元素相匹配的架构元素的层次结构。

{
    "eventVersion": String,
    "eventCategory": String,
    "eventType": String,
    "eventID": String,
    "eventTime": String,
    "awsRegion": String,
    "recipientAccountId": String,
    "addendum": {
       "reason": String,
       "updatedFields": String,
       "originalUID": String, 
       "originalEventID": String
    },
    "metadata" : { 
       "ingestionTime": String,
       "channelARN": String
    },
    "eventData": {
        "version": String,
        "userIdentity": {
          "type": String,
          "principalId": String,
          "details": {
             JSON
          }
        }, 
        "userAgent": String,
        "eventSource": String,
        "eventName": String,
        "eventTime": String,
        "UID": String,
        "requestParameters": {
           JSON
        },
        "responseElements": {
           JSON
        },
        "errorCode": String,
        "errorMessage": String,
        "sourceIPAddress": String,
        "recipientAccountId": String,
        "additionalEventData": {
           JSON
        }
    }
}