CloudTrail 湖集成事件架構 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudTrail 湖集成事件架構

下表說明與 CloudTrail 事件記錄中的結構描述元素相符的必要和選擇性結構描述元素。的內容由您eventData的事件提供;其他欄位則由擷取 CloudTrail 後提供。

CloudTrail 事件記錄內容在中有更詳細的說明CloudTrail 記錄內容

擷取 CloudTrail 後提供的欄位
欄位名稱 輸入類型 需求 描述
eventVersion string 必要

事件版本。
eventCategory string 必要

事件類別。對於非AWS 事件,值為ActivityAuditLog
eventType string 必要

事件類型。對於非AWS 事件,有效值為ActivityLog
eventID string 必要 事件的唯一 ID。
eventTime

string

 必要

事件時間戳記,採用 yyyy-MM-DDTHH:mm:ss 格式和國際標準時間 (UTC)。
awsRegion string 必要

PutAuditEvents打電話的 AWS 區域 地方。
recipientAccountId string 必要

表示收到此事件的帳戶 ID。 CloudTrail 透過從事件裝載計算此欄位來填入此欄位。
附錄

-

 選用

顯示事件處理延遲原因的相關資訊。如果現有事件中缺少資訊,則附錄區塊會包含缺少的資訊,以及缺失的原因。

  • reason

 string 選用

事件或其部分內容遺失的原因。

  • updatedFields

 string 選用

附錄所更新的事件記錄欄位。只有當原因是 UPDATED_DATA 才提供此資訊。

  • originalUID

 string 選用

來自來源的原始事件 UID。只有當原因是 UPDATED_DATA 才提供此資訊。

  • originalEventID

 string 選用

原始事件 ID。只有當原因是 UPDATED_DATA 才提供此資訊。
中繼資料

-

 必要

事件所使用通道的相關資訊。

  • ingestionTime

 string 必要

處理事件時的時間戳記,採用 yyyy-MM-DDTHH:mm:ss 格式和國際標準時間 (UTC)。

  • channelARN

 string 必要

事件所使用通道的 ARN。
客戶事件提供的欄位
欄位名稱 輸入類型 需求 描述
eventData

-

 必要 PutAuditEvents通話中傳送至 CloudTrail 的稽核資料。

  • version

 string 必要

來自來源的事件版本。

長度限制:長度上限為 256。

  • userIdentity

-

 必要

提出請求之使用者的相關資訊。

    • type

string

 必要

使用者身分類型。

長度限制:長度上限為 128。

    • principalId

string

 必要

事件執行者的唯一識別碼。

長度限制:長度上限為 1024。

    • 詳細資訊

JSON 物件

 選用

身分識別的其他相關資訊。

  • userAgent

string

 選用

提出請求的代理程式。

長度限制:長度上限為 1024。

  • eventSource

string

 必要

這是合作夥伴事件來源,或記錄事件的自訂應用程式。

長度限制:長度上限為 1024。

  • eventName

string

 必要

請求的動作,來源服務或應用程式的 API 中的動作之一。

長度限制:長度上限為 1024。

  • eventTime

string

 必要

事件時間戳記,採用 yyyy-MM-DDTHH:mm:ss 格式和國際標準時間 (UTC)。

  • UID

 string 必要

識別請求的 UID 值。呼叫的服務或應用程式會產生此值。

長度限制:長度上限為 1024。

  • requestParameters

JSON 物件

 選用

請求時所傳送的參數 (如果有的話)。此欄位的大小上限為 100 KB,超過該限制的內容會被拒絕。

  • responseElements

JSON 物件

 選用

進行變更之動作 (建立、更新或刪除動作) 的回應元素。此欄位的大小上限為 100 KB,超過該限制的內容會被拒絕。

  • errorCode

 string 選用

代表事件錯誤的字串。

長度限制:長度上限為 256。

  • errorMessage

 string 選用

錯誤的描述。

長度限制:長度上限為 256。

  • sourceIPAddress

string

 選用

提出請求的 IP 地址。接受 IPv4 和 IPv6 地址。

  • recipientAccountId

 string 必要

代表收到此事件的帳戶 ID。帳號 ID 必須與擁有該頻道的 AWS 帳號 ID 相同。

  • additionalEventData

JSON 物件

 選用

不屬於請求或回應之事件的額外資料。此欄位的大小上限為 28 KB,超過該限制的內容會被拒絕。

下列範例顯示符合 CloudTrail 事件記錄中結構描述元素的階層架構。

{
    "eventVersion": String,
    "eventCategory": String,
    "eventType": String,
    "eventID": String,
    "eventTime": String,
    "awsRegion": String,
    "recipientAccountId": String,
    "addendum": {
       "reason": String,
       "updatedFields": String,
       "originalUID": String, 
       "originalEventID": String
    },
    "metadata" : { 
       "ingestionTime": String,
       "channelARN": String
    },
    "eventData": {
        "version": String,
        "userIdentity": {
          "type": String,
          "principalId": String,
          "details": {
             JSON
          }
        }, 
        "userAgent": String,
        "eventSource": String,
        "eventName": String,
        "eventTime": String,
        "UID": String,
        "requestParameters": {
           JSON
        },
        "responseElements": {
           JSON
        },
        "errorCode": String,
        "errorMessage": String,
        "sourceIPAddress": String,
        "recipientAccountId": String,
        "additionalEventData": {
           JSON
        }
    }
}