CloudTrail Inhalte für aggregierte Ereignisse aufzeichnen - AWS CloudTrail
Beispiel für ein aggregiertes Ereignis

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Inhalte für aggregierte Ereignisse aufzeichnen

AWS CloudTrail Aggregierte Ereignisdatensätze enthalten Felder, die sich in ihrer JSON-Nutzlast von anderen CloudTrail Ereignissen unterscheiden. Aggregierte Ereignisse enthalten die folgenden Felder:

eventVersion

Die Version des aggregierten Ereignisses.

Seit: 1.0

Optional: False

accountId

Die Konto-ID, die dieses Ereignis empfangen hat.

Seit: 1.0

Optional: False

eventId

Eine GUID, die von generiert wurde CloudTrail , um jedes aggregierte Ereignis eindeutig zu identifizieren. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. Beispiel: Sie können die ID als Primärschlüssel zum Abrufen von Protokolldaten aus einer durchsuchbaren Datenbank verwenden.

Seit: 1.0

Optional: False

eventCategory

Identifiziert die Kategorie des Ereignisses. Für aggregierte Ereignisse ist dieser Wert immerAggregated. Verwenden Sie dieses Feld zum Filtern, wenn Sie Ereignisse nach Kategorien abfragen.

Seit: 1.0

Optional: False

eventType

Identifiziert den Typ des aggregierten Ereignisses. Für aggregierte Ereignisse ist dieser Wert. AwsAggregatedEvent

Seit: 1.0

Optional: False

awsRegion

Die AWS-Region atomaren CloudTrail Ereignisse, die in diesem Datensatz zusammengefasst wurden, wie z. ap-northeast-1 Dies ist in der Regel die Region, in der die Service-API-Aufrufe getätigt wurden.

Seit: 1.0

Optional: False

eventSource

Der AWS Dienst, für den die zugrunde liegenden Ereignisse aufgezeichnet wurden.

Seit: 1.0

Optional: False

timeWindow

Das Zeitintervall, über das atomare CloudTrail Ereignisse zu diesem aggregierten Ereignisdatensatz zusammengefasst wurden. Das timeWindow Feld enthält Details wie die Startzeit des Fensters, die Endzeit des Fensters und die Fenstergröße.

Seit: 1.0

Optional: False

windowStart

Der Beginn des Aggregationsfensters, einschließlich, in Weltzeit (UTC), dargestellt im ISO-8601-Format.

Seit: 1.0

Optional: False

windowEnd

Das Ende des Aggregationsfensters, ausschließlich, in UTC, dargestellt im ISO-8601-Format.

Seit: 1.0

Optional: False

windowSize

Die Dauer des Aggregationsfensters. Der Unterschied windowEnd − windowStart sollte entsprechenwindowSize. Das windowSize wird im ISO-8601-Format dargestellt.

Seit: 1.0

Optional: False

summary

Eine Zusammenfassung der zugrunde liegenden atomaren Ereignisse, gruppiert nach einer primären Dimension (z. B.eventName, resourceARN oderuserIdentity) und optional aufgeschlüsselt nach zusätzlichen Dimensionen (z. B.,,userAgent). sourceIpAddress errorCodes

Seit: 1.0

Optional: False

Die Zusammenfassung enthält die folgenden Felder:

primaryDimension

Die primäre Aggregationsdimension dafürAwsAggregatedEvent. Dies ist die Hauptansicht der aggregierten Daten. In der API_ACTIVITY Aggregationsvorlage ist die primäre Dimension beispielsweiseeventName, in der RESOURCE_ACCESS Vorlage ist sie esresourceARN, und in der USER_ACTIONS Vorlage ist sie es. userIdentity

Seit: 1.0

Optional: False

details

Zusätzliche Dimensionen, die detailliertere Informationen über aggregierte atomare Ereignisse liefern. Jedes Detail-Objekt kann je sourceIpAddress nach Aggregationsvorlage eine zusätzliche Ansicht derselben zugrunde liegenden Ereignisse wie eventName resourceARNuserIdentity,,, userAgent bieten.

Seit: 1.0

Optional: False

Jedes Detail enthält die folgenden Informationen:

dimension

Der Name der Dimension, die zur Gruppierung der aggregierten Ereignisse verwendet wird. Zu den allgemeinen Werten gehören:

  • eventName

  • resourceARN

  • userIdentity

  • userAgent

  • sourceIpAddress

Seit: 1.0

Optional: False

statistics

Eine Liste mit Statistiken für diese Dimension, wobei jeder Eintrag für einen Bucket (z. B. einen Ereignisnamen oder einen Ressourcen-ARN) und seinen aggregierten Wert steht.

Seit: 1.0

Optional: False

Jeder Eintrag in der Statistik enthält die folgenden Informationen:

name

Die Bucket-ID oder der Schlüssel für diese Statistik innerhalb der zugehörigen Dimension.

value

Der aggregierte numerische Wert für den angegebenen Namen in der angegebenen Dimension.

aggregationType

Der Aggregationstyp, der zur Berechnung statistics.value für diese Dimension angewendet wird. Zulässige Werte:

  • Count— Anzahl der Ereignisse.

Seit: 1.0

Optional: False

addendum

Enthält Metadaten über verspätete Lieferungen oder Aktualisierungen vorhandener Daten AggregatedEvent.

Seit: 1.0

Optional: False

reason

Der Grund, warum eine verzögert, aktualisiert oder anderweitig ergänzt AwsAggregatedEvent wurde. Zu den allgemeinen Werten können gehören (ohne Anspruch auf Vollständigkeit):

  • DELIVERY_DELAY— Die Bereitstellung aggregierter Daten verzögerte sich (z. B. aufgrund von Netzwerkproblemen oder hohem Datenvolumen).

  • UPDATED_DATA— Aggregierte Daten wurden neu berechnet oder korrigiert.

  • SERVICE_OUTAGE— Der zugrunde liegende Serviceausfall beeinträchtigte die Verfügbarkeit der Ereignisse.

Seit: 1.0

Optional: Wahr

Beispiel für ein aggregiertes Ereignis

Das Folgende ist ein Beispiel für ein CloudTrail aggregiertes Ereignis ()AwsAggregatedEvent. In diesem Beispiel werden PutAuditEvents Anrufe innerhalb eines Zeitfensters von cloudtrail-data.amazonaws.com mehr als fünf Minuten in der Region CloudTrail zusammengefasst. us-east-1 Der Übersichtsblock zeigt die primäre Aggregationsdimension (eventName) und dass während des Zeitfensters 30 PutAuditEvents Aufrufe stattgefunden haben. In den Detaileinträgen werden diese Aufrufe weiter nachresourceARN,, und userIdentity userAgent aufgeschlüsselt, sourceIpAddress um zu zeigen, wie die Aktivität auf Ressourcen, Prinzipale und Clients verteilt ist.

{  
    "eventVersion": "1.0",  
    "accountId": "111122223333",  
    "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",  
    "eventCategory": "Aggregated",  
    "eventType": "AwsAggregatedEvent",  
    "awsRegion": "us-east-1",  
    "eventSource": "cloudtrail-data.amazonaws.com",  
    "timeWindow":  
    {  
        "windowStart": "2025-10-30 23:45:00",  
        "windowEnd": "2025-10-30 23:50:00",  
        "windowSize": "PT5M"  
    },  
    "summary":  
    {  
        "primaryDimension":  
        {  
            "dimension": "eventName",  
            "statistics":  
            [  
                {  
                    "name": "PutAuditEvents",  
                    "value": 30  
                }  
            ],  
            "aggregationType": "Count"  
        },  
        "details":  
        [  
            {  
                "dimension": "resourceARN",  
                "statistics":  
                [  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",  
                        "value": 20  
                    },  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userIdentity",  
                "statistics":  
                [  
                    {  
                        "name": "AWSAccount:111122223333",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWSService:AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userAgent",  
                "statistics":  
                [  
                    {  
                        "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value":10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "sourceIpAddress",  
                "statistics":  
                [  
                    {  
                        "name": "1.2.3.4",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            }  
        ]  
    }  
}