CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen - AWS CloudTrail
Reihenfolge der Feldkürzung für eine maximale Eventgröße von 1 MBBeispiel für die sharedEventID

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen

Auf dieser Seite werden die Datensatzinhalte eines Verwaltungs-, Daten- oder Netzwerkaktivitätsereignisses beschrieben.

Der Hauptteil des Datensatzes enthält Felder, mit deren Hilfe Sie die angeforderte Aktion bestimmen können sowie wann und wo die Anforderung gestellt wurde. Wenn der Wert von Optional True lautet, ist das Feld nur vorhanden, wenn es für den Service, die API oder den Ereignistyp gilt. Der optionale Wert False bedeutet, dass das Feld entweder immer vorhanden ist oder dass seine Präsenz nicht vom Service, der API oder dem Ereignistyp abhängt. Ein Beispiel ist responseElements, das in Ereignissen für Aktionen vorhanden ist, die Änderungen vornehmen (Erstellungs-, Aktualisierungs- oder Löschungsaktionen).

Anmerkung

Felder für erweiterte Ereignisse, z. B. eventContext sind nur für Verwaltungsereignisse und Datenereignisse verfügbar. Sie sind nicht für Netzwerkereignisse verfügbar.

eventTime

Das Datum und die Uhrzeit, zu der die Anforderung abgeschlossen wurde, in koordinierter Weltzeit (UTC). Der Zeitstempel eines Ereignisses stammt vom lokalen Host, der den Service-API-Endpunkt bereitstellt, auf dem der API-Aufruf erfolgte. Beispielsweise würde ein CreateBucket API-Ereignis, das in der Region USA West (Oregon) ausgeführt wird, seinen Zeitstempel von der Uhrzeit auf einem AWS -Host erhalten, auf dem der Amazon-S3-Endpunkt ausgeführt wirds3.us-west-2.amazonaws.com. Im Allgemeinen verwenden AWS -Services das Network Time Protocol (NTP), um ihre Systemuhren zu synchronisieren.

Seit: 1.0

Optional: False

eventVersion

Die Version des Protokollereignisformats. Die aktuelle Version ist 1.11.

Der eventVersion Wert ist eine Haupt- und eine Nebenversion im Formularmajor_version. minor_version. Sie können beispielsweise einen eventVersion-Wert von 1.10 haben, wobei 1 die Hauptversion und 10 die Nebenversion ist.

CloudTrail erhöht die Hauptversion, wenn eine Änderung an der Ereignisstruktur vorgenommen wird, die nicht abwärtskompatibel ist. Dies beinhaltet das Entfernen eines JSON-Feldes, das bereits vorhanden ist, oder das Ändern, wie die Inhalte eines Feldes dargestellt werden (Beispiel: ein Datumsformat). CloudTrail erhöht die Nebenversion, wenn eine Änderung der Ereignisstruktur neue Felder hinzufügt. Dies kann der Fall sein, wenn neue Informationen für einige oder alle vorhandenen Ereignisse verfügbar sind oder wenn neue Informationen nur für neue Ereignistypen verfügbar sind. Anwendungen können neue Felder ignorieren, um weiter kompatibel mit neuen Nebenversionen der Ereignisstruktur zu sein.

Wenn neue Ereignistypen CloudTrail eingeführt werden, aber die Struktur des Ereignisses ansonsten unverändert bleibt, ändert sich die Ereignisversion nicht.

Um sicherzustellen, dass Ihre Anwendungen die Ereignisstruktur analysieren können, empfehlen wir Ihnen, einen Gleichheitsvergleich der Hauptversionsnummer durchzuführen. Um sicherzustellen, dass Felder vorhanden sind, die von Ihrer Anwendung erwartet werden, empfehlen wir zudem, die Durchführung eines greater-than-or-equal -to-Vergleichs mit der Hauptversion. Es gibt keine führenden Nullen in der Nebenversion. Sie können sowohl als auch major_version minor_version als Zahlen interpretieren und Vergleichsoperationen durchführen.

Seit: 1.0

Optional: False

userIdentity

Informationen über die IAM-Identität, die eine Anforderung erstellt hat. Weitere Informationen finden Sie unter CloudTrail UserIdentity-Element.

Seit: 1.0

Optional: False

eventSource

Der Service, bei dem die Anforderung gestellt wurde. Dieser Name ist normalerweise eine Kurzform des Servicenamens ohne Leerzeichen plus .amazonaws.com. Zum Beispiel:

  • AWS CloudFormation istcloudformation.amazonaws.com.

  • Amazon EC2 istec2.amazonaws.com.

  • Amazon Simple Workflow Service ist swf.amazonaws.com.

Zu dieser Konvention gibt es einige Ausnahmen. Zum Beispiel CloudWatch ist das eventSource für Amazonmonitoring.amazonaws.com.

Seit: 1.0

Optional: False

eventName

Die angeforderte Aktion, die eine der Aktionen in der API für diesen Service ist.

Seit: 1.0

Optional: False

awsRegion

Die AWS-Region , an die die Anfrage gestellt wurde, z. us-east-2 B. Siehe CloudTrail unterstützte Regionen.

Seit: 1.0

Optional: False

sourceIPAddress

Die IP-Adresse, von der die Anforderung erfolgt ist. Bei Aktionen, die von der Servicekonsole ausgehen, ist die gemeldete Adresse die der zugrunde liegenden Kundenressource, nicht die des Konsolen-Webservers. Bei Services in AWS wird nur der DNS-Name angezeigt.

Anmerkung

Bei aus AWS stammenden Ereignissen ist der Inhalt dieses Felds in der Regel AWS Internal/#, wobei # eine Zahl ist, die für interne Zwecke verwendet wird.

Seit: 1.0

Optional: False

userAgent

Der Agent, über den die Anfrage gestellt wurde, z. B. der AWS Management Console, ein AWS Dienst, der AWS SDKs oder der AWS CLI.

Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur gekürzt, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Es folgen Beispielwerte:

  • lambda.amazonaws.com – Die Anforderung wurde mit AWS Lambda erstellt.

  • aws-sdk-java – Die Anforderung wurde mit AWS SDK für Java erstellt.

  • aws-sdk-ruby – Die Anforderung wurde mit AWS SDK für Ruby erstellt.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5— Die Anfrage wurde mit der AWS CLI Installation auf Linux gestellt.

Anmerkung

Für Ereignisse, die von AWS, wenn CloudTrail weiß, wer den Aufruf AWS-Service getätigt hat, ausgelöst wurden, ist dieses Feld die Ereignisquelle des aufrufenden Dienstes (zum Beispielec2.amazonaws.com). Andernfalls ist dieses Feld eine ZahlAWS Internal/#, # die für interne Zwecke verwendet wird.

Seit: 1.0

Optional: Wahr

errorCode

Der AWS -Servicefehler, wenn die Anforderung einen Fehler zurückgegeben hat. Ein Beispiel, das dieses Feld zeigt, finden Sie unter Beispiel für ein Protokoll mit Fehlercode und Fehlermeldung.

Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur gekürzt, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Bei Netzwerkaktivitätsereignissen lautet der Fehlercode, wenn eine Verletzung der VPC-Endpunktrichtlinie vorliegt. VpceAccessDenied

Seit: 1.0

Optional: Wahr

errorMessage

Die Beschreibung des Fehlers, sofern die Anforderung einen Fehler zurückgegeben hat. Diese Meldung enthält Meldungen zu Autorisierungsfehlern. CloudTrail erfasst die Meldung, die von dem Service bei der Ausnahmebehandlung protokolliert wurde. Ein Beispiel finden Sie unter Beispiel für ein Protokoll mit Fehlercode und Fehlermeldung.

Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur gekürzt, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Wenn bei Netzwerkaktivitätsereignissen ein Verstoß gegen die VPC-Endpunktrichtlinie vorliegt, errorMessage wird immer die folgende Meldung angezeigt:The request was denied due to a VPC endpoint policy. Weitere Informationen zu Ereignissen mit Zugriffsverweigerung aufgrund von Verstößen gegen VPC-Endpunktrichtlinien finden Sie unter Beispiele für Fehlermeldungen mit Zugriffsverweigerung im IAM-Benutzerhandbuch. Ein Beispiel für ein Netzwerkaktivitätsereignis, das einen Verstoß gegen die VPC-Endpunktrichtlinie zeigt, finden Sie unter Netzwerkaktivitätsereignisse in diesem Handbuch.

Anmerkung

Einige AWS Dienste stellen die Felder errorCode und errorMessage als Felder auf oberster Ebene für das Ereignis bereit. Andere AWS -Services stellen Fehlerinformationen im Rahmen von responseElements bereit.

Seit: 1.0

Optional: Wahr

requestParameters

Die Parameter, die mit der Anforderung gesendet wurden, sofern zutreffend. Informationen zu diesen Parametern finden Sie in der API-Referenzdokumentation zum betreffenden AWS -Service. Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der requestParameters Inhalt weggelassen. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur weggelassen, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Seit: 1.0

Optional: False

responseElements

Die Antwortelemente, falls vorhanden, für Aktionen, die Änderungen vornehmen (Erstellungs-, Aktualisierungs- oder Löschungsaktionen). Für readOnly APIs ist dieses Feldnull. Wenn die -Aktion gibt keine Antwortelemente zurück, dieses Feld schonnull. Die Antwortelemente für Aktionen sind in der API-Referenz dokumentiert Dokumentation für die entsprechenden AWS-Service.

Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der reponseElements Inhalt weggelassen. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur weggelassen, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Der responseElements Wert ist hilfreich, um eine Anfrage zu verfolgen mit AWS -Support. Sowohl als x-amz-request-id auch x-amz-id-2 enthalten Informationen, die Ihnen helfen, eine Anfrage nachzuverfolgen Support. Diese Werte sind dieselben, die der Service in der Antwort auf die Anforderung zurückgibt initiiert die Ereignisse, sodass Sie sie verwenden können, um das Ereignis dem zuzuordnen anfragen.

Seit: 1.0

Optional: False

additionalEventData

Zusätzliche Daten zu dem Ereignis, die nicht Teil der Anforderung oder Antwort waren. Dieses Feld hat eine maximale Größe von 28 KB. Wenn die Feldgröße 28 KB überschreitet, wird der additionalEventData Inhalt weggelassen. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur weggelassen, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Der Inhalt von additionalEventData ist variabel. additionalEventDataKönnte beispielsweise für AWS Management Console Anmeldeereignisse das MFAUsed Feld mit dem Wert enthalten, Yes ob die Anfrage von einem Root- oder IAM-Benutzer mit Multi-Faktor-Authentifizierung (MFA) gestellt wurde.

Seit: 1.0

Optional: Wahr

requestID

Der Wert, anhand dessen die Anforderung identifiziert wird. Der aufgerufene Service generiert diesen Wert. Dieses Feld hat eine maximale Größe von 1 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur gekürzt, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Seit: 1.01

Optional: Wahr

eventID

GUID, die von generiert wird CloudTrail , um jedes Ereignis eindeutig zu identifizieren. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. Beispiel: Sie können die ID als Primärschlüssel zum Abrufen von Protokolldaten aus einer durchsuchbaren Datenbank verwenden.

Seit: 1.01

Optional: False

eventType

Identifiziert den Typ des Ereignisses, das den Ereignisdatensatz generiert hat. Dabei kann es sich um einen der folgenden Werte handeln:

  • AwsApiCall – Eine API wurde aufgerufen.

  • AwsServiceEvent – Der Service hat ein Ereignis mit Bezug zu Ihrem Trail generiert. Beispiel: Dies kann auftreten, wenn ein anderes Konto einen Aufruf mit einer Ressource getätigt hat, deren Eigentümer Sie sind.

  • AwsConsoleAction – In der Konsole wurde eine Aktion ausgeführt, die kein API-Aufruf war.

  • AwsConsoleSignIn— Ein Benutzer in Ihrem Konto (root, IAM, Federated, SAML oder SwitchRole) hat sich bei dem angemeldet. AWS Management Console

  • AwsVpceEvents— CloudTrail Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Um Netzwerkaktivitätsereignisse aufzuzeichnen, muss der Besitzer des VPC-Endpoints Netzwerkaktivitätsereignisse für die Ereignisquelle aktivieren.

Seit: 1.02

Optional: False

apiVersion

Identifiziert die API-Version, die dem Wert AwsApiCall eventType zugeordnet ist.

Seit: 1.01

Optional: Wahr

managementEvent

Ein boolescher Wert, der angibt, ob es sich bei dem Ereignis um ein Verwaltungsereignis handelt. managementEvent wird in einem Ereignisdatensatz angezeigt, wenn eventVersion 1.06 oder höher und der Ereignistyp einer der folgenden ist:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Seit: 1.06

Optional: Wahr

readOnly

Gibt an, ob es sich um einen schreibgeschützten Vorgang handelt. Dabei kann es sich um einen der folgenden Werte handeln:

  • true – Der Vorgang ist schreibgeschützt (z. B. DescribeTrails).

  • false – Der Vorgang ist lesegeschützt (z. B. DeleteTrail).

Seit: 1.01

Optional: Wahr

resources

Eine Liste der Ressourcen, auf die bei dem Ereignis zugegriffen wurde. Das Feld kann die folgenden Informationen enthalten:

  • Ressource ARNs

  • Konto-ID des Ressourceneigentümers

  • Ressourcentyp-ID im folgenden Format: AWS::aws-service-name::data-type-name

Wenn beispielsweise ein AssumeRole-Ereignis protokolliert wird, kann das Feld resources wie folgt angezeigt werden:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • Konto-ID: 123456789012

  • Ressourcentyp-ID: AWS::IAM::Role

Logs mit dem resources Feld finden Sie beispielsweise unter AWS STS API-Ereignis in CloudTrail Protokolldatei im IAM-Benutzerhandbuch oder Protokollierung von AWS KMS API-Aufrufen im AWS Key Management Service Entwicklerhandbuch.

Seit: 1.01

Optional: Wahr

recipientAccountId

Repräsentiert die Konto-ID, die das Ereignis empfangen hat. Die recipientAccountID kann von der CloudTrail UserIdentity-Element accountId abweichen. Dies kann bei kontoübergreifendem Ressourcenzugriff vorkommen. Wenn beispielsweise ein KMS-Schlüssel, auch als AWS KMS key bezeichnet, von einem separaten Konto verwendet wurde, um die Verschlüsselungs-API aufzurufen, sind die Werte accountId und recipientAccountID für das Ereignis, das an das Konto gesendet wird, von dem der Aufruf stammt, dieselben, aber die Werte für das Ereignis, das an das Konto übermittelt werden, das Eigentümer des KMS-Schlüssel ist, weichen ab.

Seit: 1.02

Optional: Wahr

serviceEventDetails

Identifiziert das Serviceereignis, einschließlich des Auslösers des Ereignisses und des Ergebnisses. Weitere Informationen finden Sie unter AWS-Service Ereignisse. Dieses Feld hat eine maximale Größe von 100 KB. Wenn die Feldgröße 100 KB überschreitet, wird der serviceEventDetails Inhalt weggelassen. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur weggelassen, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Seit: 1.05

Optional: Wahr

sharedEventID

Von generierte GUID CloudTrail zur eindeutigen Identifizierung von CloudTrail Ereignissen aus derselben AWS -Aktion, die an andere AWS -Konten gesendet wird.

Wenn zum Beispiel ein Konto einen verwendet, der zu einem AWS KMS keyanderen Konto gehört, erhalten das Konto, das den KMS-Schlüssel verwendet, und das Konto, das Eigentümer des KMS-Schlüssel ist, separate CloudTrail Ereignisse für dieselbe Aktion. Jedes CloudTrail Ereignis, das für diese AWS Aktion bereitgestellt wird, hat dasselbesharedEventID, hat aber auch ein eindeutiges eventID undrecipientAccountID.

Weitere Informationen finden Sie unter Beispiel für die sharedEventID.

Anmerkung

Das sharedEventID Feld ist nur vorhanden, wenn CloudTrail Ereignisse an mehrere Konten übermittelt werden. Wenn dasselbe AWS -Konto Aufrufer und Eigentümer ist, sendet CloudTrail nur ein Ereignis und das Feld sharedEventID ist nicht vorhanden.

Seit: 1.03

Optional: Wahr

vpcEndpointId

Identifiziert den VPC-Endpunkt, von dem aus Anforderungen aus einer VPC an einen anderen AWS -Service getätigt wurden, z. B. Amazon. EC2

Anmerkung

Für Ereignisse, die von AWS und über die VPC eines AWS-Service Benutzers ausgelöst werden, ist dieses Feld normalerweise AWS Internal oder der Dienstname.

Seit: 1.04

Optional: Wahr

vpcEndpointAccountId

Identifiziert die AWS-Konto ID des Besitzers des VPC-Endpunkts für den entsprechenden Endpunkt, für den eine Anfrage durchlaufen wurde.

Anmerkung

Für Ereignisse, die von AWS und über die VPC eines AWS-Service Benutzers ausgelöst werden, ist dieses Feld normalerweise AWS Internal oder der Dienstname.

Seit: 1.09

Optional: Wahr

eventCategory

Zeigt die Kategorie des Ereignisses an. Die Ereigniskategorie wird in LookupEventsAufrufen verwendet, um nach Verwaltungsereignissen zu filtern.

  • Bei Verwaltungsereignissen lautet der Wert Management.

  • Bei Datenereignissen lautet der Wert Data.

  • Für Netzwerkaktivitätsereignisse ist der WertNetworkActivity.

Seit: 1.07

Optional: False

addendum

Wenn eine Ereigniszustellung verzögert wurde oder zusätzliche Informationen zu einem vorhandenen Ereignis verfügbar werden, nachdem das Ereignis protokolliert wurde, zeigt ein Zusatzfeld Informationen darüber an, warum das Ereignis verzögert wurde. Wenn Informationen zu einem bestehenden Ereignis fehlten, enthält das Nachtragsfeld die fehlenden Informationen und einen Grund für das Fehlen. Die Inhalte sind folgende.

  • reason – Der Grund, dass das Ereignis oder einige seiner Inhalte fehlten. Werte können einer der folgenden sein.

    • DELIVERY_DELAY— Es gab eine Verzögerung bei der Lieferung von Ereignissen. Dies kann durch hohen Netzwerkverkehr, Verbindungsprobleme oder ein CloudTrail Serviceproblem verursacht werden.

    • UPDATED_DATA – Ein Feld im Ereignisdatensatz fehlte oder hatte einen falschen Wert.

    • SERVICE_OUTAGE— Ein Service, der Ereignisse protokolliert, bei dem CloudTrail ein Ausfall aufgetreten ist, bei dem keine Ereignisse protokolliert werden konnten. CloudTrail Dies ist außergewöhnlich selten.

  • updatedFields – Die Ereignisdatensatzfelder, die durch das Addendum aktualisiert werden. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

  • originalRequestID – Die ursprüngliche eindeutige ID der Anfrage. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

  • originalEventID – Die ursprüngliche Ereignis-ID. Dies wird nur angegeben, wenn der Grund UPDATED_DATA ist.

Seit: 1.08

Optional: Wahr

sessionCredentialFromConsole

Zeichenfolge mit dem Wert true oderfalse, der angibt, ob ein Ereignis aus einer AWS Management Console -Sitzung stammt oder nicht. Dieses Feld wird nur angezeigt, wenn der Wert true ist, was bedeutet, dass der Client, der für den API-Aufruf verwendet wurde, entweder ein Proxy oder ein externer Client war. Wenn ein Proxy-Client verwendet wurde, wird das tlsDetails-Ereignisfeld nicht angezeigt.

Seit: 1.08

Optional: Wahr

eventContext

Dieses Feld ist in erweiterten Ereignissen enthalten, die für Ereignisdatenspeicher aufgezeichnet wurden, die so konfiguriert wurden, dass sie Ressourcen-Tag-Schlüssel oder globale IAM-Bedingungsschlüssel enthalten. Weitere Informationen finden Sie unter Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen.

Die Inhalte sind folgende:

  • requestContext— Enthält Informationen zu den globalen IAM-Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details zum Prinzipal, zur Sitzung, zum Netzwerk und zur Anfrage selbst.

  • tagContext— Beinhaltet die Tags, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren, sowie Tags, die mit IAM-Prinzipalen wie Rollen oder Benutzern verknüpft sind. Weitere Informationen finden Sie unter Steuern des Zugriffs für IAM-Prinzipale.

    API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.

Anmerkung

Das eventContext Feld ist nur in Ereignissen für Ereignisdatenspeicher vorhanden, die so konfiguriert sind, dass sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel enthalten. Ereignisse, die an Event History, Amazon EventBridge, gesendet, mit dem AWS CLI lookup-events Befehl eingesehen und an Trails übermittelt wurden, enthalten das eventContext Feld nicht.

Seit: 1.11

Optional: Wahr

edgeDeviceDetails

Zeigt Informationen zu Edge-Geräten an, die Ziele einer Anforderung sind. Derzeit enthalten S3 Outposts-Gerätereignisse dieses Feld. Dieses Feld hat eine maximale Größe von 28 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgeschnitten. Bei Ereignisdatenspeichern, die für eine maximale Ereignisgröße von 1 MB konfiguriert sind, wird der Feldinhalt nur gekürzt, wenn die Ereignisnutzlast 1 MB überschreitet und die maximale Feldgröße überschritten wird.

Seit: 1.08

Optional: Wahr

tlsDetails

Zeigt Informationen über die Transport-Layer-Security (TLS)-Version, Verschlüsselungssammlungen und den vollqualifizierten Domainnamen des vom Client bereitgestellten Hostnamens eines Service-API-Aufrufs an. CloudTrailprotokolliert weiterhin teilweise TLS-Details, wenn die erwarteten Informationen fehlen oder leer sind. Wenn beispielsweise die TLS-Version und die Verschlüsselungssammlung vorhanden sind, der HOST Header jedoch leer ist, werden verfügbare TLS-Details weiterhin im CloudTrail Ereignis protokolliert.

  • tlsVersion – Die TLS-Version einer Anfrage.

  • cipherSuite – Die Verschlüsselungssuite (Kombination der verwendeten Sicherheitsalgorithmen) einer Anfrage.

  • clientProvidedHostHeader- Der vom Client bereitgestellte Hostname, der im Service-API-Aufruf verwendet wird, der normalerweise der FQDN des Serviceendpunkts ist.

Anmerkung

Es gibt Fälle, in denen das Feld tlsDetails in einem Ereignisdatensatz nicht vorhanden ist.

  • Das tlsDetails Feld ist nicht vorhanden, wenn der API-Aufruf von einem in AWS-Service Ihrem Namen ausgeführt wurde. Das Feld invokedBy im userIdentity-Element identifiziert den AWS-Service , der den API-Aufruf ausgeführt hat.

  • Wenn sessionCredentialFromConsole mit dem Wert „Wahr“ vorliegt, ist tlsDetails nur dann in einem Ereignisdatensatz vorhanden, wenn ein externer Client für den API-Aufruf verwendet wurde.

Seit: 1.08

Optional: Wahr

Reihenfolge der Feldkürzung für eine maximale Eventgröße von 1 MB

Sie können die maximale Ereignisgröße von 256 KB auf 1 MB erhöhen, wenn Sie mit der CloudTrail Konsole AWS CLI, und SDKs einen Ereignisdatenspeicher erstellen oder aktualisieren.

Die Erweiterung der Ereignisgröße ist für die Analyse und Problembehandlung von Ereignissen hilfreich, da Sie so den vollständigen Inhalt von Feldern sehen können, die normalerweise gekürzt oder weggelassen würden.

Wenn die Nutzlast des Ereignisses 1 MB überschreitet, werden Felder in der CloudTrail folgenden Reihenfolge gekürzt:

  • annotation

  • requestID

  • additionalEventData

  • serviceEventDetails

  • userAgent

  • errorCode

  • eventContext

  • responseElements

  • requestParameters

  • errorMessage

Wenn die Nutzlast eines Ereignisses auch nach dem Kürzen nicht auf unter 1 MB reduziert werden kann, tritt ein Fehler auf.

Beispiel für die sharedEventID

Es folgt ein Beispiel, in dem beschrieben wird, wie CloudTrail zwei Ereignisse für dieselbe Aktion übermittelt werden:

  1. Alice hat das AWS -Konto (111111111111) und erstellt. AWS KMS key Sie ist der Eigentümer des KMS-Schlüssels.

  2. Bob hat das AWS -Konto (222222222222). Alice weist Bob die Berechtigung zur Verwendung des KMS-Schlüssel zu.

  3. Jedes Konto verfügt über einen Trail und einen separaten Bucket.

  4. Bob verwendet den KMS-Schlüssel, um die Encrypt-API aufzurufen.

  5. CloudTrail sendet zwei separate Ereignisse.

    • Ein Ereignis wird an Bob gesendet. Das Ereignis zeigt, dass er den KMS-Schlüssel verwendet hat.

    • Ein Ereignis wird an Alice gesendet. Das Ereignis zeigt, dass Bob den KMS-Schlüssel verwendet hat.

    • Die Ereignisse haben dieselbe sharedEventID, aber eventID und recipientAccountID sind eindeutig.

Anzeige des Felds "sharedEventID" in Protokollen