CloudTrail Ereignisse verstehen - AWS CloudTrail
VerwaltungsereignisseDatenereignisseNetzwerkaktivitätsereignisseEinblicke und Ereignisse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Ereignisse verstehen

Ein Ereignis in CloudTrail ist die Aufzeichnung einer Aktivität in einem AWS Konto. Bei dieser Aktivität kann es sich um eine Aktion handeln, die von einer IAM-Identität oder einem Dienst ausgeführt wird, der von überwacht werden kann. CloudTrail CloudTrail Ereignisse bieten eine Historie sowohl der API- als auch der Nicht-API-Kontoaktivitäten AWS Management Console, die über die Befehlszeilentools, AWS SDKs, und andere ausgeführt wurden. AWS-Services

CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.

Es gibt vier Arten von CloudTrail Ereignissen:

Standardmäßig protokollieren Trails and Event Data Verwaltungsereignisse, jedoch keine Datenereignisse, Netzwerkaktivitätsereignisse oder Insights-Ereignisse.

Alle Ereignistypen verwenden ein CloudTrail JSON-Protokollformat. Das Protokoll enthält Informationen zu Anforderungen von Ressourcen in Ihrem Konto, z. B. wer die Anforderung gestellt hat, welche Services verwendet, welche Aktionen ausgeführt und welche Parameter für die Aktion eingesetzt wurden. Die Ereignisdaten sind in einem Records-Array enthalten.

Hinweise zu CloudTrail Ereignisdatensatzfeldern für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse finden Sie unterCloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen.

Informationen zu CloudTrail Ereignisdatensatzfeldern für Insights-Ereignisse für Trails finden Sie unterCloudTrail protokollieren Sie den Inhalt von Insights-Ereignissen für Trails.

Informationen zu CloudTrail Ereignisdatensatzfeldern für Insights-Ereignisse für Ereignisdatenspeicher finden Sie unterCloudTrail Aufzeichnen von Inhalten für Insights-Ereignisse für Ereignisdatenspeicher.

Verwaltungsereignisse

Verwaltungsereignisse enthalten Informationen zu Verwaltungsvorgängen, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet.

Beispiele für Verwaltungsereignisse:

  • Konfiguration der Sicherheit (z. B. AWS Identity and Access Management AttachRolePolicy API-Operationen).

  • Registrierung von Geräten (z. B. EC2 CreateDefaultVpc Amazon-API-Operationen).

  • Konfiguration von Regeln für das Routing von Daten (z. B. EC2 CreateSubnet Amazon-API-Operationen).

  • Einrichtung der Protokollierung (z. B. AWS CloudTrail CreateTrail API-Operationen).

Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto CloudTrail anmeldet, wird das ConsoleLogin Ereignis protokolliert. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.

In den Ereignisdaten von CloudTrail Trails und CloudTrail Lake werden standardmäßig Verwaltungsereignisse gespeichert. Weitere Informationen zur Protokollierung von Verwaltungsereignissen finden Sie unterProtokollieren von Verwaltungsereignissen.

Das folgende Beispiel zeigt einen einzelnen Protokolldatensatz eines Verwaltungsereignisses. In diesem Fall Mary_Major führte ein IAM-Benutzer mit dem Namen den aws cloudtrail start-logging Befehl aus, um die CloudTrail StartLoggingAktion zum Starten des Protokollierungsprozesses in einem Pfad mit dem Namen myTrail aufzurufen.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Im nächsten Beispiel hat ein IAM-Benutzer mit dem Namen Paulo_Santos den Befehl aws cloudtrail start-event-data-store-ingestion ausgeführt, um die Aktion StartEventDataStoreIngestion aufzurufen und die Aufnahme in einen Ereignisdatenspeicher zu starten.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Datenereignisse

Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.

Beispiele für Datenereignisse:

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Datenspeicher für Pfade und Ereignisse verfügbar sind. In der Spalte Ressourcentyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie angeben würden, um Datenereignisse dieses Typs in Ihren Trail- oder Event-Datenspeicher aufzunehmen, indem Sie oder verwenden. AWS CLI CloudTrail APIs

Für Trails können Sie einfache oder erweiterte Event-Selektoren verwenden, um Datenereignisse für Amazon S3 S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Event-Selektoren verwenden, um die in den verbleibenden Zeilen angezeigten Ressourcentypen zu protokollieren.

Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.

Datenereignisse werden unterstützt von AWS CloudTrail

AWS-Service Beschreibung Ressourcentyp (Konsole) resources.type-Wert
AWS Backup

AWS Backup Suchdaten-API-Aktivität bei Suchaufträgen.

 AWS Backup Daten durchsuchen APIs AWS::Backup::SearchJob
AWS IoT

AWS IoT API-Aktivität für Zertifikate.

 IoT-Zertifikat AWS::IoT::Certificate
AWS IoT

AWS IoT API-Aktivität für Dinge.

 IoT-Sache AWS::IoT::Thing
AWS Private CA

AWS Private CA Konnektor für Active Directory-API-Aktivitäten.

 AWS Private CA Konnektor für Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Konnektor für die SCEP-API-Aktivität.

 AWS Private CA Konnektor für SCEP AWS::PCAConnectorSCEP::Connector
Amazon RDS

Amazon RDS-API-Aktivität in einem DB-Cluster.

 RDS-Daten-API — DB-Cluster AWS::RDS::DBCluster
Amazon S3

API-Aktivitäten auf Amazon S3 S3-Objektebene (z. B., GetObjectDeleteObject, und PutObject API-Operationen) für Objekte in Allzweck-Buckets.

 S3 AWS::S3::Object
Amazon S3

Amazon S3 S3-API-Aktivität auf Access Points.

 S3-Zugangspunkt AWS::S3::AccessPoint
Amazon S3

Amazon S3 S3-API-Aktivität auf Objektebene (z. B., GetObjectDeleteObject, und PutObject API-Operationen) für Objekte in Verzeichnis-Buckets.

 S3 Express AWS::S3Express::Object
Amazon S3

API-Aktivitäten für Amazon S3 Object Lambda Access Points, z. B. Aufrufe von CompleteMultipartUpload undGetObject.

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3

FSx Amazon-API-Aktivität auf Volumes.

FSx Volumen AWS::FSx::Volume
Amazon S3 Tables

Amazon S3 S3-API-Aktivität für Tabellen.

 S3-Tabelle AWS::S3Tables::Table
Amazon S3 Tables

Amazon S3 S3-API-Aktivität für Tabellen-Buckets.

 S3-Tabell-Bucket AWS::S3Tables::TableBucket
Amazon S3 on Outposts

API-Aktivität auf Objektebene auf Amazon S3 on Outposts.

 S3-Outposts AWS::S3Outposts::Object
Amazon SNS

Publish-API-Operationen von Amazon SNS auf Plattformendpunkten.

 SNS-Plattformendpunkt AWS::SNS::PlatformEndpoint
Amazon SNS

Publish- und PublishBatch-API-Operationen von Amazon SNS zu Themen.

 SNS-Thema AWS::SNS::Topic
Amazon SQS

Amazon-SQS-API-Aktivität auf Nachrichten.

 SQS AWS::SQS::Queue
AWS Supply Chain

AWS Supply Chain API-Aktivität auf einer Instanz.

 Lieferkette AWS::SCN::Instance
Amazon SWF

Amazon SWF SWF-API-Aktivität auf Domains.

 SWF-Domäne AWS::SWF::Domain
AWS AppConfig

AWS AppConfig API-Aktivität für Konfigurationsvorgänge wie Aufrufe von StartConfigurationSession undGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync API-Aktivität auf AppSync GraphQL APIs.

 AppSync GraphQL AWS::AppSync::GraphQLApi
Amazon Aurora DSQL

Amazon Aurora DSQL API-Aktivität auf Cluster-Ressourcen.

Amazon Aurora DSQL AWS::DSQL::Cluster
AWS B2B-Datenaustausch

B2B-Datenaustausch-API-Aktivität für Transformer-Operationen wie Aufrufe von GetTransformerJob und StartTransformerJob.

 B2B-Datenaustausch AWS::B2BI::Transformer
Amazon Bedrock Amazon-Bedrock-API-Aktivität auf einem Agent-Alias. Bedrock-Agent-Alias AWS::Bedrock::AgentAlias
Amazon Bedrock Amazon Bedrock API-Aktivität bei asynchronen Aufrufen. Asynchroner Aufruf von Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock Amazon Bedrock API-Aktivität für einen Flow-Alias. Bedrock Flow-Alias AWS::Bedrock::FlowAlias
Amazon Bedrock Amazon Bedrock API-Aktivität auf Leitplanken. Grundfels-Leitplanke AWS::Bedrock::Guardrail
Amazon Bedrock Amazon Bedrock API-Aktivität auf Inline-Agenten. Bedrock Inline-Agent aufrufen AWS::Bedrock::InlineAgent
Amazon Bedrock Amazon-Bedrock-API-Aktivität auf einer Wissensdatenbank. Bedrock-Wissensdatenbank AWS::Bedrock::KnowledgeBase
Amazon Bedrock Amazon Bedrock API-Aktivität für Modelle. Bedrock-Modell AWS::Bedrock::Model
Amazon Bedrock Amazon Bedrock API-Aktivität bei Eingabeaufforderungen. Bedrock-Eingabeaufforderung AWS::Bedrock::PromptVersion
Amazon Bedrock Amazon Bedrock API-Aktivität in Sitzungen. Bedrock-Sitzung AWS::Bedrock::Session
Amazon Bedrock

Amazon Bedrock API-Aktivität bei Flow-Ausführungen.

Ausführung von Bedrock-Flows AWS::Bedrock::FlowExecution
Amazon Bedrock

Amazon Bedrock API-Aktivität im Rahmen einer automatisierten Argumentationsrichtlinie.

Richtlinie für automatisiertes Denken von Bedrock AWS::Bedrock::AutomatedReasoningPolicy
Amazon Bedrock

Amazon Bedrock API-Aktivität in einer Version mit automatisierter Argumentationsrichtlinie.

Version der Bedrock-Richtlinie für automatisiertes Denken AWS::Bedrock::AutomatedReasoningPolicyVersion
AWS Cloud Map AWS Cloud Map API-Aktivität in einem Namespace. AWS Cloud Map Namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map API-Aktivität für einen Dienst. AWS Cloud Map Service nicht zulässig AWS::ServiceDiscovery::Service
Amazon CloudFront

CloudFront API-Aktivität auf einem KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS CloudTrail

CloudTrail PutAuditEventsAktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS.

 CloudTrail Kanal AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch Amazon-API-Aktivität in Bezug auf Metriken.

 CloudWatch Metrik AWS::CloudWatch::Metric
Amazon CloudWatch Network Flow Monitor

Amazon CloudWatch Network Flow Monitor-API-Aktivität auf Monitoren.

 Network Flow Monitor überwachen AWS::NetworkFlowMonitor::Monitor
Amazon CloudWatch Network Flow Monitor

Amazon CloudWatch Network Flow Monitor-API-Aktivität in Bereichen.

 Umfang von Network Flow Monitor AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

Amazon CloudWatch RUM-API-Aktivität auf App-Monitoren.

 RUM-App-Monitor AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Profiler-API-Aktivität für Profilerstellungsgruppen. CodeGuru Profiler-Profiling-Gruppe AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer CodeWhisperer Amazon-API-Aktivität bei einer Anpassung. CodeWhisperer Anpassung AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer Amazon-API-Aktivität in einem Profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

API-Aktivität von Amazon Cognito in Amazon-Cognito-Identitätspools.

 Cognito-Identitätspools AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange API-Aktivität für Vermögenswerte.

Datenaustausch-Asset

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline CloudAPI-Aktivität auf Flotten.

Deadline Cloud Flotte

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline CloudAPI-Aktivität für Jobs.

Deadline Cloud Arbeit

AWS::Deadline::Job
AWS Deadline Cloud

Deadline CloudAPI-Aktivität in Warteschlangen.

Deadline Cloud Warteschlange

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline CloudAPI-Aktivität für Mitarbeiter.

Deadline Cloud Arbeiter

AWS::Deadline::Worker
Amazon-DynamoDB

Amazon DynamoDB DynamoDB-API-Aktivität auf Artikelebene für Tabellen (z. B., PutItemDeleteItem, und UpdateItem API-Operationen).

Anmerkung

Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem Feld einen Filter hinzu. eventName

 DynamoDB

AWS::DynamoDB::Table
Amazon-DynamoDB

API-Aktivitäten von Amazon DynamoDB in Streams.

 DynamoDB-Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) direkt APIs, wie PutSnapshotBlockGetSnapshotBlock, und ListChangedBlocks auf Amazon EBS-Snapshots.

 Amazon EBS direkt APIs AWS::EC2::Snapshot
Amazon Elastic Kubernetes Service

API-Aktivität von Amazon Elastic Kubernetes Service auf Dashboards.

Dashboard für Amazon Elastic Kubernetes Service AWS::EKS::Dashboard
Amazon EMR Amazon EMR-API-Aktivität in einem Write-Ahead-Log-Workspace. EMR-Write-Ahead-Log-Workspace AWS::EMRWAL::Workspace
AWS SMS-Nachrichten für Endbenutzer AWS SMS-API-Aktivität für Endbenutzer-Nachrichten auf Originalidentitäten. Identität der SMS-Sprachquelle AWS::SMSVoice::OriginationIdentity
AWS SMS-Nachrichten für Endbenutzer AWS SMS-API-Aktivität für Endbenutzer-Nachrichten in Bezug auf Nachrichten. SMS-Sprachnachricht AWS::SMSVoice::Message
AWS Nachrichtenübermittlung für Endbenutzer in sozialen Netzwerken AWS Social API-Aktivität für Endbenutzer-Messaging auf der Telefonnummer IDs. ID der Telefonnummer für soziale Nachrichten AWS::SocialMessaging::PhoneNumberId
AWS Social Messaging für Endbenutzer AWS Soziale API-Aktivität für Endbenutzer-Messaging auf Waba IDs. Waba-ID für soziale Nachrichten AWS::SocialMessaging::WabaId
Amazon FinSpace

API-Aktivitäten von Amazon FinSpace in Umgebungen.

 FinSpace AWS::FinSpace::Environment
GameLift Amazon-Streams

Amazon GameLift Streams Streaming-API-Aktivitäten für Anwendungen.

 GameLift Streams-Anwendung AWS::GameLiftStreams::Application
GameLift Amazon-Streams

Amazon GameLift Streaming-API-Aktivität in Stream-Gruppen.

 GameLift Stream-Gruppe streamt AWS::GameLiftStreams::StreamGroup
AWS Glue

AWS Glue API-Aktivität für Tabellen, die von Lake Formation erstellt wurden.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty Amazon-API-Aktivität für einen Detektor.

 GuardDuty Detektor AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging API-Aktivität in Datenspeichern.

 MedicalImaging Datenspeicher AWS::MedicalImaging::Datastore
AWS IoT Greengrass Version 2

Greengrass-API-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion.

Anmerkung

Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.

 IoT Greengrass-Komponentenversion AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Greengrass-API-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung.

Anmerkung

Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.

 Einsatz von IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise IoT-API-Aktivität für Anlagen.

 SiteWise IoT-Anlage AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise IoT-API-Aktivität in Zeitreihen.

 SiteWise IoT-Zeitreihen AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistentin

API-Aktivität des Sitewise Assistant bei Konversationen.

 Sitewise Assistant-Konversation AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

TwinMaker IoT-API-Aktivität für eine Entität.

 TwinMaker IoT-Entität AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker IoT-API-Aktivität in einem Workspace.

 TwinMaker IoT-Arbeitsplatz AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

API-Aktivität von Amazon Kendra Intelligent Rankin für Rescore-Ausführungspläne.

 Kendra-Rangliste AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (für Apache Cassandra) Amazon Keyspaces-API-Aktivität in einer Tabelle. Cassandra-Tabelle AWS::Cassandra::Table
Amazon Keyspaces (für Apache Cassandra)

API-Aktivität von Amazon Keyspaces (für Apache Cassandra) auf Cassandra CDC-Streams.

Cassandra CDC-Streams AWS::Cassandra::Stream
Amazon Kinesis Data Streams Kinesis Data Streams API-Aktivität in Streams. Kinesis-Stream AWS::Kinesis::Stream
Amazon Kinesis Data Streams Kinesis Data Streams API-Aktivität auf Stream-Verbrauchern. Kinesis Stream Consumer AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Kinesis Video Streams Streams-API-Aktivitäten in Videostreams, z. B. Aufrufe von GetMedia undPutMedia. Kinesis-Videostream AWS::KinesisVideo::Stream
AWS Lambda

AWS Lambda Aktivität zur Funktionsausführung (die Invoke API).

 Lambda AWS::Lambda::Function
Amazon Location Maps API-Aktivität von Amazon Location Maps. Geokarten AWS::GeoMaps::Provider
Amazon Location Places API-Aktivität von Amazon Location Places. Geo & Places AWS::GeoPlaces::Provider
Amazon Location Routes API-Aktivität von Amazon Location Routes. Geo-Routen AWS::GeoRoutes::Provider
Amazon Machine Learning API-Aktivität für Machine Learning auf ML-Modellen. Passendes Lernen MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

API-Aktivität von Amazon Managed Blockchain in einem Netzwerk.

 Managed-Blockchain-Netzwerk AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

JSON-RPC-Aufrufe von Amazon Managed Blockchain in Ethereum-Knoten, zum Beispiel eth_getBalance oder eth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

API-Aktivität für Amazon Managed Blockchain Query.

 Verwaltete Blockchain-Abfrage AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows für Apache Airflow

Amazon MWAA-API-Aktivität in Umgebungen.

 Verwalteter Apache Airflow AWS::MWAA::Environment
Amazon-Neptune-Graph

Daten-API-Aktivitäten in einem Neptune-Graph, zum Beispiel Abfragen, Algorithmen oder Vektorsuche.

 Neptun-Graph AWS::NeptuneGraph::Graph
Amazon One Enterprise

Amazon One Enterprise API-Aktivität auf einem UKey.

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Amazon One Enterprise API-Aktivität für Benutzer.

 Amazon One-Benutzer AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography API-Aktivität für Aliase. Alias für Zahlungskryptografie AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography API-Aktivität für Schlüssel. Kryptografie-Schlüssel für Zahlungen AWS::PaymentCryptography::Key
Amazon Pinpoint

Amazon Pinpoint API-Aktivität in mobilen Targeting-Anwendungen.

 Anwendung für mobiles Targeting AWS::Pinpoint::App
Amazon Q Apps

Daten-API-Aktivität auf Amazon Q Apps.

 Amazon Q Apps AWS::QApps::QApp
Amazon Q Apps

Daten-API-Aktivität in Amazon Q App-Sitzungen.

 Amazon Q App-Sitzung AWS::QApps::QAppSession
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einer Anwendung.

 Amazon-Q-Business-Anwendung AWS::QBusiness::Application
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einer Datenquelle.

 Amazon-Q-Business-Datenquelle AWS::QBusiness::DataSource
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einem Index.

 Amazon-Q-Business-Index AWS::QBusiness::Index
Amazon Q Business

Amazon-Q-Business-API-Aktivität auf einem Weberlebnis.

 Amazon-Q-Business-Weberlebnis AWS::QBusiness::WebExperience
Amazon Q Developer

Amazon Q Developer API-Aktivität für eine Integration.

 Q: Integration für Entwickler AWS::QDeveloper::Integration
Amazon Q Developer

Amazon Q Developer API-Aktivität im Zusammenhang mit operativen Untersuchungen.

 AIOps Ermittlungsgruppe AWS::AIOps::InvestigationGroup
Amazon SageMaker KI SageMaker InvokeEndpointWithResponseStreamAmazon-KI-Aktivitäten auf Endpunkten. SageMaker KI-Endpunkt AWS::SageMaker::Endpoint
Amazon SageMaker KI

Amazon SageMaker AI-API-Aktivität in Feature-Stores.

 SageMaker KI-Featurestore AWS::SageMaker::FeatureGroup
Amazon SageMaker KI

Amazon SageMaker AI-API-Aktivität für Komponenten von Experimenten und Studien.

 SageMaker Komponente für das Experiment mit KI-Metriken AWS::SageMaker::ExperimentTrialComponent
AWS Signer

API-Aktivität des Unterzeichners beim Signieren von Aufträgen.

 Job beim Signieren durch den Unterzeichner AWS::Signer::SigningJob
AWS Signer

API-Aktivität des Unterzeichners bei Signierprofilen.

 Signaturprofil des Unterzeichners AWS::Signer::SigningProfile
Amazon Simple Email Service

API-Aktivität von Amazon Simple Email Service (Amazon SES) in Konfigurationssätzen.

 SES-Konfigurationssatz AWS::SES::ConfigurationSet
Amazon Simple Email Service

API-Aktivität von Amazon Simple Email Service (Amazon SES) für E-Mail-Identitäten.

 SES-Identität AWS::SES::EmailIdentity
Amazon Simple Email Service

API-Aktivität von Amazon Simple Email Service (Amazon SES) für Vorlagen.

 SES-Vorlage AWS::SES::Template
Amazon SimpleDB

Amazon SimpleDB SimpleDB-API-Aktivität auf Domains.

 SimpleDB-Domäne AWS::SDB::Domain
AWS Step Functions

Step Functions API-Aktivität für Aktivitäten.

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

API-Aktivität von Step Functions auf Zustandsmaschinen.

 Step-Functions-Zustandsautomat AWS::StepFunctions::StateMachine
AWS Systems Manager Systems Manager Manager-API-Aktivität auf Kontrollkanälen. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager API-Aktivität von Systems Manager im Zusammenhang mit Folgenabschätzungen. SSM-Folgenabschätzung AWS::SSM::ExecutionPreview
AWS Systems Manager Systems Manager Manager-API-Aktivität auf verwalteten Knoten. Von Systems Manager verwalteter Knoten AWS::SSM::ManagedNode
Amazon Timestream Query-API-Aktivität von Amazon Timestream in Datenbanken. Timestream-Datenbank AWS::Timestream::Database
Amazon Timestream Amazon Timestream Timestream-API-Aktivität auf regionalen Endpunkten. Regionaler Timestream-Endpunkt AWS::Timestream::RegionalEndpoint
Amazon Timestream Query-API-Aktivität von Amazon Timestream in Tabellen. Timestream-Tabelle AWS::Timestream::Table
Amazon Verified Permissions

API-Aktivität von Amazon Verified Permissions in einem Richtlinienspeicher.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces Thin Client-API-Aktivität auf einem Gerät. Thin-Client-Gerät AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces Thin Client-API-Aktivität in einer Umgebung. Thin-Client-Umgebung AWS::ThinClient::Environment
AWS X-Ray

X-Ray-API-Aktivität auf Spuren.

 Röntgenspur AWS::XRay::Trace

Datenereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail oder einen Ereignisdatenspeicher erstellen. Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie explizit die unterstützten Ressourcen oder Ressourcentypen hinzufügen, für die Sie Aktivitäten erfassen möchten. Weitere Informationen erhalten Sie unter Erstellen eines Trails mit der CloudTrail Konsole und Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.

Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Preise finden Sie unter AWS CloudTrail Preisgestaltung.

Das folgende Beispiel zeigt einen einzelnen Protokolleintrag eines Datenereignisses für die Amazon SNS Publish SNS-Aktion.

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

Das nächste Beispiel zeigt einen einzelnen Protokolldatensatz eines Datenereignisses für die Amazon Cognito GetCredentialsForIdentity Cognito-Aktion.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Netzwerkaktivitätsereignisse

CloudTrail Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Netzwerkaktivitätsereignisse bieten Einblick in die Ressourcenoperationen, die in einer VPC ausgeführt werden.

Sie können Netzwerkaktivitätsereignisse für die folgenden Dienste protokollieren:

  • AWS AppConfig

  • AWS B2B Data Interchange

  • Fakturierung und Kostenmanagement

  • AWS -Preisrechner

  • AWS Cost Explorer

  • AWS CloudHSM

  • Amazon Comprehend Medical

  • AWS CloudTrail

  • AWS Data Exports

  • Amazon-DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon EventBridge Scheduler

  • Kostenloses AWS-Kontingent

  • Amazon FSx

  • AWS IoT FleetWise

  • AWS Invoicing

  • AWS KMS

  • AWS Lambda

  • Amazon Lookout für Equipment

  • Amazon Rekognition

  • Amazon S3

    Anmerkung

    Amazon S3 Multiregion Access Points werden nicht unterstützt.

  • AWS Secrets Manager

  • AWS Systems Manager Incident Manager

  • Amazon Textract

  • Amazon WorkMail

Netzwerkaktivitätsereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail- oder Event-Datenspeicher erstellen. Um CloudTrail Netzwerkaktivitätsereignisse aufzuzeichnen, müssen Sie die Ereignisquelle, für die Sie Aktivitäten erfassen möchten, explizit angeben. Weitere Informationen finden Sie unter Protokollierung von Netzwerkaktivitätsereignissen.

Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter AWS CloudTrail Preise.

Das folgende Beispiel zeigt ein erfolgreiches AWS KMS ListKeys Ereignis, das einen VPC-Endpunkt durchquert hat. Das vpcEndpointId Feld zeigt die ID des VPC-Endpunkts. Das vpcEndpointAccountId Feld zeigt die Konto-ID des Besitzers des VPC-Endpunkts. In diesem Beispiel wurde die Anfrage vom Besitzer des VPC-Endpoints gestellt.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Das nächste Beispiel zeigt ein erfolgloses AWS KMS ListKeys Ereignis mit einem Verstoß gegen die VPC-Endpunktrichtlinie. Da ein Verstoß gegen die VPC-Richtlinie aufgetreten ist, sind errorCode sowohl die errorMessage Felder als auch vorhanden. Die Konto-ID in den vpcEndpointAccountId Feldern recipientAccountId und ist dieselbe, was darauf hinweist, dass das Ereignis an den Besitzer des VPC-Endpunkts gesendet wurde. Das userIdentity Element accountId in the ist nicht dasvpcEndpointAccountId, was darauf hinweist, dass der Benutzer, der die Anfrage stellt, nicht der Besitzer des VPC-Endpunkts ist.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Einblicke und Ereignisse

CloudTrail Insights-Ereignisse erfassen ungewöhnliche API-Aufruf- oder Fehlerquoten in Ihrem AWS Konto, indem sie die CloudTrail Verwaltungsaktivitäten analysieren. Insights-Ereignisse stellen relevante Informationen bereit, z. B. die zugehörige API, den Fehlercode, die Vorfallzeit und Statistiken, die Ihnen helfen, ungewöhnliche Aktivitäten zu verstehen und darauf zu reagieren. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Trail- oder Event-Datenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos oder bei der Protokollierung der Fehlerquote CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten.

Beispiele für Aktivitäten, bei denen ggf. Inights-Ereignisse generiert werden, sind:

  • Für Ihr Konto werden pro Minute normalerweise nicht mehr als 20 deleteBucket-API-Aufrufe vom Typ Amazon S3 protokolliert, aber unter Ihrem Konto werden nun durchschnittlich 100 deleteBucket-API-Aufrufe pro Minute protokolliert. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

  • Ihr Konto protokolliert normalerweise 20 Aufrufe pro Minute an die EC2 AuthorizeSecurityGroupIngress Amazon-API, aber Ihr Konto beginnt, keine Aufrufe an zu protokollierenAuthorizeSecurityGroupIngress. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und zehn Minuten später, nachdem die ungewöhnlichen Aktivitäten nicht mehr auftreten, wird ein anderes Insights-Ereignis protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

  • Ihr Konto protokolliert normalerweise weniger als einen AccessDeniedException-Fehler in einem Zeitraum von sieben Tagen in der AWS Identity and Access Management -API, DeleteInstanceProfile. Ihr Konto beginnt mit der Protokollierung von durchschnittlich 12 AccessDeniedException-Fehlern pro Minute für den DeleteInstanceProfile-API-Aufruf. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Fehlerraten-Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.

Diese Beispiele dienen nur zur Veranschaulichung. Ihre Ergebnisse können je nach Anwendungsfall abweichen.

Um CloudTrail Insights-Ereignisse zu protokollieren, müssen Sie Insights-Ereignisse explizit in einem neuen oder vorhandenen Trail- oder Event-Datenspeicher aktivieren. Weitere Informationen zum Erstellen eines Trails finden Sie unter Erstellen eines Trails mit der CloudTrail Konsole. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse.

Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail  – Preise.

In CloudTrail Insights werden zwei Ereignisse protokolliert, die auf ungewöhnliche Aktivitäten hinweisen: ein Startereignis und ein Endereignis. Im folgenden Beispiel wird ein einzelner Protokolldatensatz mit einem Insights-Ereignis veranschaulicht, das aufgetreten ist, als CompleteLifecycleAction für die Application-Auto-Scaling-API ungewöhnlich häufig aufgerufen wurde. Bei Insights-Ereignissen hat eventCategory den Wert Insight. Mit einem insightDetails-Block werden Ereignisstatus, Quelle, Name, Insights-Typ und Kontext, einschließlich Statistiken und Attributionen, identifiziert. Weitere Informationen zum insightDetails-Block finden Sie unter CloudTrail protokollieren Sie den Inhalt von Insights-Ereignissen für Trails.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }