CloudTrail registrar el contenido de los eventos agregados - AWS CloudTrail
Ejemplo de evento agregado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CloudTrail registrar el contenido de los eventos agregados

AWS CloudTrail los registros de eventos agregados incluyen campos que son diferentes de otros CloudTrail eventos en su carga útil JSON. Los eventos agregados contienen los siguientes campos:

eventVersion

La versión del evento agregado.

Desde: 1.0

Opcional: Falso

accountId

El identificador de cuenta que recibió este evento.

Desde: 1.0

Opcional: Falso

eventId

Un GUID generado por CloudTrail para identificar de forma única cada evento agregado. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.

Desde: 1.0

Opcional: Falso

eventCategory

Identifica la categoría del evento. En el caso de los eventos agregados, este valor es siempreAggregated. Utilice este campo para filtrar cuando consulte eventos por categoría.

Desde: 1.0

Opcional: Falso

eventType

Identifica el tipo de evento agregado. Para los eventos agregados, este valor esAwsAggregatedEvent.

Desde: 1.0

Opcional: Falso

awsRegion

El Región de AWS de los CloudTrail eventos atómicos que se agregaron en este registro, comoap-northeast-1. Por lo general, esta es la región en la que se realizaron las llamadas a la API del servicio.

Desde: 1.0

Opcional: Falso

eventSource

El AWS servicio para el que se registraron los eventos subyacentes.

Desde: 1.0

Opcional: Falso

timeWindow

El intervalo de tiempo durante el cual se agregaron CloudTrail los eventos atómicos a este registro de eventos agregado. El timeWindow campo contiene detalles como la hora de inicio de la ventana, la hora de finalización y el tamaño de la ventana.

Desde: 1.0

Opcional: Falso

windowStart

El inicio de la ventana de agregación, inclusive, en hora universal (UTC), representada en el formato ISO-8601.

Desde: 1.0

Opcional: Falso

windowEnd

El final de la ventana de agregación, exclusiva, en UTC, representada en formato ISO-8601.

Desde: 1.0

Opcional: Falso

windowSize

La duración de la ventana de agregación. La diferencia windowEnd − windowStart debería corresponder awindowSize. windowSizeSe representa en formato ISO-8601.

Desde: 1.0

Opcional: Falso

summary

Un resumen de agregación de los eventos atómicos subyacentes, agrupados por una dimensión principal (por ejemploeventName, resourceARN uuserIdentity) y, opcionalmente, desglosados por dimensiones adicionales (por ejemplo, userAgentsourceIpAddress,errorCodes).

Desde: 1.0

Opcional: Falso

El resumen contiene los siguientes campos:

primaryDimension

La dimensión de agregación principal para estoAwsAggregatedEvent. Esta es la vista principal de los datos agregados. Por ejemplo, en la plantilla de API_ACTIVITY agregación, la dimensión principal eseventName; en la RESOURCE_ACCESS plantilla, esresourceARN; y en la USER_ACTIONS plantilla, esuserIdentity.

Desde: 1.0

Opcional: Falso

details

Dimensiones adicionales que proporcionan más detalles sobre los eventos atómicos agregados. Cada objeto Detail puede proporcionar una vista adicional de los mismos eventos subyacentes, comoeventName, resourceARNuserIdentity, userAgent y en sourceIpAddress función de la plantilla de agregación.

Desde: 1.0

Opcional: Falso

Cada detalle proporciona la siguiente información:

dimension

El nombre de la dimensión utilizada para agrupar los eventos agregados. Los valores comunes incluyen:

  • eventName

  • resourceARN

  • userIdentity

  • userAgent

  • sourceIpAddress

Desde: 1.0

Opcional: Falso

statistics

Una lista de estadísticas para esta dimensión, en la que cada entrada representa un segmento (por ejemplo, un nombre de evento o un ARN de recurso) y su valor agregado.

Desde: 1.0

Opcional: Falso

Cada entrada de las estadísticas contiene la siguiente información:

name

El identificador o la clave del segmento para esta estadística dentro de la dimensión asociada.

value

El valor numérico agregado del nombre especificado en la dimensión dada.

aggregationType

El tipo de agregación que se aplica al cálculo statistics.value de esta dimensión. Valores permitidos:

  • Count— Número de eventos.

Desde: 1.0

Opcional: Falso

addendum

Contiene metadatos sobre el retraso en la entrega o las actualizaciones de una ya existente AggregatedEvent.

Desde: 1.0

Opcional: Falso

reason

El motivo por el que un anuncio AwsAggregatedEvent se retrasó, actualizó o complementó de algún otro modo. Los valores comunes pueden incluir (no exhaustivos):

  • DELIVERY_DELAY— La entrega de los datos agregados se retrasó (por ejemplo, debido a problemas de red o a un volumen elevado).

  • UPDATED_DATA— Se volvieron a calcular o corregir los datos agregados.

  • SERVICE_OUTAGE— La interrupción subyacente del servicio afectó a la disponibilidad de los eventos.

Desde: 1.0

Opcional: Verdadero

Ejemplo de evento agregado

El siguiente es un ejemplo de un evento CloudTrail agregado (AwsAggregatedEvent). En este ejemplo, CloudTrail agrega las PutAuditEvents llamadas a cloudtrail-data.amazonaws.com más de un intervalo de tiempo de cinco minutos en la us-east-1 región. El bloque de resumen muestra la dimensión de agregación principal (eventName) y las 30 PutAuditEvents llamadas que se produjeron durante el intervalo de tiempo. Las entradas de detalles desglosan aún más esas llamadas por resourceARN userIdentityuserAgent, y muestran sourceIpAddress cómo se distribuye la actividad entre los recursos, los directores y los clientes.

{  
    "eventVersion": "1.0",  
    "accountId": "111122223333",  
    "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",  
    "eventCategory": "Aggregated",  
    "eventType": "AwsAggregatedEvent",  
    "awsRegion": "us-east-1",  
    "eventSource": "cloudtrail-data.amazonaws.com",  
    "timeWindow":  
    {  
        "windowStart": "2025-10-30 23:45:00",  
        "windowEnd": "2025-10-30 23:50:00",  
        "windowSize": "PT5M"  
    },  
    "summary":  
    {  
        "primaryDimension":  
        {  
            "dimension": "eventName",  
            "statistics":  
            [  
                {  
                    "name": "PutAuditEvents",  
                    "value": 30  
                }  
            ],  
            "aggregationType": "Count"  
        },  
        "details":  
        [  
            {  
                "dimension": "resourceARN",  
                "statistics":  
                [  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",  
                        "value": 20  
                    },  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userIdentity",  
                "statistics":  
                [  
                    {  
                        "name": "AWSAccount:111122223333",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWSService:AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userAgent",  
                "statistics":  
                [  
                    {  
                        "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value":10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "sourceIpAddress",  
                "statistics":  
                [  
                    {  
                        "name": "1.2.3.4",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            }  
        ]  
    }  
}