Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# CloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red
En esta página, se describe el contenido del registro de un evento de administración, de datos o de actividad de la red.
El cuerpo del registro contiene campos que le ayudan a determinar la acción solicitada, así como cuándo y dónde se realizó la solicitud. Cuando el valor de **Opcional** es **Verdadero**, el campo solo está presente cuando se aplica al servicio, la API o el tipo de evento. Un valor **Opcional** de **False (Falso)** significa que el campo siempre está presente o que su presencia no depende del servicio, la API o el tipo de evento. Un ejemplo es .`responseElements`, que está presente en los eventos de acciones que realizan cambios (acciones de creación, actualización o eliminación).
**nota**
Los campos para eventos enriquecidos, por ejemplo `eventContext`, solo están disponibles para eventos de administración y de datos. No están disponibles para eventos de la red.
**`eventTime`**
La fecha y la hora en que se completó la solicitud, en hora universal coordinada (UTC). La marca temporal de un evento proviene del host local que proporciona el punto de enlace de API de servicio en el que se realizó la llamada a la API. Por ejemplo, un evento de **CreateBucket** API que se ejecute en la región EE.UU. Oeste (Oregón) obtendría su marca horaria a partir de la hora de un AWS host que ejecute el punto de conexión Amazon S3,`s3.us-west-2.amazonaws.com`. En general, AWS los servicios utilizan el Network Time Protocol (NTP) para sincronizar los relojes del sistema.
**Desde:** 1.0
**Opcional:** Falso
**`eventVersion`**
La versión del formato del evento de registro. La versión actual es la 1.11.
El `eventVersion` valor es una versión principal y una secundaria del formulario{{major\_version}}. {{minor\_version}}. Por ejemplo, puede tener un valor `eventVersion` de `1.10`, donde `1` es la versión principal y `10` es la versión secundaria.
CloudTrail incrementa la versión principal si se realiza un cambio en la estructura del evento que no sea compatible con versiones anteriores. Esto incluye eliminar un campo JSON que ya existe o cambiar la forma en que se representa el contenido de un campo (por ejemplo, un formato de fecha). CloudTrail incrementa la versión secundaria si un cambio añade nuevos campos a la estructura del evento. Esto puede ocurrir si se proporciona información nueva para algunos o todos los eventos existentes o si la información nueva solo se proporciona para los tipos de eventos nuevos. Las aplicaciones deben ignorar los campos nuevos para mantener la compatibilidad con versiones secundarias de la estructura de eventos.
Si CloudTrail introduce nuevos tipos de eventos, pero la estructura del evento no cambia por lo demás, la versión del evento no cambia.
Para asegurarse de que las aplicaciones pueden analizar la estructura de eventos, le recomendamos que haga una comparación de igualdad con el número de la versión principal. Para asegurarte de que existen los campos esperados por la aplicación, también te recomendamos que realices una greater-than-or-equal comparación entre valores en la versión secundaria. No hay ceros a la izquierda en la versión secundaria. Puede interpretar ambos números {{major\_version}} y {{minor\_version}} como números y realizar operaciones de comparación.
**Desde:** 1.0
**Opcional:** Falso
**`userIdentity`**
Información sobre la identidad de IAM que hizo una solicitud. Para obtener más información, consulte [CloudTrail Elemento UserIdentity](cloudtrail-event-reference-user-identity.md).
**Desde:** 1.0
**Opcional:** Falso
**`eventSource`**
El servicio de para el que se realizó la solicitud. Este nombre suele ser una forma abreviada del nombre del servicio sin espacios más `.amazonaws.com`. Por ejemplo:
+ CloudFormation es`cloudformation.amazonaws.com`.
+ Amazon EC2 lo es`ec2.amazonaws.com`.
+ Amazon Simple Workflow Service es `swf.amazonaws.com`.
Esta convención tiene algunas excepciones. Por ejemplo, `eventSource` para Amazon CloudWatch es`monitoring.amazonaws.com`.
**Desde:** 1.0
**Opcional:** Falso
**`eventName`**
La acción solicitada, que es una de las acciones de la API para ese servicio.
**Desde:** 1.0
**Opcional:** Falso
**`awsRegion`**
El al Región de AWS que se hizo la solicitud, como`us-east-2`. Consulte [CloudTrail regiones compatibles](cloudtrail-supported-regions.md).
**Desde:** 1.0
**Opcional:** Falso
**`sourceIPAddress`**
La dirección IP desde la que se realizó la solicitud. Para las acciones que se originan desde la consola del servicio, la dirección registrada es para el recurso del cliente subyacente, no para el servidor web de la consola. En el caso de los servicios en AWS, solo se muestra el nombre DNS.
En el caso de eventos originados por AWS, este campo es normalmente `AWS Internal/{{#}}`, donde `{{#}}` es un número usado para fines internos.
**Desde:** 1.0
**Opcional:** Falso
**`userAgent`**
El agente a través del cual se realizó la solicitud, como el Consola de administración de AWS, un AWS servicio, el AWS SDKs o el AWS CLI.
Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se trunca si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
A continuación se incluyen valores de ejemplo:
+ `lambda.amazonaws.com`: la solicitud se realizó con AWS Lambda.
+ `aws-sdk-java`: la solicitud se realizó con AWS SDK para Java.
+ `aws-sdk-ruby`: la solicitud se realizó con AWS SDK para Ruby.
+ `aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5`— La solicitud se realizó con el AWS CLI instalado en Linux.
En el caso de los eventos originados por AWS(si CloudTrail sabe quién Servicio de AWS realizó la llamada), este campo es la fuente de eventos del servicio que realiza la llamada (por ejemplo,`ec2.amazonaws.com`). De lo contrario, este campo es `{{#}}`, donde `AWS Internal/{{#}}` es un número que se usa para fines internos.
**Desde:** 1.0
**Opcional:** Verdadero
**`errorCode`**
El error del AWS servicio si la solicitud devuelve un error. Para ver un ejemplo que muestra este campo, consulte [Ejemplo de código de error y registro de mensajes](cloudtrail-log-file-examples.md#error-code-and-error-message).
Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se trunca si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
En el caso de los eventos de actividad de la red, cuando se infringe la política de puntos de conexión de VPC, el código de error es `VpceAccessDenied`.
**Desde:** 1.0
**Opcional:** Verdadero
**`errorMessage`**
Si la solicitud devuelve un error, la descripción del error. Este mensaje incluye mensajes sobre errores de autorización. CloudTrail captura el mensaje registrado por el servicio en su gestión de excepciones. Para ver un ejemplo, consulta [Ejemplo de código de error y registro de mensajes](cloudtrail-log-file-examples.md#error-code-and-error-message).
Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se trunca si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
En el caso de los eventos de actividad de la red, cuando se infringe la política de puntos de conexión de VPC, el `errorMessage` será siempre el siguiente mensaje: `The request was denied due to a VPC endpoint policy`. Para obtener más información sobre los eventos de acceso denegado por infracciones de la política de puntos de conexión de VPC, consulte [Ejemplos de mensajes de error de acceso denegado](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html#access-denied-error-examples) en la *Guía del usuario de IAM*. Para ver un ejemplo de evento de actividad de la red que muestre una infracción de la política de puntos de conexión de VPC, consulte [Eventos de actividad de la red](cloudtrail-events.md#network-event-example) en esta guía.
Algunos AWS servicios proporcionan los campos `errorCode` y `errorMessage` como campos de nivel superior en caso de que se trate. Otros servicios de AWS proporcionan información del error como parte de `responseElements`.
**Desde:** 1.0
**Opcional:** Verdadero
**`requestParameters`**
Los parámetros, si hay alguno, que se enviaron con la solicitud. Estos parámetros se documentan en la documentación de referencia de la API del AWS servicio correspondiente. Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite el contenido de `requestParameters`. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se omite si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
**Desde:** 1.0
**Opcional:** Falso
**`responseElements`**
Los elementos de respuesta, si los hay, de las acciones que realizaron cambios (acciones de creación, actualización o eliminación). Para `readOnly` APIs, este campo es`null`. Si la acción no devuelve elementos de respuesta, este campo es `null`. Los elementos de respuesta de las acciones se explican en la documentación de referencia de la API del Servicio de AWS correspondiente.
Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite el contenido de `reponseElements`. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se omite si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
El `responseElements` valor es útil para ayudarle a rastrear una solicitud con AWS Support. Tanto `x-amz-request-id` como `x-amz-id-2` contienen información que ayuda a rastrear una solicitud con Soporte. Estos valores son los mismos que los que devuelve el servicio en respuesta a la solicitud que inicia los eventos, por lo que se pueden utilizar para emparejar el evento con la solicitud.
**Desde:** 1.0
**Opcional:** Falso
**`additionalEventData`**
Datos adicionales sobre el evento que no forman parte de la solicitud o la respuesta. Este campo tiene un tamaño máximo de 28 KB. Cuando el tamaño del campo supera los 28 KB, se omite el contenido de `additionalEventData`. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se omite si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
El contenido de `additionalEventData` es variable. Por ejemplo, para los [eventos de inicio de sesión de la Consola de administración de AWS](cloudtrail-event-reference-aws-console-sign-in-events.md), `additionalEventData` podría incluir el campo `MFAUsed` con el valor de `Yes` si la solicitud la realizó un usuario raíz o de IAM mediante la autenticación multifactor (MFA).
**Desde:** 1.0
**Opcional:** Verdadero
**`requestID`**
El valor que identifica la solicitud. El servicio al que se llama genera este valor. Este campo tiene un tamaño máximo de 1 KB; el contenido que supere ese límite se trunca. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se trunca si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
**Desde: ** 1.01
**Opcional:** Verdadero
**`eventID`**
GUID generado por CloudTrail para identificar de forma única cada evento. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.
**Desde: ** 1.01
**Opcional:** Falso
**`eventType`**
Identifica el tipo de evento que generó el registro del evento. Puede ser uno de los siguientes valores:
+ `AwsApiCall`: se llamó a una API.
+ `AwsServiceEvent`: el servicio generó un evento relacionado con su registro de seguimiento. Por ejemplo, esto puede ocurrir cuando otra cuenta realiza una llamada con un recurso de su propiedad.
+ `AwsConsoleAction`: Se realizó una acción en la consola que no era una llamada a la API.
+ `AwsConsoleSignIn`— Un usuario de tu cuenta (root, IAM, federado, SAML o SwitchRole) ha iniciado sesión en. Consola de administración de AWS
+ `AwsVpceEvents`— los eventos CloudTrail de actividad de la red permiten a los propietarios de puntos finales de la VPC grabar las llamadas a la AWS API realizadas con sus puntos de enlace de la VPC desde una VPC privada a. Servicio de AWS Para registrar los eventos de actividad de la red, el propietario del punto de conexión de VPC debe habilitar los eventos de actividad de la red para el origen de los eventos.
**Desde:** 1.02
**Opcional:** Falso
**`apiVersion`**
Identifica la versión de la API asociada con el valor de `AwsApiCall` `eventType`.
**Desde: ** 1.01
**Opcional:** Verdadero
**`managementEvent`**
Un valor booleano que identifica si el evento es un evento de administración. `managementEvent` se muestra en un registro de eventos si `eventVersion` es 1.06 o superior y el tipo de evento es uno de los siguientes:
+ `AwsApiCall`
+ `AwsConsoleAction`
+ `AwsConsoleSignIn`
+ `AwsServiceEvent`
**Desde: ** 1.06
**Opcional:** Verdadero
**`readOnly`**
Identifica si esta operación es una operación de solo lectura. Puede ser uno de los valores siguientes:
+ `true`: la operación es de solo lectura (por ejemplo, `DescribeTrails`).
+ `false`: la operación es de solo escritura (por ejemplo, `DeleteTrail`).
**Desde: ** 1.01
**Opcional:** Verdadero
**`resources`**
Una lista de los recursos a los que ha obtenido acceso el evento. El campo puede contener la siguiente información:
+ Recurso ARNs
+ El ID de cuenta del propietario del recurso
+ El identificador de tipo de recurso en el formato: `AWS::{{aws-service-name}}::{{data-type-name}}`
Por ejemplo, cuando se registra un evento `AssumeRole`, el campo `resources` puede tener un aspecto similar al siguiente:
+ ARN: `arn:aws:iam::123456789012:role/{{myRole}}`
+ ID de cuenta: `123456789012`
+ Identificador de tipo de recurso: `AWS::IAM::Role`
Para ver, por ejemplo, los registros con el `resources` campo, consulte [Evento de AWS STS API en el archivo de CloudTrail registro](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample) en la *Guía del usuario de IAM* o [Registro de llamadas a la AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) en la *Guía para AWS Key Management Service desarrolladores*.
**Desde: ** 1.01
**Opcional:** Verdadero
**`recipientAccountId`**
Representa el ID de cuenta que recibió este evento. El `recipientAccountID` puede ser diferente de [CloudTrail Elemento UserIdentity](cloudtrail-event-reference-user-identity.md) `accountId`. Esto puede ocurrir en el acceso de recursos entre cuentas. Por ejemplo, si una clave de KMS, también conocida como [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), fue utilizada por una cuenta aparte para llamar a la [API de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html), los valores de `accountId` y `recipientAccountID` serán los mismos para el evento enviado a la cuenta que realizó la llamada, pero serán diferentes para el evento que se envía a la cuenta propietaria de la clave de KMS.
**Desde:** 1.02
**Opcional:** Verdadero
**`serviceEventDetails`**
Identifica el evento del servicio, incluido lo que activó el evento y el resultado. Para obtener más información, consulte [Servicio de AWS eventos](non-api-aws-service-events.md). Este campo tiene un tamaño máximo de 100 KB. Cuando el tamaño del campo supera los 100 KB, se omite el contenido de `serviceEventDetails`. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se omite si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
**Desde:** 1.05
**Opcional:** Verdadero
**`sharedEventID`**
El GUID se genera CloudTrail para identificar de forma exclusiva CloudTrail los eventos de la misma AWS acción que se envían a cuentas diferentes AWS .
Por ejemplo, cuando una cuenta usa una [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)que pertenece a otra cuenta, la cuenta que usó la clave KMS y la cuenta propietaria de la clave KMS reciben CloudTrail eventos separados para la misma acción. Cada CloudTrail evento entregado para esta AWS acción comparte lo mismo`sharedEventID`, pero también tiene un `eventID` y único`recipientAccountID`.
Para obtener más información, consulte [Ejemplo de sharedEventID](#shared-event-ID).
El `sharedEventID` campo solo está presente cuando CloudTrail los eventos se envían a varias cuentas. Si el intermediario y el propietario son la misma cuenta de AWS , CloudTrail envía solo un evento y no se muestra el campo `sharedEventID`.
**Desde:** 1.03
**Opcional:** Verdadero
**`vpcEndpointId`**
Identifica el punto de enlace de la VPC en el que se realizaron las solicitudes desde una VPC a otro AWS servicio, como Amazon. EC2
En el caso de los eventos originados por AWS y a través Servicio de AWS de una VPC, este campo suele ser el `AWS Internal` nombre del servicio.
**Desde:** 1.04
**Opcional:** Verdadero
**`vpcEndpointAccountId`**
Identifica el Cuenta de AWS ID del propietario del punto final de la VPC del punto final correspondiente por el que se ha atravesado una solicitud.
En el caso de los eventos originados por AWS y a través Servicio de AWS de una VPC, este campo suele ser el `AWS Internal` nombre del servicio.
**Desde:** 1.09
**Opcional:** Verdadero
**`eventCategory`**
Muestra la categoría del evento. La categoría del evento se usa en las llamadas de [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) para filtrar los eventos de administración.
+ Para los eventos de administración, el valor es `Management`.
+ Para los eventos de datos de, el valor es `Data`.
+ En el caso de los eventos de actividad de la red, el valor es `NetworkActivity`.
**Desde:** 1.07
**Opcional:** Falso
**`addendum`**
Si se ha retrasado la entrega de un evento o queda disponible información adicional sobre un evento existente después de registrar el evento, un campo anexado muestra información sobre el motivo del retraso del evento. Si falta información de un evento existente, el campo anexado incluye la información que falta y un motivo. El contenido incluye lo siguiente:
+ **`reason`**: el motivo por el que faltaba el evento o algunos de sus contenidos. Los valores pueden ser cualquiera de los siguientes.
+ **`DELIVERY_DELAY`**: se produjo un retraso en la entrega de eventos. Esto puede deberse a un tráfico de red elevado, a problemas de conectividad o a un problema CloudTrail de servicio.
+ **`UPDATED_DATA`**: faltó un campo en el registro de eventos o había un valor incorrecto.
+ **`SERVICE_OUTAGE`**— Un servicio que registra los eventos CloudTrail relacionados con una interrupción y no puede registrarlos CloudTrail. Esto es excepcionalmente raro.
+ **`updatedFields`**: los campos del registro de eventos que se actualizan con la información agregada. Esto solo se proporciona si el motivo es `UPDATED_DATA`.
+ **`originalRequestID`**: el ID único original de la solicitud. Esto solo se proporciona si el motivo es `UPDATED_DATA`.
+ **`originalEventID`**: el ID del evento original. Esto solo se proporciona si el motivo es `UPDATED_DATA`.
**Desde:** 1.08
**Opcional:** Verdadero
**`sessionCredentialFromConsole`**
Cadena con un valor de `true` o `false` que muestra si un evento se originó o no en una Consola de administración de AWS sesión. Este campo no se muestra a menos que el valor sea `true`, lo que significa que el cliente que se utilizó para realizar la llamada a la API era un proxy o un cliente externo. Si se ha utilizado un cliente proxy, el campo del evento `tlsDetails` no se muestra.
**Desde:** 1.08
**Opcional:** Verdadero
**`eventContext`**
Este campo está presente en los eventos enriquecidos registrados en los almacenes de datos de eventos que se configuraron para incluir claves de etiquetas de recursos o claves de condición global de IAM. Para obtener más información, consulte [Enriquece CloudTrail los eventos añadiendo claves de etiquetas de recursos y claves de condición globales de IAM](cloudtrail-context-events.md).
El contenido incluye lo siguiente:
+ `requestContext`: incluye información sobre las claves de condición global de IAM que se evaluaron durante el proceso de autorización, como detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.
+ `tagContext`: incluye las etiquetas asociadas a los recursos que participaron en la llamada a la API, así como las etiquetas asociadas a las entidades principales de IAM, como las funciones o los usuarios. Para obtener más información, consulte [Control del acceso de las entidades principales de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals).
Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.
El campo `eventContext` solo está presente en los eventos de los almacenes de datos de eventos que están configurados para incluir claves de etiquetas de recursos y claves de condición global de IAM. Los eventos enviados al **historial de eventos**, Amazon EventBridge, que se pueden ver con el AWS CLI `lookup-events` comando y los que se envían a los senderos, no incluirán el `eventContext` campo.
**Desde: 1.11**
**Opcional:** Verdadero
**`edgeDeviceDetails`**
Muestra información sobre los dispositivos de borde que son destinos de una solicitud. En la actualidad, los dispositivos [https://aws.amazon.com/s3/outposts/](https://aws.amazon.com/s3/outposts/) incluyen este campo. Este campo tiene un tamaño máximo de 28 KB; el contenido que supere ese límite se trunca. En el caso de los almacenes de datos de eventos configurados para tener un tamaño de evento máximo de 1 MB, el contenido del campo solo se trunca si la carga útil del evento supera 1 MB y se supera el tamaño máximo del campo.
**Desde:** 1.08
**Opcional:** Verdadero
**`tlsDetails`**
Muestra información sobre la versión de Transport Layer Security (TLS), los conjuntos de cifrado y el nombre de dominio completo (FQDN) del nombre de host proporcionado por el cliente y utilizado en la llamada a la API del servicio, que suele ser el FQDN del punto final del servicio. CloudTrailsigue registrando detalles de TLS parciales si falta la información esperada o está vacía. Por ejemplo, si la versión de TLS y el conjunto de cifrado están presentes, pero el `HOST` encabezado está vacío, los detalles de TLS disponibles se seguirán registrando en ese caso. CloudTrail
+ **`tlsVersion`**: la versión TLS de una solicitud.
+ **`cipherSuite`**: el conjunto de cifrado (combinación de algoritmos de seguridad utilizados) de una solicitud.
+ **`clientProvidedHostHeader`**: nombre de host proporcionado por el cliente que se utiliza en la llamada a la API del servicio, que suele ser el FQDN del punto de conexión del servicio.
+ **`keyExchange`**- El método de intercambio de claves utilizado en el protocolo de enlace TLS. Este campo indica si la conexión utilizó criptografía clásica o criptografía poscuántica. Los valores de `X25519MLKEM768` ejemplo incluyen el TLS 1.3 poscuántico, `x25519` el TLS 1.3 clásico y el TLS 1.2. `secp256r1`
Hay algunos casos en los que el campo `tlsDetails` no está presente en un registro de eventos.
+ El `tlsDetails` campo no está presente si la llamada a la API la realizó una Servicio de AWS persona en tu nombre. El campo `invokedBy` del elemento `userIdentity` identifica al Servicio de AWS que hizo la llamada a la API.
+ Si `sessionCredentialFromConsole` está presente con un valor de true, `tlsDetails` estará presente en un registro de evento solo si se utilizó un cliente externo para hacer la llamada a la API.
**Desde:** 1.08
**Opcional:** Verdadero
## Orden de truncamiento de campos para un tamaño máximo de evento de 1 MB
Puede ampliar el tamaño máximo del evento de 256 KB a 1 MB al crear o actualizar un almacén de datos de eventos mediante la [CloudTrail consola [AWS CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)](query-event-data-store-cloudtrail.md), y SDKs.
La ampliación del tamaño de evento es útil para analizar y solucionar problemas de eventos, ya que le permite ver el contenido completo de los campos que normalmente se truncarían u omitirían.
Cuando la carga útil del evento supera 1 MB, CloudTrail trunca los campos en el siguiente orden:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `eventContext`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Si la carga útil de un evento no se puede reducir a menos de 1 MB incluso después del truncamiento, se producirá un error.
## Ejemplo de sharedEventID
El siguiente es un ejemplo que describe cómo se CloudTrail entregan dos eventos para la misma acción:
1. Alice tiene una AWS cuenta (1111) y crea una AWS KMS key. Es la propietaria de esta clave de KMS.
1. Bob tiene una AWS cuenta (222222222222). Alice concede a Bob permiso para utilizar la clave de KMS.
1. Cada cuenta tiene un registro de seguimiento y un bucket independiente.
1. Bob utiliza la clave de KMS para llamar a la API `Encrypt`.
1. CloudTrail envía dos eventos separados.
+ Un evento se envía a Bob. El evento muestra que Bob utilizó la clave de KMS.
+ Un evento se envía a Alice. El evento muestra que Bob utilizó la clave de KMS.
+ Los eventos tienen el mismo `sharedEventID`, pero el `eventID` y `recipientAccountID` son únicos.
