CloudTrail enregistrer le contenu des événements agrégés - AWS CloudTrail
Exemple d'événement agrégé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail enregistrer le contenu des événements agrégés

AWS CloudTrail les enregistrements d'événements agrégés incluent des champs différents des autres CloudTrail événements dans leur charge utile JSON. Les événements agrégés contiennent les champs suivants :

eventVersion

Version de l'événement agrégé.

Depuis : 1.0

Facultatif : False

accountId

L'identifiant du compte qui a reçu cet événement.

Depuis : 1.0

Facultatif : False

eventId

Un GUID généré par CloudTrail pour identifier de manière unique chaque événement agrégé. Vous pouvez utiliser cette valeur pour identifier un événement unique. Par exemple, vous pouvez utiliser l’ID comme clé primaire pour récupérer les données des journaux à partir d’une base de données dans laquelle vous pouvez effectuer des recherches.

Depuis : 1.0

Facultatif : False

eventCategory

Identifie la catégorie de l'événement. Pour les événements agrégés, cette valeur est toujoursAggregated. Utilisez ce champ pour filtrer lorsque vous recherchez des événements par catégorie.

Depuis : 1.0

Facultatif : False

eventType

Identifie le type d'événement agrégé. Pour les événements agrégés, cette valeur estAwsAggregatedEvent.

Depuis : 1.0

Facultatif : False

awsRegion

Les Région AWS CloudTrail événements atomiques qui ont été agrégés dans cet enregistrement, tels queap-northeast-1. Il s'agit généralement de la région dans laquelle les appels d'API de service ont été effectués.

Depuis : 1.0

Facultatif : False

eventSource

AWS Service pour lequel les événements sous-jacents ont été enregistrés.

Depuis : 1.0

Facultatif : False

timeWindow

Intervalle de temps pendant lequel les CloudTrail événements atomiques ont été agrégés dans cet enregistrement d'événements agrégé. Le timeWindow champ contient des informations telles que l'heure de début, l'heure de fin de fenêtre et la taille de la fenêtre.

Depuis : 1.0

Facultatif : False

windowStart

Début de la fenêtre d'agrégation, inclus, en temps universel (UTC), représenté au format ISO-8601.

Depuis : 1.0

Facultatif : False

windowEnd

Fin de la fenêtre d'agrégation, exclusive, en UTC, représentée au format ISO-8601.

Depuis : 1.0

Facultatif : False

windowSize

Durée de la fenêtre d'agrégation. La différence windowEnd − windowStart doit correspondre àwindowSize. windowSizeIl est représenté au format ISO-8601.

Depuis : 1.0

Facultatif : False

summary

Un résumé d'agrégation pour les événements atomiques sous-jacents, regroupés par dimension principale (par exempleeventName, resourceARN ouuserIdentity) et éventuellement décomposés par dimensions supplémentaires (par exempleuserAgent,sourceIpAddress,errorCodes).

Depuis : 1.0

Facultatif : False

Le résumé contient les champs suivants :

primaryDimension

La principale dimension d'agrégation pour celaAwsAggregatedEvent. Il s'agit de la vue principale des données agrégées. Par exemple, dans le modèle d'API_ACTIVITYagrégation, la dimension principale est eventName ; dans le RESOURCE_ACCESS modèle, elle l'est resourceARN ; et dans le USER_ACTIONS modèle, elle l'estuserIdentity.

Depuis : 1.0

Facultatif : False

details

Dimensions supplémentaires qui fournissent plus de détails sur les événements atomiques agrégés. Chaque objet Detail peut fournir une vue supplémentaire des mêmes événements sous-jacents, tels queeventName, resourceARNuserIdentity, userAgent et sourceIpAddress en fonction du modèle d'agrégation.

Depuis : 1.0

Facultatif : False

Chaque détail fournit les informations suivantes :

dimension

Nom de la dimension utilisée pour regrouper les événements agrégés. Les valeurs communes incluent :

  • eventName

  • resourceARN

  • userIdentity

  • userAgent

  • sourceIpAddress

Depuis : 1.0

Facultatif : False

statistics

Liste de statistiques pour cette dimension, où chaque entrée représente un compartiment (par exemple, un nom d'événement ou un ARN de ressource) et sa valeur agrégée.

Depuis : 1.0

Facultatif : False

Chaque entrée des statistiques contient les informations suivantes :

name

L'identifiant ou la clé du compartiment pour cette statistique dans la dimension associée.

value

La valeur numérique agrégée pour le nom spécifié dans la dimension donnée.

aggregationType

Type d'agrégation appliqué au calcul statistics.value pour cette dimension. Valeurs autorisées :

  • Count— Nombre d'événements.

Depuis : 1.0

Facultatif : False

addendum

Transporte des métadonnées concernant les retards de livraison ou les mises à jour d'un produit existant AggregatedEvent.

Depuis : 1.0

Facultatif : False

reason

La raison pour laquelle une annonce AwsAggregatedEvent a été retardée, mise à jour ou complétée d'une autre manière. Les valeurs communes peuvent inclure (liste non exhaustive) :

  • DELIVERY_DELAY— La livraison des données agrégées a été retardée (par exemple, problèmes de réseau ou volume élevé).

  • UPDATED_DATA— Les données agrégées ont été recalculées ou corrigées.

  • SERVICE_OUTAGE— La panne de service sous-jacente a affecté la disponibilité des événements.

Depuis : 1.0

Facultatif : True

Exemple d'événement agrégé

Voici un exemple d'événement CloudTrail agrégé (AwsAggregatedEvent). Dans cet exemple, CloudTrail regroupe les PutAuditEvents appels cloudtrail-data.amazonaws.com sur une période de plus de cinq minutes dans la us-east-1 région. Le bloc récapitulatif indique la dimension d'agrégation principale (eventName) et indique que 30 PutAuditEvents appels ont eu lieu pendant la fenêtre temporelle. Les entrées détaillées décomposent davantage ces appels parresourceARN, userIdentityuserAgent, et sourceIpAddress pour montrer comment l'activité est répartie entre les ressources, les principaux et les clients.

{  
    "eventVersion": "1.0",  
    "accountId": "111122223333",  
    "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",  
    "eventCategory": "Aggregated",  
    "eventType": "AwsAggregatedEvent",  
    "awsRegion": "us-east-1",  
    "eventSource": "cloudtrail-data.amazonaws.com",  
    "timeWindow":  
    {  
        "windowStart": "2025-10-30 23:45:00",  
        "windowEnd": "2025-10-30 23:50:00",  
        "windowSize": "PT5M"  
    },  
    "summary":  
    {  
        "primaryDimension":  
        {  
            "dimension": "eventName",  
            "statistics":  
            [  
                {  
                    "name": "PutAuditEvents",  
                    "value": 30  
                }  
            ],  
            "aggregationType": "Count"  
        },  
        "details":  
        [  
            {  
                "dimension": "resourceARN",  
                "statistics":  
                [  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",  
                        "value": 20  
                    },  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userIdentity",  
                "statistics":  
                [  
                    {  
                        "name": "AWSAccount:111122223333",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWSService:AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userAgent",  
                "statistics":  
                [  
                    {  
                        "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value":10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "sourceIpAddress",  
                "statistics":  
                [  
                    {  
                        "name": "1.2.3.4",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            }  
        ]  
    }  
}