Comprendre les CloudTrail événements - AWS CloudTrail
Événements de gestionÉvénements de donnéesÉvénements liés à l'activité réseauÉvénements Insights

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les CloudTrail événements

Un événement in CloudTrail est l'enregistrement d'une activité dans un AWS compte. Cette activité peut représenter une action effectuée par une identité IAM ou un service pouvant être surveillé par. CloudTrail CloudTrail les événements fournissent un historique de l'activité de compte API et non-API effectuée via AWS Management Console les outils de ligne de commande AWS SDKs, etc. Services AWS

CloudTrail les fichiers journaux ne constituent pas une pile ordonnée retraçant les appels d'API publics. Ils ne suivent aucun ordre précis.

Il existe quatre types d' CloudTrail événements :

Par défaut, les journaux de suivi et les entrepôts de données d'événement consignent les événements de gestion, mais pas les événements de données, les événements d'activité réseau ou les événements Insights.

Tous les types d'événements utilisent le même format de journal CloudTrail JSON. Le journal contient des informations sur les demandes pour les ressources de votre compte, telles que l’auteur de la demande, les services utilisés, les actions réalisées et les paramètres pour l'action. Les données d’événement sont contenues dans un tableau Records.

Pour plus d'informations sur CloudTrail les champs d'enregistrement des événements relatifs à la gestion, aux données et à l'activité réseau, consultezCloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau.

Pour plus d'informations sur les champs d'enregistrement d' CloudTrail événements pour les événements Insights pour les sentiers, voirCloudTrail enregistrer le contenu des événements Insights pour les journaux de suivi.

Pour plus d'informations sur les champs d'enregistrement d' CloudTrail événements pour les événements Insights destinés aux magasins de données d'événements, consultezCloudTrail enregistrer le contenu des événements Insights pour les entrepôts de données d'événement.

Événements de gestion

Les événements de gestion fournissent des informations sur les opérations de gestion exécutées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.

Les événements de gestion sont notamment les suivants :

  • Configuration de la sécurité (par exemple, les opérations d' AWS Identity and Access Management AttachRolePolicyAPI).

  • Enregistrement des appareils (par exemple, les opérations EC2 CreateDefaultVpc API Amazon).

  • Configuration des règles de routage des données (par exemple, les opérations EC2 CreateSubnet d'API Amazon).

  • Configuration de la journalisation (par exemple, opérations AWS CloudTrail CreateTrail d'API).

Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour de plus amples informations, veuillez consulter Événements non liés à l'API capturés par CloudTrail.

Par défaut, les entrepôts de données CloudTrail d'événement de CloudTrail suivi et les entrepôts de données d'événement consignent les événements de gestion. Pour plus d'informations sur la journalisation des événements de gestion de la journalisation, veuillez consulterJournalisation des événements de gestion.

L'exemple suivant montre un enregistrement de journal unique d'un événement de gestion. Dans cet événement, un utilisateur IAM nommé Mary_Major a exécuté la aws cloudtrail start-logging commande pour appeler l' CloudTrail StartLoggingaction permettant de démarrer le processus de journalisation sur un parcours nommémyTrail.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Dans l'exemple suivant, un utilisateur IAM nommé Paulo_Santos a exécuté la commande aws cloudtrail start-event-data-store-ingestion pour appeler l'action StartEventDataStoreIngestion permettant de démarrer l'ingestion dans un entrepôt de données d'événement.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Événements de données

Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.

Les événements de données incluent notamment :

Le tableau suivant indique les types de ressources disponibles pour les journaux de suivi et les entrepôts de données d'événement. La colonne Type de ressource (console) indique la sélection appropriée dans la console. La colonne valeur resources.type indique la resources.type valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre journal de suivi ou votre magasin de données d'événement à l'aide du ou. AWS CLI CloudTrail APIs

Pour les journaux de suivi, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types de ressources indiqués dans les lignes restantes.

Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.

Service AWS Description Type de ressource (console) valeur resources.type
Amazon DynamoDB

Activité de l'API au niveau des éléments Amazon DynamoDB sur les tables (par exemplePutItem,DeleteItem, et les opérations d'API). UpdateItem

Note

Pour les tables ayant les flux activés, le champ resources dans l’événement de données contient à la fois AWS::DynamoDB::Stream et AWS::DynamoDB::Table. Si vous spécifiez AWS::DynamoDB::Table comme resources.type, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le eventName champ.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda Activité d'exécution de la fonction (l'InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

Activité d'API au niveau des objets Amazon S3 (par exemple,,, GetObjectDeleteObject, et les opérations d'PutObjectAPI) sur les objets dans des compartiments à usage général.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig Activité de l'API pour les opérations de configuration telles que les appels vers StartConfigurationSession etGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync Activité de l'API sur AppSync GraphQL APIs.

 AppSync GraphQL AWS::AppSync::GraphQLApi
AWS Échange de données B2B

Activité de l’API d’échange de données B2B pour les opérations du transformateur telles que les appels vers GetTransformerJob et StartTransformerJob.

 Échange de données B2B AWS::B2BI::Transformer
AWS Backup

AWS Backup Activité de l'API Search Data sur les tâches de recherche.

 AWS Backup Données de recherche APIs AWS::Backup::SearchJob
Amazon Bedrock Activité de l’API Amazon Bedrock sur un alias d’agent. Alias d’agent Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock Activité de l'API Amazon Bedrock lors d'appels asynchrones. Invocation asynchrone de Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock Activité de l'API Amazon Bedrock sur un alias de flux. Alias de Bedrock Flow AWS::Bedrock::FlowAlias
Amazon Bedrock Activité de l'API Amazon Bedrock sur les rambardes. Rambarde Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock Activité de l'API Amazon Bedrock sur les agents en ligne. Agent en ligne Bedrock Invoke AWS::Bedrock::InlineAgent
Amazon Bedrock Activité de l’API Amazon Bedrock sur une base de connaissances. Base de connaissances Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock Activité de l'API Amazon Bedrock sur les modèles. Modèle Bedrock AWS::Bedrock::Model
Amazon Bedrock Activité de l'API Amazon Bedrock sur demande. Prompt Bedrock AWS::Bedrock::PromptVersion
Amazon Bedrock Activité de l'API Amazon Bedrock lors des sessions. Séance Bedrock AWS::Bedrock::Session
Amazon CloudFront

CloudFront Activité de l'API sur un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map Activité de l'API sur un espace de noms. AWS Cloud Map espace de nom AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map Activité de l'API sur un service. AWS Cloud Map web AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsactivité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.

 CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

Activité de CloudWatch l'API Amazon sur les métriques.

 CloudWatch métrique AWS::CloudWatch::Metric
Surveillance CloudWatch du flux réseau Amazon Network

Activité de l'API Amazon CloudWatch Network Flow Monitor sur les moniteurs.

 Surveillance du flux réseau AWS::NetworkFlowMonitor::Monitor
Surveillance CloudWatch du flux réseau Amazon Network

Activité de l'API Amazon CloudWatch Network Flow Monitor sur les scopes.

 Champ d'application du Network Flow Monitor AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

Activité de l'API Amazon CloudWatch RUM sur les moniteurs d'applications.

 Moniteur de l'application RUM AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Activité de l'API Profiler sur les groupes de profilage. CodeGuru Profiler AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer Activité de CodeWhisperer l'API Amazon sur une personnalisation. CodeWhisperer personnalisation AWS::CodeWhisperer::Customization
Amazon CodeWhisperer Activité de CodeWhisperer l'API Amazon sur un profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Activité de l'API Amazon Cognito sur les réserves d'identités Amazon Cognito.

 Réserves d’identités Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange Activité de l'API sur les actifs.

Actif Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline CloudActivité de l'API sur les flottes.

Deadline Cloud flotte

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline CloudActivité de l'API sur les jobs.

Deadline Cloud travail

AWS::Deadline::Job
AWS Deadline Cloud

Deadline CloudActivité de l'API sur les files d'attente.

Deadline Cloud queue

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline CloudActivité de l'API sur les travailleurs.

Deadline Cloud travailleur

AWS::Deadline::Worker
Amazon DynamoDB

Activité de l'API Amazon DynamoDB sur les flux.

 DynamoDB Streams AWS::DynamoDB::Stream
AWS Messagerie SMS pour utilisateurs finaux AWS Activité de l'API de messagerie SMS de l'utilisateur final sur les identités d'origine. Identité d'origine des SMS Voice AWS::SMSVoice::OriginationIdentity
AWS Messagerie SMS pour utilisateurs finaux AWS Activité de l'API SMS de messagerie de l'utilisateur final sur les messages. Message vocal SMS AWS::SMSVoice::Message
AWS Messagerie sociale pour utilisateurs finaux AWS Activité de l'API sociale de messagerie de l'utilisateur final sur le numéro de téléphone IDs. Numéro de téléphone de messagerie sociale AWS::SocialMessaging::PhoneNumberId
AWS Messagerie sociale pour utilisateurs finaux AWS Activité de l'API sociale de messagerie utilisateur final sur Waba IDs. Messagerie sociale Waba ID AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) direct APIs, tel quePutSnapshotBlock, GetSnapshotBlock et sur les instantanés ListChangedBlocks Amazon EBS.

 Amazon EBS direct APIs AWS::EC2::Snapshot
Amazon EMR Activité de l'API Amazon EMR sur un espace de travail de journalisation à écriture anticipée. Espace de travail de journalisation à écriture anticipée EMR AWS::EMRWAL::Workspace
Amazon FinSpace

Activité de l'API Amazon FinSpace sur les environnements.

 FinSpace AWS::FinSpace::Environment
Streams sur GameLift les serveurs Amazon

Amazon GameLift Servers diffuse l'activité de l'API sur les applications.

 GameLift Application Streams AWS::GameLiftStreams::Application
Streams sur GameLift les serveurs Amazon

Amazon GameLift Servers Streams l'activité de l'API sur les groupes de flux.

 GameLift Streams (groupe de flux) AWS::GameLiftStreams::StreamGroup
AWS Glue

AWS Glue Activité de l'API sur les tables qui ont été créées par Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

Activité de GuardDuty l'API Amazon pour un détecteur.

 GuardDuty détecteur AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging Activité de l'API sur les entrepôts de données.

 MedicalImaging magasin de données AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT Activité de l'API sur les certificats.

 Certificat IoT AWS::IoT::Certificate
AWS IoT

AWS IoT Activité de l'API sur les objets.

 Un truc lié à l'IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Activité de l'API Greengrass depuis un appareil principal de Greengrass sur une version de composant.

Note

Greengrass n'enregistre pas les cas de refus d'accès.

 Version du composant IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Activité de l'API Greengrass depuis un appareil principal de Greengrass lors d'un déploiement.

Note

Greengrass n'enregistre pas les cas de refus d'accès.

 Déploiement de Greengrass pour l'IoT AWS::GreengrassV2::Deployment
AWS IoT SiteWise

Activité de SiteWise l'API IoT sur les actifs.

 SiteWise Actif IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

Activité de SiteWise l'API IoT sur les séries chronologiques.

 Séries SiteWise chronologiques sur l'IoT AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistante

Activité de l'API Sitewise Assistant sur les conversations.

 Conversation avec Sitewise Assistant AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

Activité de TwinMaker l'API IoT sur une entité.

 TwinMaker Entité IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

Activité de TwinMaker l'API IoT sur un espace de travail.

 Espace de TwinMaker travail IoT AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra)

Activité de l'API de classement intelligent Amazon Kendra sur les plans d'exécution de réévaluation.

 Classement Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (pour Apache Cassandra) Activité de l'API Amazon Keyspaces sur une table. Table Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Activité de l'API Kinesis Data Streams sur les flux. Kinesis Stream AWS::Kinesis::Stream
Amazon Kinesis Data Streams Activité de l'API Kinesis Data Streams sur les consommateurs de flux. Client de flux Kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Activité de l'API Kinesis Video Streams sur les flux vidéo, tels que les appels GetMedia vers PutMedia et. Flux vidéo Kinesis AWS::KinesisVideo::Stream
Cartes de localisation Amazon Location Activité de l'API Amazon Location Maps. Cartes géographiques AWS::GeoMaps::Provider
Amazon Location Activité de l'API Amazon Location Places. Géolocalisations AWS::GeoPlaces::Provider
Amazon Location Activité de l'API Amazon Location Routes. Itinéraires géographiques AWS::GeoRoutes::Provider
Amazon Machine Learning Activité de l'API Machine Learning sur les modèles ML. Apprentissage automatique MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Activité de l'API Amazon Managed Blockchain sur un réseau.

 Réseau Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Appels Amazon Managed Blockchain JSON-RPC sur les nœuds Ethereum, tels que eth_getBalance ou eth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

Activité de l'API Amazon Managed Blockchain Query.

 Demande de blockchain gérée AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows for Apache Airflow

Activité de l'API Amazon MWAA sur les environnements.

 Apache Airflow géré AWS::MWAA::Environment
Graphe Amazon Neptune

Les activités de l’API de données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune.

 Graphe Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

Activité de l'API Amazon One Enterprise sur un UKey.

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Activité de l'API Amazon One Enterprise sur les utilisateurs.

 Utilisateur d'Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography Activité de l'API sur les alias. Alias de cryptographie de paiement AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography Activité de l'API sur les clés. Clé de cryptographie de paiement AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Activité de l'API Connector for Active Directory.

 AWS Private CA Connector for Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Connecteur pour l'activité de l'API SCEP.

 AWS Private CA Connecteur for SCEP AWS::PCAConnectorSCEP::Connector
Amazon Pinpoint

Activité de l'API Amazon Pinpoint sur les applications de ciblage mobiles.

 Application de ciblage mobile AWS::Pinpoint::App
Applications Amazon Q

Activité de l'API de données sur Amazon Q Apps.

 Applications Amazon Q AWS::QApps::QApp
Applications Amazon Q

Activité de l'API de données sur les sessions de l'application Amazon Q.

 Session de l'application Amazon Q AWS::QApps::QAppSession
Amazon Q Business

Activité de l’API Amazon Q Business sur une application.

 Application Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

Activité de l’API Amazon Q Business sur une source de données.

 Source de données Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

Activité de l’API Amazon Q Business sur un index.

 Indice Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

Activité de l’API Amazon Q Business dans le cadre d’une expérience Web.

 Expérience Web Amazon Q Business AWS::QBusiness::WebExperience
Amazon Q Developer

Activité de l'API Amazon Q Developer sur une intégration.

 Q Intégration pour les développeurs AWS::QDeveloper::Integration
Amazon Q Developer

Activité de l'API Amazon Q Developer dans le cadre d'enquêtes opérationnelles.

 AIOps Groupe d'enquête AWS::AIOps::InvestigationGroup
Amazon RDS

Activité de l'API Amazon RDS sur un cluster de base de données.

 API de données RDS - Cluster de bases de données AWS::RDS::DBCluster
Explorateur de ressources AWS

Activité de l'API Resource Explorer sur les vues gérées.

 Explorateur de ressources AWS vue gérée AWS::ResourceExplorer2::ManagedView
Explorateur de ressources AWS

Activité de l'API Resource Explorer sur les vues.

 Explorateur de ressources AWS vue AWS::ResourceExplorer2::View
Amazon S3

Activité de l'API Amazon S3 sur les points d'accès.

 Points d’accès S3 AWS::S3::AccessPoint
Amazon S3

Activité d'API au niveau des objets Amazon S3 (par exemple,,, GetObjectDeleteObject, et les opérations d'PutObjectAPI) sur les objets dans les compartiments de répertoire.

 S3 Express AWS::S3Express::Object
Amazon S3

Activité API sur les points d'accès Amazon S3 Object Lambda, tels que les appels vers CompleteMultipartUpload et. GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Tables Amazon S3

Activité de l'API Amazon S3 sur les tables.

 Tableau S3 AWS::S3Tables::Table
Tables Amazon S3

Activité de l'API Amazon S3 sur les compartiments de table.

 seau de table S3 AWS::S3Tables::TableBucket
Amazon S3 sur Outposts

Activité de l'API au niveau de l'objet Amazon S3 on Outposts.

 S3 Outposts AWS::S3Outposts::Object
SageMaker IA Amazon InvokeEndpointWithResponseStreamActivité d'Amazon SageMaker AI sur les terminaux. SageMaker Point de terminaison IA AWS::SageMaker::Endpoint
SageMaker IA Amazon

Activité de l'API Amazon SageMaker AI sur les Feature Store.

 SageMaker feature store basé sur l'IA AWS::SageMaker::FeatureGroup
SageMaker IA Amazon

Activité de l'API Amazon SageMaker AI sur les composants des essais expérimentaux.

 SageMaker Métriques IA de composants d'essai d'expérience AWS::SageMaker::ExperimentTrialComponent
AWS Signer

Activité de l'API du signataire sur les tâches de signature.

 Job de signature de signataire AWS::Signer::SigningJob
AWS Signer

Activité de l'API des signataires sur les profils de signature.

 Profil de signature du signataire AWS::Signer::SigningProfile
Amazon SimpleDB

Activité de l'API Amazon SimpleDB sur les domaines.

 Domaine SimpleDB AWS::SDB::Domain
Amazon Simple Email Service

Activité de l'API Amazon Simple Email Service (Amazon SES) sur les ensembles de configuration.

 Kit de configuration SES AWS::SES::ConfigurationSet
Amazon Simple Email Service

Activité de l'API Amazon Simple Email Service (Amazon SES) sur les identités d'e-mail.

 Identité SES AWS::SES::EmailIdentity
Amazon Simple Email Service

Activité de l'API Amazon Simple Email Service (Amazon SES) sur les modèles.

 Modèle SES AWS::SES::Template
Amazon SNS

Opérations d'API Publish d'Amazon SNS sur les points de terminaison de la plateforme.

 Point de terminaison de la plateforme SNS AWS::SNS::PlatformEndpoint
Amazon SNS

Opérations d'API Publish et PublishBatch d'Amazon SNS sur des rubriques.

 Rubrique SNS AWS::SNS::Topic
Amazon SQS

Activité de l’API Amazon SQS sur les messages.

 SQS AWS::SQS::Queue
AWS Step Functions

Activité de l'API Step Functions sur les activités.

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

Activité de l'API Step Functions sur les machines à états.

 Machine d’état Step Functions AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain Activité de l'API sur une instance.

 Chaîne d'approvisionnement AWS::SCN::Instance
Amazon SWF

Activité de l'API Amazon SWF sur les domaines.

 Domaine SWF AWS::SWF::Domain
AWS Systems Manager Activité de l'API Systems Manager sur les canaux de contrôle. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager Activité de l'API Systems Manager sur les évaluations d'impact. Évaluation de l'impact du SSM AWS::SSM::ExecutionPreview
AWS Systems Manager Activité de l'API Systems Manager sur les nœuds gérés. Nœud géré par Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Activité de l'API Query d'Amazon Timestream sur des bases de données. Base de données Timestream AWS::Timestream::Database
Amazon Timestream Activité de l'API Amazon Timestream sur les points de terminaison régionaux. Point de terminaison régional Timestream AWS::Timestream::RegionalEndpoint
Amazon Timestream Activité de l'API Query d'Amazon Timestream sur des tables. Table Timestream AWS::Timestream::Table
Amazon Verified Permissions

Activité de l'API Amazon Verified Permissions sur un magasin de politiques.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Client WorkSpaces léger Amazon Thin Client léger WorkSpaces Activité de l'API Client léger sur un appareil. Appareil client léger AWS::ThinClient::Device
Client WorkSpaces léger Amazon Thin Client léger WorkSpaces Activité de l'API Client léger dans un environnement. Client léger d’environnement AWS::ThinClient::Environment
AWS X-Ray

Activité de l'API X-Ray sur les traces.

 X-Ray Trace AWS::XRay::Trace

Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements de données, vous devez explicitement ajouter les ressources prises en charge ou les types de ressources dont vous souhaitez enregistrer l'activité. Pour plus d’informations, consultez Créer un journal d'activité à l'aide de la CloudTrail console et Créer un magasin de données d'événement pour CloudTrail des événements avec la console.

Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, consultez la section AWS CloudTrail Tarification.

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'action Amazon SNS. Publish

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

L'exemple suivant montre un enregistrement de journal unique d'un événement de données pour l'action Amazon CognitoGetCredentialsForIdentity.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Événements liés à l'activité réseau

CloudTrail les événements d'activité réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Les événements d'activité réseau fournissent des informations sur les opérations de ressource exécutées dans un VPC.

Vous pouvez enregistrer les événements liés à l'activité réseau pour les services suivants :

  • AWS AppConfig

  • AWS B2B Échange de données

  • Billing and Cost Management

  • Calculateur de tarification AWS

  • AWS Cost Explorer

  • AWS CloudHSM

  • Amazon Comprehend Medical

  • AWS CloudTrail

  • Exportations de données AWS

  • Amazon DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon EventBridge Scheduler

  • Niveau gratuit d'AWS

  • Amazon FSx

  • AWS IoT FleetWise

  • Facturation AWS

  • AWS KMS

  • AWS Lambda

  • Amazon Lookout for Equipment

  • Amazon Rekognition

  • Amazon S3

    Note

    Les points d'accès multi-Régions Amazon S3 ne sont pas pris en charge.

  • AWS Secrets Manager

  • AWS Systems Manager Incident Manager

  • Amazon Textract

  • Amazon WorkMail

Les événements d'activité réseau ne sont pas journalisés par défaut lorsque vous créez un entrepôt de données d'événement. Pour enregistrer les événements d'activité CloudTrail réseau, vous devez explicitement définir la source d'événement dont vous souhaitez enregistrer l'activité. Pour de plus amples informations, veuillez consulter Enregistrement des événements liés à l'activité du réseau.

Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité réseau. Pour les CloudTrail tarifs, consultez la section AWS CloudTrail Tarification.

L'exemple suivant montre un AWS KMS ListKeys événement de succès qui a traversé un point de terminaison VPC. Le vpcEndpointId champ affiche l'ID du service de point de terminaison de VPC. Le vpcEndpointAccountId champ affiche l'ID de compte du propriétaire du service de point de terminaison de VPC. Dans cet exemple, la demande a été faite par le propriétaire du point de terminaison VPC.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

L'exemple suivant montre un AWS KMS ListKeys événement infructueux lié à une violation de la politique de point de terminaison du VPC. Comme une violation de la politique VPC s'est produite, les errorMessage champs errorCode et sont présents. L'ID de compte dans les vpcEndpointAccountId champs recipientAccountId et est le même, ce qui indique que l'événement a été envoyé au propriétaire du point de terminaison VPC. L'userIdentityélément accountId in n'est pas levpcEndpointAccountId, ce qui indique que l'utilisateur qui fait la demande n'est pas le propriétaire du point de terminaison VPC.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Événements Insights

CloudTrail Les événements Insights capturent un taux d'appel d'API inhabituel ou une activité de taux d'erreur dans votre AWS compte en analysant l'activité CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que l’API associée, le code d’erreur, l’heure de l’incident et les statistiques, ce qui vous aide à comprendre et à agir par rapport à l’activité inhabituelle. Contrairement à d'autres types d'événements capturés dans un journal CloudTrail de suivi ou un entrepôt de données d'événement, les événements Insights sont journalisés CloudTrail uniquement lorsque des changements dans l'utilisation de l'API ou dans le taux d'erreur de votre compte qui diffèrent de manière significative des modèles d'utilisation typiques du compte. Pour de plus amples informations, veuillez consulter Travailler avec CloudTrail Insights.

Voici des exemples d’activité susceptibles de générer des événements Insights :

  • Votre compte ne consigne généralement pas plus de 20 appels d'API deleteBucket Amazon S3 par minute, mais commence à consigner une moyenne de 100 appels d'API deleteBucket par minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle.

  • Votre compte enregistre généralement 20 appels par minute à l' EC2AuthorizeSecurityGroupIngressAPI Amazon, mais commence à ne consigner aucun appel àAuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

  • En règle générale, votre compte se connecte à moins d'une erreur AccessDeniedException sur une période de sept jours sur AWS Identity and Access Management l’API, DeleteInstanceProfile. Votre compte commence à journaliser en moyenne 12 erreurs AccessDeniedException par minute sur DeleteInstanceProfile l’appel API. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.

Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement la collecte d'événements Insights sur un journal de suivi ou un entrepôt de données d'événement nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Créer un journal d'activité à l'aide de la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créer un magasin de données d'événement pour des événements Insights à l'aide de la console.

Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail.

Deux événements sont journalisés pour afficher une activité inhabituelle dans CloudTrail Insights : un événement de début et un événement de fin. L’exemple suivant présente un enregistrement de journal d’un événement Insights qui s’est produit lorsque l’API CompleteLifecycleAction de la scalabilité automatique des applications a été appelée un nombre inhabituel de fois. Pour les événements Insights, la valeur de eventCategory est Insight. Un bloc insightDetails identifie l’état, la source, le nom, le type Insights et le contexte de l’événement, ainsi que des statistiques et attributions. Pour plus d’informations sur le bloc insightDetails, consultez CloudTrail enregistrer le contenu des événements Insights pour les journaux de suivi.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }