Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Schémas SQL pris en charge pour les entrepôts de données d'événement
<a name="query-supported-event-schemas"></a>

**Note**  
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).

Les sections suivantes présentent le schéma SQL pris en charge pour chaque type d'entrepôt de données d'événement.

**Topics**
+ [Schéma pris en charge pour les CloudTrail champs d'enregistrement d'événements](#query-supported-event-schema)
+ [Schéma pris en charge pour les champs d'enregistrement d'événements CloudTrail Insights](#query-supported-insights-schema)
+ [Schéma pris en charge pour les AWS Config champs d'enregistrement des éléments de configuration](#query-supported-config-items-schema)
+ [Schéma pris en charge pour les AWS Audit Manager champs d'enregistrement des preuves](#query-supported-event-schema-audit-manager)
+ [Schéma pris en charge pour les champs non AWS liés aux événements](#query-supported-event-schema-integration)

## Schéma pris en charge pour les CloudTrail champs d'enregistrement d'événements
<a name="query-supported-event-schema"></a>

Voici le schéma SQL valide pour les champs d'enregistrement des événements de CloudTrail gestion, de données et d'activité réseau. Pour plus d'informations sur les champs CloudTrail d'enregistrement d'événements, consultez[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).

```
[
    {
        "Name": "eventversion",
        "Type": "string"
    },
    {
        "Name": "useridentity",
        "Type": "struct<type:string,principalid:string,arn:string,accountid:string,accesskeyid:string,
                 username:string,sessioncontext:struct<attributes:struct<creationdate:timestamp,
                 mfaauthenticated:string>,sessionissuer:struct<type:string,principalid:string,arn:string,
                 accountid:string,username:string>,webidfederationdata:struct<federatedprovider:string,
                 attributes:map<string,string>>,sourceidentity:string,ec2roledelivery:string,
                 ec2issuedinvpc:string>,onbehalfof:struct<userid:string,identitystorearn:string>,
                 inscopeof:struct<sourcearn:string,sourceaccount:string,issuertype:string,
                 credentiaisissuedto:string>,invokedby:string,identityprovider:string>"
    },
    {
        "Name": "eventtime",
        "Type": "timestamp"
    },
    {
        "Name": "eventsource",
        "Type": "string"
    },
    {
        "Name": "eventname",
        "Type": "string"
    },
    {
        "Name": "awsregion",
        "Type": "string"
    },
    {
        "Name": "sourceipaddress",
        "Type": "string"
    },
    {
        "Name": "useragent",
        "Type": "string"
    },
    {
        "Name": "errorcode",
        "Type": "string"
    },
    {
        "Name": "errormessage",
        "Type": "string"
    },
    {
        "Name": "requestparameters",
        "Type": "map<string,string>"
    },
    {
        "Name": "responseelements",
        "Type": "map<string,string>"
    },
    {
        "Name": "additionaleventdata",
        "Type": "map<string,string>"
    },
    {
        "Name": "requestid",
        "Type": "string"
    },
    {
        "Name": "eventid",
        "Type": "string"
    },
    {
        "Name": "readonly",
        "Type": "boolean"
    },
    {
        "Name": "resources",
        "Type": "array<struct<accountid:string,type:string,arn:string,arnprefix:string>>"
    },
    {
        "Name": "eventtype",
        "Type": "string"
    },
    {
        "Name": "apiversion",
        "Type": "string"
    },
    {
        "Name": "managementevent",
        "Type": "boolean"
    },
    {
        "Name": "recipientaccountid",
        "Type": "string"
    },
    {
        "Name": "sharedeventid",
        "Type": "string"
    },
    {
        "Name": "annotation",
        "Type": "string"
    },
    {
        "Name": "vpcendpointid",
        "Type": "string"
    },
    {
        "Name": "vpcendpointaccountid",
        "Type": "string"
    },
    {
        "Name": "serviceeventdetails",
        "Type": "map<string,string>"
    },
    {
        "Name": "addendum",
        "Type": "map<string,string>"
    },
    {
        "Name": "edgedevicedetails",
        "Type": "map<string,string>"
    },
    {
        "Name": "insightdetails",
        "Type": "map<string,string>"
    },
    {
        "Name": "eventcategory",
        "Type": "string"
    },
    {
        "Name": "tlsdetails",
        "Type": "struct<tlsversion:string,ciphersuite:string,clientprovidedhostheader:string>"
    },
    {
        "Name": "sessioncredentialfromconsole",
        "Type": "string"
    },
    {
        "Name": "eventjson",
        "Type": "string"
    }
    {
        "Name": "eventjsonchecksum",
        "Type": "string"
    }
]
```

## Schéma pris en charge pour les champs d'enregistrement d'événements CloudTrail Insights
<a name="query-supported-insights-schema"></a>

Voici le schéma SQL valide pour les champs d'enregistrement d'événement Insights. Pour les événements Insights, la valeur de `eventcategory` est `Insight` et la valeur de `eventtype` est `AwsCloudTrailInsight`. Pour une description de ces champs, voir[CloudTrail enregistrer le contenu des événements Insights pour les magasins de données d'événements](cloudtrail-insights-fields-lake.md).

**Note**  
Les `baselineaverage` champs `insightvalue` `insightaverage``baselinevalue`,, et situés dans le `attributions` champ de `insightContext` deviendront obsolètes le 23 juin 2025.

```
[
    {
        "Name": "eventversion",
        "Type": "string"
    },
    {
        "Name": "eventcategory",
        "Type": "string"
    },
    {
        "Name": "eventtype",
        "Type": "string"
    },
        "Name": "eventid",
        "Type": "string"
    },
    {
        "Name": "eventtime",
        "Type": "timestamp"
    },
    {
        "Name": "awsregion",
        "Type": "string"
    },
    {
        "Name": "recipientaccountid",
        "Type": "string"
    },
    {
        "Name": "sharedeventid",
        "Type": "string"
    },
    {
        "Name": "addendum",
        "Type": "map<string,string>"
    },
    {
        "Name": "insightsource",
        "Type": "string"
    },
    {
        "Name": "insightstate",
        "Type": "string"
    },
    {
        "Name": "insighteventsource",
        "Type": "string"
    },
    {
        "Name": "insighteventname",
        "Type": "string"
    },
    {
        "Name": "insighterrorcode",
        "Type": "string"
    },
    {
        "Name": "insighttype",
        "Type": "string"
    },
    {
        "Name": "insightContext",
        "Type": "struct<baselineaverage:double,insightaverage:double,
                 baselineduration:integer,insightduration:integer,
                 attributions:struct<attribute:string,insightvalue:string,
                 insightaverage:double,baselinevalue:string,baselineaverage:double,
                 insight:struct<value:string,average:double>,
                 baseline:struct<value:string,average:double>>>"
    }
]
```

## Schéma pris en charge pour les AWS Config champs d'enregistrement des éléments de configuration
<a name="query-supported-config-items-schema"></a>

Voici le schéma SQL valide pour les champs d'enregistrement des éléments de configuration. Pour les éléments de configuration, la valeur de `eventcategory` est `ConfigurationItem` et la valeur de `eventtype` est `AwsConfigurationItem`.

```
[
    {
        "Name": "eventversion",
        "Type": "string"
    },
    {
        "Name": "eventcategory",
        "Type": "string"
    },
    {
        "Name": "eventtype",
        "Type": "string"
    },
        "Name": "eventid",
        "Type": "string"
    },
    {
        "Name": "eventtime",
        "Type": "timestamp"
    },
    {
        "Name": "awsregion",
        "Type": "string"
    },
    {
        "Name": "recipientaccountid",
        "Type": "string"
    },
    {
        "Name": "addendum",
        "Type": "map<string,string>"
    },
    {
        "Name": "eventdata",
        "Type": "struct<configurationitemversion:string,configurationitemcapturetime:
                 string,configurationitemstatus:string,configurationitemstateid:string,accountid:string,
                 resourcetype:string,resourceid:string,resourcename:string,arn:string,awsregion:string,
                 availabilityzone:string,resourcecreationtime:string,configuration:map<string,string>,
                 supplementaryconfiguration:map<string,string>,relatedevents:string,
                 relationships:struct<name:string,resourcetype:string,resourceid:string,
                 resourcename:string>,tags:map<string,string>>"
    }
]
```

## Schéma pris en charge pour les AWS Audit Manager champs d'enregistrement des preuves
<a name="query-supported-event-schema-audit-manager"></a>

Voici le schéma SQL valide pour les champs d'enregistrement de preuves d'Audit Manager. Pour les champs d'enregistrement des preuves d'Audit Manager, la valeur de `eventcategory` est `Evidence` et la valeur de `eventtype` est `AwsAuditManagerEvidence`. Pour plus d'informations sur l'agrégation des preuves dans CloudTrail Lake à l'aide d'Audit Manager, voir [Evidence Finder](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) dans le *guide de AWS Audit Manager l'utilisateur*.

```
[
    {
        "Name": "eventversion",
        "Type": "string"
    },
    {
        "Name": "eventcategory",
        "Type": "string"
    },
    {
        "Name": "eventtype",
        "Type": "string"
    },
        "Name": "eventid",
        "Type": "string"
    },
    {
        "Name": "eventtime",
        "Type": "timestamp"
    },
    {
        "Name": "awsregion",
        "Type": "string"
    },
    {
        "Name": "recipientaccountid",
        "Type": "string"
    },
    {
        "Name": "addendum",
        "Type": "map<string,string>"
    },
    {
        "Name": "eventdata",
        "Type": "struct<attributes:map<string,string>,awsaccountid:string,awsorganization:string,
                 compliancecheck:string,datasource:string,eventname:string,eventsource:string,
                 evidenceawsaccountid:string,evidencebytype:string,iamid:string,evidenceid:string,
                 time:timestamp,assessmentid:string,controlsetid:string,controlid:string,
                 controlname:string,controldomainname:string,frameworkname:string,frameworkid:string,
                 service:string,servicecategory:string,resourcearn:string,resourcetype:string,
                 evidencefolderid:string,description:string,manualevidences3resourcepath:string,
                 evidencefoldername:string,resourcecompliancecheck:string>"
    }
]
```

## Schéma pris en charge pour les champs non AWS liés aux événements
<a name="query-supported-event-schema-integration"></a>

Le schéma SQL valide pour les AWS non-événements est le suivant. Pour les AWS non-événements, la valeur de `eventcategory` is `ActivityAuditLog` et la valeur de `eventtype` is`ActivityLog`.

```
[
    {
        "Name": "eventversion",
        "Type": "string"
    },
    {
        "Name": "eventcategory",
        "Type": "string"
    },
    {
        "Name": "eventtype",
        "Type": "string"
    },
        "Name": "eventid",
        "Type": "string"
    },
    {
        "Name": "eventtime",
        "Type": "timestamp"
    },
    {
        "Name": "awsregion",
        "Type": "string"
    },
    {
        "Name": "recipientaccountid",
        "Type": "string"
    },
    {
        "Name": "addendum",
        "Type": "struct<reason:string,updatedfields:string,originalUID:string,originaleventid:string>"
    },
    {
        "Name": "metadata",
        "Type": "struct<ingestiontime:string,channelarn:string>"
    },
    {
        "Name": "eventdata",
        "Type": "struct<version:string,useridentity:struct<type:string,
                 principalid:string,details:map<string,string>>,useragent:string,eventsource:string,
                 eventname:string,eventtime:string,uid:string,requestparameters:map<string,string>>,
                 responseelements":map<string,string>>,errorcode:string,errormssage:string,sourceipaddress:string,
                 recipientaccountid:string,additionaleventdata":map<string,string>>"
    }
]
```