CloudTrail registrare contenuti per eventi aggregati - AWS CloudTrail
Esempio di evento aggregato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail registrare contenuti per eventi aggregati

AWSCloudTrail i record di eventi aggregati includono campi diversi dagli altri CloudTrail eventi nel relativo payload JSON. Gli eventi aggregati contengono i seguenti campi:

eventVersion

La versione dell'evento aggregato.

Since: 1.0

Optional: False

accountId

L'ID dell'account che ha ricevuto questo evento.

Since: 1.0

Optional: False

eventId

Un GUID generato da CloudTrail per identificare in modo univoco ogni evento aggregato. Puoi utilizzare questo valore per identificare un singolo evento. Ad esempio, puoi utilizzare l'ID come chiave primaria per recuperare i dati di log da un database ricercabile.

Since: 1.0

Optional: False

eventCategory

Identifica la categoria dell'evento. Per gli eventi aggregati, questo valore è sempre. Aggregated Utilizzate questo campo per filtrare quando interrogate gli eventi per categoria.

Since: 1.0

Optional: False

eventType

Identifica il tipo di evento aggregato. Per gli eventi aggregati, questo valore è. AwsAggregatedEvent

Since: 1.0

Optional: False

awsRegion

Gli Regione AWS CloudTrail eventi atomici che sono stati aggregati in questo record, ad esempio. ap-northeast-1 Questa è in genere la regione in cui sono state effettuate le chiamate all'API di servizio.

Since: 1.0

Optional: False

eventSource

Il AWS servizio per il quale sono stati registrati gli eventi sottostanti.

Since: 1.0

Optional: False

timeWindow

L'intervallo di tempo durante il quale CloudTrail gli eventi atomici sono stati aggregati in questo record di eventi aggregato. Il timeWindow campo contiene dettagli come l'ora di inizio della finestra, l'ora di fine della finestra e le dimensioni della finestra.

Since: 1.0

Optional: False

windowStart

L'inizio della finestra di aggregazione, incluso, in Universal Time (UTC), rappresentato nel formato ISO-8601.

Since: 1.0

Optional: False

windowEnd

La fine della finestra di aggregazione, esclusiva, in UTC, rappresentata nel formato ISO-8601.

Since: 1.0

Optional: False

windowSize

La durata della finestra di aggregazione. La differenza windowEnd − windowStart deve corrispondere a. windowSize windowSizeÈ rappresentato nel formato ISO-8601.

Since: 1.0

Optional: False

summary

Un riepilogo di aggregazione per gli eventi atomici sottostanti, raggruppati per una dimensione principale (ad esempioeventName, resourceARN ouserIdentity) e facoltativamente suddivisi per dimensioni aggiuntive (ad esempio,,). userAgent sourceIpAddress errorCodes

Since: 1.0

Optional: False

Il riepilogo contiene i seguenti campi:

primaryDimension

La dimensione di aggregazione principale per questoAwsAggregatedEvent. Questa è la visualizzazione principale dei dati aggregati. Ad esempio, nel modello di API_ACTIVITY aggregazione, la dimensione principale èeventName; nel RESOURCE_ACCESS modello, èresourceARN; e nel USER_ACTIONS modello, lo è. userIdentity

Since: 1.0

Optional: False

details

Dimensioni aggiuntive che forniscono maggiori dettagli sugli eventi atomici aggregati. Ogni oggetto Detail può fornire una visualizzazione aggiuntiva degli stessi eventi sottostanti, ad esempioeventName, resourceARNuserIdentity, userAgent e sourceIpAddress dipende dal modello di aggregazione.

Since: 1.0

Optional: False

Ogni dettaglio fornisce le seguenti informazioni:

dimension

Il nome della dimensione utilizzata per raggruppare gli eventi aggregati. I valori comuni includono:

  • eventName

  • resourceARN

  • userIdentity

  • userAgent

  • sourceIpAddress

Since: 1.0

Optional: False

statistics

Un elenco di statistiche per questa dimensione, in cui ogni voce rappresenta un bucket (ad esempio, un nome di evento o un ARN di risorsa) e il relativo valore aggregato.

Since: 1.0

Optional: False

Ogni voce delle statistiche contiene le seguenti informazioni:

name

L'identificatore o la chiave del bucket per questa statistica all'interno della dimensione associata.

value

Il valore numerico aggregato per il nome specificato nella dimensione specificata.

aggregationType

Il tipo di aggregazione applicato per il calcolo di questa dimensionestatistics.value. Valori consentiti:

  • Count— Numero di eventi.

Since: 1.0

Optional: False

addendum

Trasporta metadati sulla consegna ritardata o sugli aggiornamenti di un sistema esistente. AggregatedEvent

Since: 1.0

Optional: False

reason

Il motivo per cui un annuncio AwsAggregatedEvent è stato ritardato, aggiornato o altrimenti integrato. I valori comuni possono includere (non esaustivi):

  • DELIVERY_DELAY— La consegna dei dati aggregati è stata ritardata (ad esempio, problemi di rete o volumi elevati).

  • UPDATED_DATA— I dati aggregati sono stati ricalcolati o corretti.

  • SERVICE_OUTAGE— L'interruzione del servizio sottostante ha influito sulla disponibilità degli eventi.

Since: 1.0

Optional: True

Esempio di evento aggregato

Di seguito è riportato un esempio di evento CloudTrail aggregato ()AwsAggregatedEvent. In questo esempio, CloudTrail aggrega PutAuditEvents le chiamate verso una finestra temporale di cloudtrail-data.amazonaws.com oltre cinque minuti nella regione. us-east-1 Il blocco di riepilogo mostra la dimensione di aggregazione principale (eventName) e che durante la finestra temporale sono avvenute 30 PutAuditEvents chiamate. Le voci di dettaglio suddividono ulteriormente tali chiamate sourceIpAddress per resourceARNuserIdentity,userAgent, e mostrano come l'attività viene distribuita tra risorse, principali e client.

{  
    "eventVersion": "1.0",  
    "accountId": "111122223333",  
    "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",  
    "eventCategory": "Aggregated",  
    "eventType": "AwsAggregatedEvent",  
    "awsRegion": "us-east-1",  
    "eventSource": "cloudtrail-data.amazonaws.com",  
    "timeWindow":  
    {  
        "windowStart": "2025-10-30 23:45:00",  
        "windowEnd": "2025-10-30 23:50:00",  
        "windowSize": "PT5M"  
    },  
    "summary":  
    {  
        "primaryDimension":  
        {  
            "dimension": "eventName",  
            "statistics":  
            [  
                {  
                    "name": "PutAuditEvents",  
                    "value": 30  
                }  
            ],  
            "aggregationType": "Count"  
        },  
        "details":  
        [  
            {  
                "dimension": "resourceARN",  
                "statistics":  
                [  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",  
                        "value": 20  
                    },  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userIdentity",  
                "statistics":  
                [  
                    {  
                        "name": "AWSAccount:111122223333",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWSService:AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userAgent",  
                "statistics":  
                [  
                    {  
                        "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value":10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "sourceIpAddress",  
                "statistics":  
                [  
                    {  
                        "name": "1.2.3.4",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            }  
        ]  
    }  
}