管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ - AWS CloudTrail
最大イベントサイズが 1 MB のフィールド切り捨て順序sharedEventID の例

管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ

このページでは、管理、データ、またはネットワークアクティビティイベントのレコードコンテンツについて説明します。

レコードの本文には、リクエストされたアクションと、リクエストがいつどこで行われたかを判断するのに役立つフィールドが含まれています。オプションの値が True の場合、そのフィールドは、サービス、API、またはイベントタイプに適用される場合にのみ表示されます。Falseオプションの値は、そのフィールドが常に存在するか、その存在がサービス、API、またはイベントタイプに依存しないことを意味します。例は responseElements です。これは、変更を行うアクション (アクションの作成、更新、削除) のイベントに存在します。

注記

eventContext などの強化イベントのフィールドは、管理イベントとデータイベントでのみ使用できます。これらはネットワークイベントでは使用できません。

eventTime

リクエストが完了した日付と時刻、協定世界時 (UTC)。イベントのタイムスタンプは、API コールが行われたサービス API エンドポイントを提供するローカルホストから取得されます。例えば、米国西部 (オレゴン) リージョンで実行される CreateBucket API イベントでは、Amazon S3 エンドポイント、s3.us-west-2.amazonaws.com を実行している AWS ホストの時間からそのタイムスタンプを取得します。一般に、AWS サービスは Network Time Protocol (NTP) を使用してシステムのクロックを同期します。

使用可能: 1.0 以降

オプション: False

eventVersion

ログイベント形式のバージョン。現在のバージョンは 1.11 です。

eventVersion の値は、major_version.minor_version の形式でメジャーおよびマイナーのバージョンです。例えば、eventVersion の値が 1.10 の場合には、1 がメジャーバージョンを示し、10 がマイナーバージョンを示します。

イベント構造に後方互換性のない変更が加えられた場合、CloudTrail により、メジャーバージョンが増分されます。これには、既に存在する JSON フィールドの削除や、フィールドのコンテンツの表現方法 (日付形式など) の変更が含まれます。イベント構造に新しいフィールドを追加する変更をした場合、CloudTrail がマイナーバージョンを増分します。これが発生する可能性があるのは、一部またはすべての既存のイベントに対して新しい情報が利用可能か、新しいイベントタイプでのみ新しい情報が利用可能な場合です。イベント構造の新しいマイナーバージョンとの将来の互換性を保つには、アプリケーションは新しいフィールドを無視する場合があります。

CloudTrail により新しいイベントタイプが導入されたが、イベントの構造が変更されていない場合、イベントのバージョンは変更されません。

アプリケーションがイベント構造を正しく解析できるようにするため、メジャーバージョン番号が同等かどうかの比較を行うことをお勧めします。アプリケーションで予期されるフィールドが存在することを確認するため、マイナーバージョンがそれ以上であるかどうかの比較を行うことをお勧めします。マイナーバージョンには先頭のゼロはありません。major_version および minor_version を数値として解釈し、比較操作を実行できます。

使用可能: 1.0 以降

オプション: False

userIdentity

リクエストを作成した IAM アイデンティティに関する情報。詳細については、「CloudTrail userIdentity エレメント」を参照してください。

使用可能: 1.0 以降

オプション: False

eventSource

リクエストが行われたサービス。この名前は通常、スペースなしのサービス名の短縮形に .amazonaws.com を付けたものです。以下はその例です。

  • CloudFormationis(cloudformation.amazonaws.com )

  • Amazon EC2 は ec2.amazonaws.com です。

  • Amazon Simple Workflow Service は swf.amazonaws.com です。

この規則にはいくつかの例外があります。例えば、Amazon CloudWatch の eventSource 値は monitoring.amazonaws.com です。

使用可能: 1.0 以降

オプション: False

eventName

リクエストされたアクション。そのサービスの API アクションの 1 つです。

使用可能: 1.0 以降

オプション: False

awsRegion

リクエストが行われた AWS リージョン。例えば us-east-2。「CloudTrail がサポートされているリージョン」を参照してください。

使用可能: 1.0 以降

オプション: False

sourceIPAddress

リクエストが行われた IP アドレス。サービスコンソールから行われたアクションの場合、報告されるアドレスは、コンソールウェブサーバーではなく、基礎となるカスタマーリソースのものです。AWS のサービスでは、DNS 名のみが表示されます。

注記

AWS からのイベントの場合、このフィールドは通常 AWS Internal/# で、# は内部で使用される数字です。

使用可能: 1.0 以降

オプション: False

userAgent

AWS マネジメントコンソール、AWS のサービス、AWS SDK または AWS CLI など、リクエストが行われたエージェント。

このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。

以下は値の例です。

  • lambda.amazonaws.com リクエストは で行われました。AWS Lambda

  • aws-sdk-java リクエストは で行われました。AWS SDK for Java

  • aws-sdk-ruby リクエストは で行われました。AWS SDK for Ruby

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – リクエストは Linux にインストールされた AWS CLI で行われました。

注記

AWS から発生したイベントの場合、CloudTrail が呼び出し元の AWS のサービスを把握している場合には、このフィールドは呼び出し元のサービスのイベントソースです (例: ec2.amazonaws.com)。それ以外の場合、このフィールドは AWS Internal/# であり、# は内部目的に使用される数値です。

使用可能: 1.0 以降

オプション: True

errorCode

リクエストがエラーを返す場合、AWS のサービスエラー。このフィールドを示す例については、「エラーコードとメッセージログの例」を参照してください。

このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。

ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、エラーコードは VpceAccessDenied です。

使用可能: 1.0 以降

オプション: True

errorMessage

リクエストがエラーを返す場合、エラーの説明。このメッセージには、認可エラーのメッセージが含まれています。CloudTrail は、例外処理でサービスにより記録されたメッセージを取得します。例については、エラーコードとメッセージログの例を参照してください。

このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。

ネットワークアクティビティイベントの場合、VPC エンドポイントポリシーに対する違反がある場合、errorMessage は常に次のメッセージになります: The request was denied due to a VPC endpoint policy。VPC エンドポイントポリシー違反におけるアクセス拒否イベントの詳細については、「IAM ユーザーガイド」の「アクセス拒否エラーメッセージの例」を参照してください。VPC エンドポイントポリシー違反を示すネットワークアクティビティイベントの例については、本ガイドの「Network activity events」を参照してください。

注記

一部の AWS のサービスは、errorCode および errorMessage をイベントの最上位のフィールドとして提供します。他の AWS のサービスでは、responseElements の一部としてエラー情報を提供します。

使用可能: 1.0 以降

オプション: True

requestParameters

リクエストとともに送信されたパラメータ (ある場合)。これらのパラメータは、該当する AWS のサービスの API リファレンスドキュメントに記載されています。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、requestParameters コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。

使用可能: 1.0 以降

オプション: False

responseElements

変更を行うアクション (存在する場合) に対するレスポンス要素 (アクションの作成、更新、削除)。readOnly API では、このフィールドは null です。アクションがレスポンス要素を返さない場合、このフィールドは null です。アクションのレスポンス要素については、該当する AWS のサービスの「API リファレンス」ドキュメントに記載されています。

このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、reponseElements コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。

responseElements 値は、AWS サポートでリクエストをトレースするのに便利です。x-amz-request-id および x-amz-id-2 のどちらにも、サポートを使用してリクエストをトレースする際に役立つ情報が含まれています。これらの値は、イベントを開始するリクエストへの応答としてサービスが返す値と同じであるため、イベントをリクエストに一致させるために使用できます。

使用可能: 1.0 以降

オプション: False

additionalEventData

リクエストまたはレスポンスの一部ではないイベントに関する追加のデータ。このフィールドの最大サイズは 28 KB です。フィールドサイズが 28 KB を超えると、additionalEventData コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。

additionalEventData のコンテンツは可変です。例えば、AWS マネジメントコンソール サインインイベントの場合、リクエストが多要素認証 (MFA) を使用してルートまたは IAM ユーザーによって行われた場合、additionalEventData には Yes の値を持つ MFAUsed フィールドを含めることができます。

使用可能: 1.0 以降

オプション: True

requestID

リクエストを識別する値。呼び出されているサービスがこの値を生成します。このフィールドの最大サイズは 1 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。

該当バージョン: 1.01 以降

オプション: True

eventID

各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。

該当バージョン: 1.01 以降

オプション: False

eventType

イベントレコードを生成したイベントのタイプを識別します。これは、次のいずれかの値になります。

  • AwsApiCall – API が呼び出されました。

  • AwsServiceEvent – サービスはトレイルに関連するイベントを生成しました。たとえば、これは、自分が所有するリソースで別のアカウントが呼び出しをした場合に発生することがあります。

  • AwsConsoleAction - コンソールで API コールではないアクションが実行されました。

  • AwsConsoleSignIn – アカウントのユーザー (root、IAM、フェデレーション、SAML、またはスイッチロール) が AWS マネジメントコンソールにサインインしました。

  • AwsVpceEvents – CloudTrail ネットワークアクティビティイベントにより、VPC エンドポイント所有者は、VPC エンドポイントを使用してプライベート VPC から AWS のサービス へ行われた AWS API コールを記録できます。ネットワークアクティビティイベントを記録するには、VPC エンドポイント所有者がイベントソースでネットワークアクティビティイベントを有効にする必要があります。

使用可能: 1.02 以降

オプション: False

apiVersion

AwsApiCalleventType 値に関連付けられた API バージョンを識別します。

該当バージョン: 1.01 以降

オプション: True

managementEvent

イベントが管理イベントかどうかを識別するブール値。managementEvent が 1.06 以上で、イベントタイプが次のいずれかである場合、eventVersion がイベントレコードに表示されます。

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

使用可能: 1.06 以降

オプション: True

readOnly

この操作が、読み取り専用オペレーションであるかどうかを識別します。これは、以下の値のいずれかになります。

  • true – オペレーションは読み取り専用です (例:DescribeTrails)。

  • false – オペレーションは書き込み専用です (例:DeleteTrail)。

該当バージョン: 1.01 以降

オプション: True

resources

イベントでアクセスされたリソースのリスト。このフィールドには以下の情報が含まれます。

  • リソース ARN

  • リソース所有者のアカウント ID

  • 以下の形式でのリソースタイプ識別子 : AWS::aws-service-name::data-type-name

たとえば、AssumeRole イベントが記録されると、resources フィールドは次のようになります。

  • ARN: arn:aws:iam::123456789012:role/myRole

  • アカウント ID: 123456789012

  • リソースタイプ識別子 : AWS::IAM::Role

resources フィールドのあるログの例については、IAM ユーザーガイドの「CloudTrail ログファイルの AWS STS API イベント」または AWS Key Management Service デベロッパーガイドの「AWS KMS API コールのログ記録」を参照してください。

該当バージョン: 1.01 以降

オプション: True

recipientAccountId

このイベントを受信したアカウント ID を表します。recipientAccountIDCloudTrail userIdentity エレメント accountId とは異なる場合があります。これは、クロスアカウントのリソースへのアクセスで発生することがあります。例えば、AWS KMS key とも呼ばれる KMS キーが別のアカウントで使用されて、Encrypt API が呼び出された場合、accountId の値と recipientAccountID の値は、呼び出しを行ったアカウントに配信されるイベントでは同じになりますが、KMS キーを所有するアカウントに配信されるイベントでの値は異なります。

使用可能: 1.02 以降

オプション: True

serviceEventDetails

イベントをトリガーしたものとその結果を含むサービスイベントを識別します。詳細については、「AWS のサービス のイベント」を参照してください。このフィールドの最大サイズは 100 KB です。フィールドサイズが 100 KB を超えると、serviceEventDetails コンテンツは省略されます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ省略されます。

使用可能: 1.05 以降

オプション: True

sharedEventID

異なる AWS アカウントに送信される同じ AWS アクションから CloudTrail イベントを一意に識別するために CloudTrail によって生成された GUID。

例えば、アカウントが別のアカウントに属する AWS KMS key を使用する場合、KMS キーを使用したアカウントと KMS キーを所有するアカウントは、同じアクションに対して別々の CloudTrail イベントを受け取ります。この AWS アクションに対して配信される各 CloudTrail イベントは、同じ sharedEventID を共有しますが、一意の eventID および recipientAccountID もあります。

詳しくは、sharedEventID の例 を参照してください。

注記

sharedEventID フィールドは、CloudTrail イベントが複数のアカウントに配信された場合にのみ表示されます。発信者と所有者が同じ AWS アカウントの場合、CloudTrail は 1 つのイベントのみを送信し、sharedEventID フィールドはありません。

使用可能: 1.03 以降

オプション: True

vpcEndpointId

VPC から Amazon EC2 などの別の AWS のサービスへのリクエストが行われた VPC エンドポイントを識別します。

注記

AWS によって発生し、AWS のサービス の VPC を介したイベントの場合、このフィールドは通常 AWS Internal または サービス名です。

使用可能: 1.04 以降

オプション: True

vpcEndpointAccountId

リクエストがトラバースした対応するエンドポイントの VPC エンドポイント所有者の AWS アカウント ID を識別します。

注記

AWS によって発生し、AWS のサービス の VPC を介したイベントの場合、このフィールドは通常 AWS Internal または サービス名です。

該当バージョン: 1.09

オプション: True

eventCategory

イベントカテゴリを表示します。イベントカテゴリは、管理イベントをフィルタリングするための LookupEvents 呼び出しに使用されます。

  • 管理イベントの場合、値は Management です。

  • データイベントの場合、値は Data です。

  • ネットワークアクティビティイベントの場合、値は NetworkActivity です。

使用可能: 1.07 以降

オプション: False

addendum

イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。内容は以下が含まれます。

  • reason - イベントまたはその内容の一部が欠落していた理由。値は以下のいずれかです。

    • DELIVERY_DELAY - イベントの配信に遅延がありました。これは、高いネットワークトラフィック、接続性の問題、または CloudTrail サービスの問題が原因である可能性があります。

    • UPDATED_DATA - イベントレコードのフィールドが見つからないか、正しくない値がありました。

    • SERVICE_OUTAGE - CloudTrail にイベントを記録するサービスが停止し、CloudTrail にイベントを記録できませんでした。これは非常にまれです。

  • updatedFields - 補遺によって更新されるイベントレコードフィールド。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalRequestID - リクエストの元の一意の ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

  • originalEventID - 元のイベントの ID。これは、理由が UPDATED_DATA の場合にのみ提供されます。

使用可能: 1.08 以降

オプション: True

sessionCredentialFromConsole

イベントが AWS マネジメントコンソール セッションから発生したかどうかを示す true または false の値を持つ文字列。このフィールドは、値が true でなければ表示されません。つまり、API コールを行うために使用されたクライアントは、プロキシまたは外部クライアントのいずれかでなければ表示されません。プロキシクライアントが使用された場合、tlsDetails イベントフィールドは表示されません。

使用可能: 1.08 以降

オプション: True

eventContext

このフィールドは、リソースタグキーまたは IAM グローバル条件キーを含むように設定されたイベントデータストアの記録された強化イベントに存在します。詳細については、「リソースタグキーと IAM グローバル条件キーを追加して、CloudTrail イベントを強化する」を参照してください。

コンテンツには以下が含まれます。

  • requestContext – プリンシパル、セッション、ネットワーク、リクエスト自体に関する追加情報など、承認プロセス中に評価された IAM グローバル条件キーに関する情報が含まれます。

  • tagContext – API コールに関与したリソースに関連付けられたタグと、ロールやユーザーなどの IAM プリンシパルに関連付けられたタグが含まれます。詳細については、「IAM プリンシパルのアクセスの制御」を参照してください。

    削除されたリソースに関連する API イベントにはリソースタグはありません。

注記

eventContext フィールドは、リソースタグキーと IAM グローバル条件キーを含むように設定されたイベントデータストアのイベントにのみ存在します。イベント履歴、Amazon EventBridge に配信され、AWS CLI lookup-events コマンドで表示可能で、証跡に配信されるイベントには、eventContext フィールドは含まれません。

使用可能: 1.11 以降

オプション: True

edgeDeviceDetails

リクエストのターゲットであるエッジデバイスに関する情報を表示します。現在、S3 Outposts デバイスイベントには、このフィールドが含まれます。このフィールドの最大サイズは 28 KB です。この制限を超えるコンテンツは切り捨てられます。最大イベントサイズが 1 MB に設定されたイベントデータストアの場合、フィールドコンテンツは、イベントペイロードが 1 MB を超え、最大フィールドサイズを超えた場合にのみ切り捨てられます。

使用可能: 1.08 以降

オプション: True

tlsDetails

Transport Layer Security (TLS) バージョン、暗号スイート、およびサービス API コールで使用されるクライアント提供のホスト名の完全修飾ドメイン名 (FQDN) (通常はサービスエンドポイントの FQDN) に関する情報を表示します。CloudTrail は、予想される情報が見つからないか空の場合、TLS の詳細の一部を記録します。例えば、TLS のバージョンと暗号スイートが存在するが、HOST ヘッダーが空の場合、利用可能な TLS の詳細が CloudTrail イベントに記録されます。

  • tlsVersion - リクエストの TLS バージョン。

  • cipherSuite - リクエストの暗号スイート (使用されるセキュリティアルゴリズムの組み合わせ)。

  • clientProvidedHostHeader - サービス API コールで使用されるクライアント提供のホスト名 (通常はサービスエンドポイントの FQDN)。

注記

tlsDetails フィールドがイベントレコードに存在しない場合があります。

  • API 呼び出しがユーザーに代わって AWS のサービス で行われた場合、tlsDetails フィールドは存在しません。userIdentity 要素内の invokedBy フィールドは、API 呼び出しを行った AWS のサービス を識別します。

  • sessionCredentialFromConsole が true の値を持つ場合、tlsDetails は、API 呼び出しを行うために外部クライアントが使用された場合にのみイベントレコードに存在します。

使用可能: 1.08 以降

オプション: True

最大イベントサイズが 1 MB のフィールド切り捨て順序

CloudTrail コンソールAWS CLI、SDK を使用してイベントデータストアを作成または更新するときに、最大イベントサイズを 256 KB から 1 MB に拡張できます。

イベントサイズを拡張すると、通常は切り捨てられたり省略されたりするフィールドの完全なコンテンツを表示できるため、イベントの分析やトラブルシューティングに役立ちます。

イベントペイロードが 1 MB を超えると、CloudTrail は次の順序でフィールドを切り捨てます。

  • annotation

  • requestID

  • additionalEventData

  • serviceEventDetails

  • userAgent

  • errorCode

  • eventContext

  • responseElements

  • requestParameters

  • errorMessage

切り捨てた後でもイベントペイロードを 1 MB 未満に減らすことができない場合、エラーが発生します。

sharedEventID の例

以下の例では、CloudTrail が同じアクションに対して 2 つのイベントをどのように提供するかを説明します。

  1. Alice は AWS アカウント (111111111111) を持っており、AWS KMS key を作成します。彼女はこの KMS キーの所有者です。

  2. Bob は AWS アカウント (222222222222) を持っています。Alice は、Bob に KMS キーの使用を許可します。

  3. 各アカウントにはトレイルおよび別のバケットがあります。

  4. Bob は、KMS キーを使用して Encrypt API を呼び出します。

  5. CloudTrail は、2 つの別々のイベントを送信します。

    • 1 つのイベントが Bob に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • 1 つのイベントが Alice に送信されます。このイベントは、Bob が KMS キーを使用したことを示します。

    • イベントと同じ sharedEventID ですが、eventID および recipientAccountID は一意です。

sharedEventID フィールドがログに表示される方法