イベントデータストアの Insights イベントの CloudTrail レコードコンテンツ
イベントデータストアの AWS CloudTrail Insights イベントレコードには、JSON 構造において他の CloudTrail イベントと異なるフィールドが含まれます。これらのフィールドは、ペイロードと呼ばれることもあります。イベントデータストアの CloudTrail Insights イベントレコードには、次のフィールドが含まれます。
注記
insightContext の attributions フィールド内の insightValue、insightAverage、baselineValue、baselineAverage フィールドは、2025 年 6 月 23 日に廃止が開始されます。
-
eventVersion– ログイベント形式のバージョン。オプション: False
-
eventCategory– イベントのカテゴリ。Insights イベントの場合、値は常にInsightです。オプション: False
-
eventType– イベントタイプ。Insights イベントの場合、値は常にAwsCloudTrailInsightです。オプション: False
-
eventID– 各イベントを一意に識別するために CloudTrail によって生成された GUID。この値を使用して、単一のイベントを識別できます。たとえば、プライマリキーとして ID を使用し、検索可能なデータベースからログデータを取得できます。オプション: False
-
eventTime– Insights イベントが開始または停止した時刻 (協定世界時 (UTC))。オプション: False
-
awsRegion–us-east-2など、インサイトイベントが発生した AWS リージョン。オプション: False
-
recipientAccountId– このイベントを受信したアカウント ID を表します。オプション: True
-
sharedEventID– Insights イベントを一意に識別するために CloudTrail Insights によって生成される GUID。sharedEventIDは、開始 Insights イベントと終了 Insights イベントの間で共通しており、両方のイベントを接続して異常なアクティビティを一意に識別するのに役立ちます。sharedEventIDは、全体的なインサイトイベント ID と考えることができます。オプション: False
-
addendum– イベントの配信が遅れた場合、またはイベントの記録後に既存のイベントに関する追加情報が使用可能になった場合、補遺フィールドにはイベントが遅れた理由に関する情報が表示されます。既存のイベントから情報が欠落している場合、補遺フィールドには、不足している情報と、不足している理由が表示されます。addendumの 管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ も参照してください。オプション: True
-
insightSource– 分析された管理イベントを収集したソースイベントデータストア。オプション: False
-
insightState– そのイベントが開始または終了の Insights イベントであるかどうか。ここには、StartまたはEndが表示されます。オプション: False
-
insightEventSource–ec2.amazonaws.comなどの、異常なアクティビティのソースであった AWS のサービス。オプション: False
-
insightEventName– Insights イベントの名前。通常、異常なアクティビティのソースであった API の名前。オプション: False
-
insightErrorCode– 異常なアクティビティのエラーコード。errorCodeの 管理、データ、ネットワークアクティビティイベントの CloudTrail レコードコンテンツ も参照してください。オプション: True
-
insightType– Insights イベントのタイプ。この値はApiCallRateInsightまたはApiErrorRateInsightとなります。オプション: False
-
insightContext– ユーザー ID、ユーザーエージェント、履歴平均またはベースライン、インサイトの期間と平均など、インサイトイベントの基盤となるトリガーに関する情報が含まれます。オプション: False
-
baselineAverage- Insights イベントの開始前の 7 日間にわたって計算された、アカウントの Insights イベントのサブジェクト API のベースライン期間中の 1 分あたりの API コールまたはエラーの平均数。オプション: False
-
insightAverage– Insights イベントの開始の場合、この値は、異常なアクティビティの開始時の 1 分あたりの API コールまたはエラーの平均数です。終了 Insights イベントの場合、この値は、異常なアクティビティの期間中の 1 分あたりの API コールまたはエラーの平均数です。オプション: False
-
baselineDuration– ベースライン期間の長さ (分) (サブジェクト API で通常のアクティビティが測定される期間) です。baselineDurationは、最低でも Insights イベントに先立つ 7 日間 (10080 分) である必要があります。このフィールドは、Insights イベントの開始と終了の両方で発生します。baselineDuration測定の終了時刻に、必ず Insights イベントが開始します。オプション: False
-
insightDuration– Insights イベントの期間 (分) (サブジェクト API における異常なアクティビティの開始から終了までの期間) です。insightDurationは、開始および終了 Insights イベントの両方で発生します。オプション: False
-
attributions– 異常なアクティビティやベースラインアクティビティに関連するユーザー ID、ユーザーエージェント、エラーコードに関する情報が含まれます。オプション: True
注記
insightContextのattributionsフィールド内のinsightValue、insightAverage、baselineValue、baselineAverageフィールドは、2025 年 6 月 23 日に廃止が開始されます。-
attribute– 属性タイプが含まれます。値はuserIdentityArn、userAgent、またはerrorCodeになります。存在する場合、これらの値は個々の属性に 1 回だけ表示されます。異なる属性値には、異なるuserIdentityArn、userAgent、またはerrorCodeの値を含めることができますが、各属性インスタンスにはuserIdentityArn、userAgent、またはerrorCodeの値が 1 つだけ含まれます。オプション: False
-
insightValue– 異常なアクティビティ期間中に API コールまたはエラーで発生した上位の属性値。オプション: False
-
insightAverage–insightValueフィールドの属性の異常なアクティビティ期間中の 1 分あたりの API コールまたはエラーの数。オプション: False
-
baselineValue– 通常のアクティビティ期間中にログ記録された API コールまたはエラーに寄与した上位の属性値。オプション: False
-
baselineAverage–baselineValueフィールドの属性の Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。オプション: False
-
insight– 異常なアクティビティ期間中に行われた API コールまたはエラーに寄与した上位 5 つの属性値。また、異常なアクティビティ期間中に属性ごとに行われた API コールまたはエラーの平均数も表示されます。オプション: False
-
value– 異常なアクティビティ期間中に行われた API コールまたはエラーに寄与した属性。オプション: False
-
average–valueフィールドの属性の異常なアクティビティ期間中の 1 分あたりの API コールまたはエラーの平均数。オプション: False
-
-
baseline– 通常のアクティビティ期間中の API コールまたはエラーに最も寄与した上位 5 つの属性値。また、通常のアクティビティ期間中に属性値ごとにログ記録された API コールまたはエラーの平均数も表示されます。オプション: False
-
value– 通常のアクティビティ期間中の API コールまたはエラーに寄与した属性。オプション: False
-
average–valueフィールドの属性の Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。オプション: False
-
-
-
