CloudTrail gravar conteúdo para eventos agregados - AWS CloudTrail
Exemplo de evento agregado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail gravar conteúdo para eventos agregados

AWS CloudTrail registros de eventos agregados incluem campos que são diferentes de outros CloudTrail eventos em sua carga JSON. Os eventos agregados contêm os seguintes campos:

eventVersion

A versão do evento agregado.

Desde: 1.0

Opcional: False

accountId

O ID da conta que recebeu esse evento.

Desde: 1.0

Opcional: False

eventId

Um GUID gerado por CloudTrail para identificar de forma exclusiva cada evento agregado. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.0

Opcional: False

eventCategory

Identifica a categoria do evento. Para eventos agregados, esse valor é sempreAggregated. Use esse campo para filtrar ao consultar eventos por categoria.

Desde: 1.0

Opcional: False

eventType

Identifica o tipo de evento agregado. Para eventos agregados, esse valor éAwsAggregatedEvent.

Desde: 1.0

Opcional: False

awsRegion

Os Região da AWS CloudTrail eventos atômicos que foram agregados a esse registro, comoap-northeast-1. Normalmente, essa é a região em que as chamadas da API de serviço foram feitas.

Desde: 1.0

Opcional: False

eventSource

O AWS serviço para o qual os eventos subjacentes foram registrados.

Desde: 1.0

Opcional: False

timeWindow

O intervalo de tempo durante o qual CloudTrail os eventos atômicos foram agregados nesse registro agregado de eventos. O timeWindow campo contém detalhes como hora de início da janela, hora de término da janela e tamanho da janela.

Desde: 1.0

Opcional: False

windowStart

O início da janela de agregação, inclusive, no Horário Universal (UTC), representado no formato ISO-8601.

Desde: 1.0

Opcional: False

windowEnd

O final da janela de agregação, exclusivo, em UTC, representado no formato ISO-8601.

Desde: 1.0

Opcional: False

windowSize

A duração da janela de agregação. A diferença windowEnd − windowStart deve corresponder windowSize a. O windowSize é representado no formato ISO-8601.

Desde: 1.0

Opcional: False

summary

Um resumo da agregação dos eventos atômicos subjacentes, agrupados por uma dimensão primária (por exemplo, resourceARN ouuserIdentity) eeventName, opcionalmente, detalhados por dimensões adicionais (por exemplo,,userAgent,sourceIpAddress). errorCodes

Desde: 1.0

Opcional: False

O resumo contém os seguintes campos:

primaryDimension

A principal dimensão de agregação para issoAwsAggregatedEvent. Essa é a visão principal dos dados agregados. Por exemplo, no modelo de API_ACTIVITY agregação, a dimensão primária éeventName; no RESOURCE_ACCESS modelo, éresourceARN; e no USER_ACTIONS modelo, éuserIdentity.

Desde: 1.0

Opcional: False

details

Dimensões adicionais que fornecem mais detalhes sobre eventos atômicos agregados. Cada objeto Detalhe pode fornecer uma visão adicional dos mesmos eventos subjacentes, comoeventName, resourceARNuserIdentity, userAgent e sourceIpAddress dependendo do modelo de agregação.

Desde: 1.0

Opcional: False

Cada detalhe fornece as seguintes informações:

dimension

O nome da dimensão usada para agrupar os eventos agregados. Os valores comuns incluem:

  • eventName

  • resourceARN

  • userIdentity

  • userAgent

  • sourceIpAddress

Desde: 1.0

Opcional: False

statistics

Uma lista de estatísticas dessa dimensão, em que cada entrada representa um bucket (por exemplo, um nome de evento ou um ARN de recurso) e seu valor agregado.

Desde: 1.0

Opcional: False

Cada entrada nas estatísticas contém as seguintes informações:

name

O identificador ou a chave do bucket para essa estatística na dimensão associada.

value

O valor numérico agregado para o nome especificado na dimensão especificada.

aggregationType

O tipo de agregação aplicado statistics.value para calcular essa dimensão. Valores permitidos:

  • Count— Número de eventos.

Desde: 1.0

Opcional: False

addendum

Transporta metadados sobre atrasos na entrega ou atualizações de um produto existente AggregatedEvent.

Desde: 1.0

Opcional: False

reason

O motivo pelo qual um AwsAggregatedEvent foi atrasado, atualizado ou complementado de outra forma. Os valores comuns podem incluir (não exaustivos):

  • DELIVERY_DELAY— A entrega de dados agregados foi adiada (por exemplo, problemas de rede ou alto volume).

  • UPDATED_DATA— Os dados agregados foram recalculados ou corrigidos.

  • SERVICE_OUTAGE— A interrupção do serviço subjacente afetou a disponibilidade do evento.

Desde: 1.0

Opcional: True

Exemplo de evento agregado

Veja a seguir um exemplo de um evento CloudTrail agregado (AwsAggregatedEvent). Neste exemplo, CloudTrail agrega PutAuditEvents chamadas em uma janela cloudtrail-data.amazonaws.com de tempo de mais de cinco minutos na us-east-1 região. O bloco de resumo mostra a dimensão de agregação primária (eventName) e que 30 PutAuditEvents chamadas ocorreram durante a janela de tempo. As entradas de detalhes detalham ainda mais essas chamadas por resourceARNuserIdentity,userAgent, e mostram como sourceIpAddress a atividade é distribuída entre recursos, diretores e clientes.

{  
    "eventVersion": "1.0",  
    "accountId": "111122223333",  
    "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",  
    "eventCategory": "Aggregated",  
    "eventType": "AwsAggregatedEvent",  
    "awsRegion": "us-east-1",  
    "eventSource": "cloudtrail-data.amazonaws.com",  
    "timeWindow":  
    {  
        "windowStart": "2025-10-30 23:45:00",  
        "windowEnd": "2025-10-30 23:50:00",  
        "windowSize": "PT5M"  
    },  
    "summary":  
    {  
        "primaryDimension":  
        {  
            "dimension": "eventName",  
            "statistics":  
            [  
                {  
                    "name": "PutAuditEvents",  
                    "value": 30  
                }  
            ],  
            "aggregationType": "Count"  
        },  
        "details":  
        [  
            {  
                "dimension": "resourceARN",  
                "statistics":  
                [  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",  
                        "value": 20  
                    },  
                    {  
                        "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userIdentity",  
                "statistics":  
                [  
                    {  
                        "name": "AWSAccount:111122223333",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWSService:AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "userAgent",  
                "statistics":  
                [  
                    {  
                        "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value":10  
                    }  
                ],  
                "aggregationType": "Count"  
            },  
            {  
                "dimension": "sourceIpAddress",  
                "statistics":  
                [  
                    {  
                        "name": "1.2.3.4",  
                        "value": 20  
                    },  
                    {  
                        "name": "AWS Internal",  
                        "value": 10  
                    }  
                ],  
                "aggregationType": "Count"  
            }  
        ]  
    }  
}