O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede - AWS CloudTrail
Ordem de truncamento de campo para tamanho máximo de evento de 1 MBExemplo de sharedEventID

O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede

Esta página descreve o conteúdo do registro de um evento de gerenciamento, dados ou atividade de rede.

O corpo do registro contém campos que ajudam você a determinar a ação solicitada, bem como quando e onde a solicitação foi feita. Quando o valor de Opcional for True, o campo estará presente somente quando se aplicar ao serviço, à API ou ao tipo de evento. Um valor opcional de False (Falso) significa que o campo está sempre presente ou que sua presença não depende do serviço, da API ou do tipo de evento. Um exemplo é responseElements, que está presente em eventos para ações que fazem alterações (criar, atualizar ou excluir ações).

nota

Os campos para eventos enriquecidos, como eventContext, estão disponíveis apenas para eventos de gerenciamento e eventos de dados. Eles não estão disponíveis para eventos de rede.

eventTime

A data e a hora em que a solicitação foi concluída no formato de Tempo Universal Coordenado (UTC). O carimbo de data/hora de um evento vem do host local que fornece o endpoint da API de serviço no qual a chamada de API foi feita. Por exemplo, um evento de API CreateBucket executado na região Oeste dos EUA (Oregon) obteria seu carimbo de data/hora do host da AWS executando o endpoint do Amazon S3, s3.us-west-2.amazonaws.com. Em geral, os serviços da AWS usam o NTP (Network Time Protocol, Protocolo de horário de rede) para sincronizar os relógios do sistema.

Desde: 1.0

Opcional: False

eventVersion

A versão do formato do evento de log. A versão atual é 1.11.

O valor de eventVersion é uma versão principal e secundária no formulário major_version.minor_version. Por exemplo, é possível ter um valor eventVersion de 1.10, onde 1 é a versão principal, e10 é a versão secundária.

O CloudTrail incrementará a versão principal se uma alteração for feita na estrutura do evento que não é compatível com as versões anteriores. Isso inclui a remoção de um campo JSON que já existe ou a alteração de como os conteúdos de um campo são representados (por exemplo, um formato de data). O CloudTrail incrementará a versão secundária se uma alteração adicionar novos campos à estrutura do evento. Isso poderá ocorrer se novas informações forem fornecidas para alguns ou todos os eventos existentes ou se novas informações estiverem disponíveis somente para novos tipos de evento. As aplicações podem ignorar novos campos para permanecerem compatíveis com novas versões secundárias da estrutura do evento.

Se o CloudTrail introduzir novos tipos de evento, mas a estrutura do evento não for modificada, a versão do evento não mudará.

Para garantir que suas aplicações possam analisar a estrutura do evento, recomendamos que você faça uma comparação "igual a" no número da versão principal. Para garantir que os campos esperados pela aplicação existam, também recomendamos fazer uma comparação "maior que ou igual a" na versão secundária. Não há zeros à esquerda na versão secundária. É possível interpretar major_version e minor_version como números e executar operações de comparação.

Desde: 1.0

Opcional: False

userIdentity

Informações sobre a identidade do IAM que fez uma solicitação. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

Desde: 1.0

Opcional: False

eventSource

O serviço para o qual a solicitação foi feita. Esse nome normalmente é uma forma curta do nome do serviço sem espaços, mais .amazonaws.com. Por exemplo:

  • CloudFormation is cloudformation.amazonaws.com.

  • O Amazon EC2 é ec2.amazonaws.com.

  • O Amazon Simple Workflow Service é swf.amazonaws.com.

Essa convenção tem algumas exceções. Por exemplo, o eventSource do Amazon CloudWatch é monitoring.amazonaws.com.

Desde: 1.0

Opcional: False

eventName

A ação solicitada, que é uma das ações na API desse serviço.

Desde: 1.0

Opcional: False

awsRegion

A Região da AWS na qual a solicitação foi feita, como us-east-2. Consulte Regiões compatíveis do CloudTrail.

Desde: 1.0

Opcional: False

sourceIPAddress

O endereço IP do qual a solicitação foi feita. Para ações originadas do console de serviço, o endereço informado é do recurso do cliente subjacente, e não do servidor web do console. Para serviços na AWS, apenas o nome de DNS é exibido.

nota

Para eventos originados pela AWS, esse campo geralmente é AWS Internal/#, onde # é um número usado para finalidades internas.

Desde: 1.0

Opcional: False

userAgent

O agente por meio do qual a solicitação foi feita, como o Console de gerenciamento da AWS, um serviço da AWS, os SDKs da AWS ou a AWS CLI.

Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será truncado apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Veja a seguir exemplos de valores:

  • lambda.amazonaws.com – A solicitação foi feita com o AWS Lambda.

  • aws-sdk-java – A solicitação foi feita com o AWS SDK para Java.

  • aws-sdk-ruby – A solicitação foi feita com o AWS SDK para Ruby.

  • aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – A solicitação foi feita com a AWS CLI instalada no Linux.

nota

Para eventos originados pela AWS, se o CloudTrail souber qual AWS service (Serviço da AWS) fez a chamada, esse campo é a origem do evento do serviço de chamada (por exemplo, ec2.amazonaws.com). Caso contrário, esse campo é AWS Internal/#, onde # é um número usado para fins internos.

Desde: 1.0

Opcional: True

errorCode

O erro do serviço da AWS se a solicitação retornar um erro. Para obter um exemplo que mostra esse campo, consulte Exemplos de código de erro e log de mensagens.

Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será truncado apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Para eventos de atividade de rede, quando há uma violação da política do endpoint da VPC, o código de erro é VpceAccessDenied.

Desde: 1.0

Opcional: True

errorMessage

Se a solicitação retornar um erro, a descrição do erro. Essa mensagem inclui mensagens de falhas de autorização. O CloudTrail captura a mensagem registrada pelo serviço em seu controle de exceções. Para obter um exemplo, consulte Exemplos de código de erro e log de mensagens.

Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será truncado apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Para eventos de atividade de rede, quando há uma violação da política do endpoint da VPC, a errorMessage sempre terá a seguinte mensagem: The request was denied due to a VPC endpoint policy. Para obter mais informações sobre eventos de acesso negado para violações da política de endpoints da VPC, consulte Exemplos de mensagens de erro de acesso negado no Guiado usuário do IAM. Para ver um exemplo de evento de atividade de rede mostrando uma violação da política de endpoint da VPC, consulte Eventos de atividade de rede neste guia.

nota

Alguns serviços do AWS fornecidos pelo errorCode e errorMessage como campos de nível superior no evento. Outros serviços do AWS fornecem informações de erro como parte do responseElements.

Desde: 1.0

Opcional: True

requestParameters

Os parâmetros, se houver, que foram enviados com a solicitação. Esses parâmetros são registrados na documentação de referência da API do serviço da AWS apropriado. Este campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o conteúdo de requestParameters é omitido. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será omitido apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Desde: 1.0

Opcional: False

responseElements

Os elementos de resposta, se houver, das ações que fazem alterações (criar, atualizar ou excluir ações). Para APIs readOnly, esse campo é null. Se a ação não retorna elementos de resposta, esse campo é null. Os elementos de resposta das ações são registrados na documentação de referência da API do serviço do apropriado AWS service (Serviço da AWS).

Este campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o conteúdo de reponseElements é omitido. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será omitido apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

O valor responseElements é útil para ajudar você a monitorar uma solicitação com o AWS Support. x-amz-request-id e x-amz-id-2 contêm informações que ajudam você a monitorar solicitações com o Suporte. Esses valores são os mesmos que os retornados pelo serviço na resposta à solicitação que inicia os eventos, para que possam ser usados para corresponder o evento à solicitação.

Desde: 1.0

Opcional: False

additionalEventData

Dados adicionais sobre o evento que não faziam parte da solicitação ou resposta. Este campo tem um tamanho máximo de 28 KB. Quando o tamanho do campo excede 28 KB, o conteúdo de additionalEventData é omitido. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será omitido apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

O conteúdo de additionalEventData é variável. Por exemplo, para eventos de login do Console de gerenciamento da AWS, additionalEventData pode incluir o campo MFAUsed com um valor de Yes se a solicitação foi feita por um usuário-raiz do IAM usando a autenticação multifator (MFA).

Desde: 1.0

Opcional: True

requestID

O valor que identifica a solicitação. O serviço que está sendo chamado gera esse valor. Esse campo tem um tamanho máximo de 1 KB; o conteúdo que exceder esse limite ficará truncado. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será truncado apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Desde: 1.01

Opcional: True

eventID

A GUID gerada pelo CloudTrail para identificar exclusivamente cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Desde: 1.01

Opcional: False

eventType

Identifica o tipo de evento que gerou o registro de eventos. Pode ser um dos valores a seguir:

  • AwsApiCall – Uma API foi chamada.

  • AwsServiceEvent – O serviço gerou um evento relacionado à sua trilha. Por exemplo, isso pode ocorrer quando outra conta fez uma chamada com um recurso seu.

  • AwsConsoleAction – Foi executada uma ação no console que não era uma chamada de API.

  • AwsConsoleSignIn – Um usuário na sua conta (raiz, IAM, federado, SAML ou SwitchRole) conectado ao Console de gerenciamento da AWS.

  • AwsVpceEvents: os eventos de atividade de rede do CloudTrail permitem que proprietários de endpoints da VPC registrem chamadas de API da AWS feitas usando seus endpoints da VPC de uma VPC privada para o AWS service (Serviço da AWS). Para registrar eventos de atividade de rede, o proprietário do endpoint da VPC deve habilitar eventos de atividade de rede para a origem do evento.

Desde: 1.02

Opcional: False

apiVersion

Identifica a versão da API associada ao valor de AwsApiCall eventType.

Desde: 1.01

Opcional: True

managementEvent

Um valor booliano que identifica se o evento é um evento de gerenciamento. managementEvent será mostrado em um registro de evento se eventVersion for 1.06 ou superior e o tipo de evento for um dos seguintes:

  • AwsApiCall

  • AwsConsoleAction

  • AwsConsoleSignIn

  • AwsServiceEvent

Desde: 1.06

Opcional: True

readOnly

Identifica se essa operação é somente leitura. Pode ter um dos valores a seguir:

  • true – A operação é somente leitura (por exemplo, DescribeTrails).

  • false – A operação é somente gravação (por exemplo, DeleteTrail).

Desde: 1.01

Opcional: True

resources

Uma lista de recursos acessados no evento. O campo pode conter as seguintes informações:

  • ARNs de recursos

  • ID da conta do proprietário do recurso

  • Identificador de tipo de recurso no formato: AWS::aws-service-name::data-type-name

Por exemplo, quando um evento AssumeRole é registrado, o campo resources pode ter esta aparência:

  • ARN: arn:aws:iam::123456789012:role/myRole

  • ID da conta: 123456789012

  • Identificador de tipo de recurso: AWS::IAM::Role

Por exemplo, logs com o campo resources, consulte API de evento do AWS STS no arquivo de log do CloudTrail no Manual do usuário do IAM ou no Registro de chamadas de API do AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Desde: 1.01

Opcional: True

recipientAccountId

Representa o ID da conta que recebeu esse evento. O recipientAccountID pode ser diferente do Elemento userIdentity do CloudTrail accountId. Isso pode ocorrer no acesso a recursos entre contas. Por exemplo, se uma chave do KMS, também conhecida como uma AWS KMS key, foi usada por uma conta separada para chamar a API de criptografia, os valores accountId e recipientAccountID serão os mesmos para o evento entregue à conta que fez a chamada, mas os valores serão diferentes para o evento entregue à conta proprietária da chave do KMS.

Desde: 1.02

Opcional: True

serviceEventDetails

Identifica o evento de serviço, incluindo o que acionou o evento e o resultado. Para obter mais informações, consulte AWS service (Serviço da AWS)Eventos do . Este campo tem um tamanho máximo de 100 KB. Quando o tamanho do campo excede 100 KB, o conteúdo de serviceEventDetails é omitido. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será omitido apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Desde: 1.05

Opcional: True

sharedEventID

A GUID gerada pelo CloudTrail para identificar de maneira exclusiva eventos do CloudTrail da mesma ação da AWS que é enviada a várias contas da AWS.

Por exemplo, quando uma conta usar uma chave do KMS, também conhecida como AWS KMS key, que pertence a outra conta, a conta que usou e possui a chave do KMS receberá eventos do CloudTrail separados para a mesma ação. Cada evento do CloudTrail fornecido para essa ação da AWS compartilha o mesmo sharedEventID, mas também tem um eventID e um recipientAccountID exclusivos.

Para obter mais informações, consulte Exemplo de sharedEventID.

nota

O campo sharedEventID está presente somente quando os eventos do CloudTrail são fornecidos a várias contas. Se o chamador e o proprietário são a mesma conta da AWS, o CloudTrail envia apenas um evento, e o campo sharedEventID não aparece.

Desde: 1.03

Opcional: True

vpcEndpointId

Identifica o endpoint da VPC em que as solicitações foram feitas a partir de uma VPC para outro serviço da AWS, como o Amazon EC2.

nota

Para eventos originados pela AWS e por meio da VPC de um AWS service (Serviço da AWS), esse campo geralmente é AWS Internal ou o nome do serviço.

Desde: 1.04

Opcional: True

vpcEndpointAccountId

Identifica o ID da Conta da AWS do proprietário do endpoint da VPC para o endpoint correspondente pelo qual uma solicitação foi enviada.

nota

Para eventos originados pela AWS e por meio da VPC de um AWS service (Serviço da AWS), esse campo geralmente é AWS Internal ou o nome do serviço.

Desde: 1.09

Opcional: True

eventCategory

Exibe a categoria do evento. A categoria do evento é usada em chamadas de LookupEvents para filtrar com base em eventos de gerenciamento.

  • Para eventos de gerenciamento, o valor é Management.

  • Para eventos de dados, o valor é Data.

  • Para eventos de atividade de rede, o valor é NetworkActivity.

Desde: 1.07

Opcional: False

addendum

Se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. O conteúdo inclui o seguinte:

  • reason - A razão pela qual o evento ou parte de seu conteúdo estavam faltando. Os valores podem ser qualquer um dos valores a seguir.

    • DELIVERY_DELAY – Houve um atraso na entrega de eventos. Isso pode ser causado por alto tráfego de rede, problemas de conectividade ou um problema de serviço do CloudTrail.

    • UPDATED_DATA – Um campo no registro de eventos estava ausente ou tinha um valor incorreto.

    • SERVICE_OUTAGE – Um serviço que registra eventos no CloudTrail teve uma paralisação e não conseguiu registrar eventos no CloudTrail. Isso é excepcionalmente raro.

  • updatedFields - Os campos de registro de eventos que são atualizados pelo adendo. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalRequestID - O ID exclusivo original da solicitação. Isso só será fornecido se o motivo for UPDATED_DATA.

  • originalEventID - O ID do evento original. Isso só será fornecido se o motivo for UPDATED_DATA.

Desde: 1.08

Opcional: True

sessionCredentialFromConsole

String com um valor de true ou false que mostra se um evento se originou ou não de uma sessão do Console de gerenciamento da AWS. Este campo não é mostrado a menos que o valor seja true, o que significa que o cliente que foi usado para fazer a chamada de API era um proxy ou um cliente externo. Se um cliente proxy foi usado, campo do evento tlsDetails não é mostrado.

Desde: 1.08

Opcional: True

eventContext

O campo está presente apenas em eventos enriquecidos para datastores de eventos configurados para incluir chaves de tags de recurso, chaves de tags de entidade principal e chaves de condição globais do IAM. Para obter mais informações, consulte É possível enriquecer eventos do CloudTrail adicionando chaves de tags de recurso e chaves de condição globais do IAM.

O conteúdo inclui o seguinte:

  • requestContext: inclui informações sobre as chaves de condições que foram avaliadas durante o processo de autorização, incluindo detalhes adicionais sobre a entidade principal, a sessão, a rede e a solicitação em si.

  • tagContext: inclui as tags associadas aos recursos envolvidos na chamada de API, bem como as tags associadas às entidades principais do IAM, como perfis ou usuários. Para obter mais informações, consulte Controlar o acesso das entidades principais do IAM.

    Os eventos de API relacionados a recursos excluídos não terão tags de recurso.

nota

O campo eventContext está presente apenas em eventos de datastores de eventos configurados para incluir chaves de tags de recurso e chaves de condição globais do IAM. Eventos entregues ao Histórico de eventos, Amazon EventBridge, visíveis com o comando lookup-events da AWS CLI e entregues às trilhas, não incluirão o campo eventContext.

Desde: 1.11

Opcional: True

edgeDeviceDetails

Mostra informações sobre dispositivos de borda que são alvos de uma solicitação. No momento, os eventos do dispositivo S3 Outposts incluem este campo. Esse campo tem um tamanho máximo de 28 KB; o conteúdo que exceder esse limite ficará truncado. Para datastores de eventos configurados para ter um tamanho máximo de evento de 1 MB, o conteúdo do campo será truncado apenas se a carga útil do evento exceder 1 MB e o tamanho máximo do campo for excedido.

Desde: 1.08

Opcional: True

tlsDetails

Mostra informações sobre a versão do Transport Layer Security (TLS), conjuntos de cifras e o FQDN do nome de host fornecido pelo cliente usado na chamada de API de serviço, que é normalmente o FQDN do endpoint do serviço. O CloudTrail ainda registra detalhes parciais do TLS se as informações esperadas estiverem ausentes ou vazias. Por exemplo, se a versão do TLS e o conjunto de cifras estiverem presentes, mas o cabeçalho do HOST estiver vazio, os detalhes do TLS disponíveis ainda serão registrados no evento CloudTrail.

  • tlsVersion - A versão do TLS de uma solicitação.

  • cipherSuite - O conjunto de cifras (combinação de algoritmos de segurança usados) de uma solicitação.

  • clientProvidedHostHeader - O nome do host fornecido pelo cliente usado na chamada da API de serviço, que geralmente é o FQDN do endpoint de serviço.

nota

Há alguns casos em que o campo tlsDetails não está presente em um registro de evento.

  • O campo tlsDetails não estará presente se a chamada da API tiver sido feita por um AWS service (Serviço da AWS) em seu nome. O campo invokedBy no elemento userIdentity identifica o AWS service (Serviço da AWS) que fez a chamada à API.

  • Se sessionCredentialFromConsole estiver presente com um valor true, o tlsDetails estará presente em um registro de evento somente se um cliente externo tiver sido usado para fazer a chamada de API.

Desde: 1.08

Opcional: True

Ordem de truncamento de campo para tamanho máximo de evento de 1 MB

Você pode expandir o tamanho máximo do evento de 256 KB para 1 MB ao criar ou atualizar um datastore de eventos usando o console do CloudTrail, a AWS CLI e os SDKs.

Expandir o tamanho do evento é útil para analisar e solucionar problemas de eventos, pois permite ver o conteúdo completo dos campos que normalmente seriam truncados ou omitidos.

Quando a carga útil do evento excede 1 MB, o CloudTrail trunca os campos na seguinte ordem:

  • annotation

  • requestID

  • additionalEventData

  • serviceEventDetails

  • userAgent

  • errorCode

  • eventContext

  • responseElements

  • requestParameters

  • errorMessage

Se a carga útil de um evento não puder ser reduzida para menos de 1 MB mesmo após o truncamento, ocorrerá um erro.

Exemplo de sharedEventID

Veja a seguir um exemplo que descreve como o CloudTrail fornece dois eventos para a mesma ação:

  1. Alice tem uma conta da AWS (111111111111) e cria uma AWS KMS key. Ela é a proprietária dessa chave do KMS.

  2. Bob tem uma conta da AWS (222222222222). Alice concede a Bob permissão para usar a chave do KMS.

  3. Cada conta tem uma trilha e um bucket separado.

  4. Bob usa a chave do KMS para chamar a API Encrypt.

  5. O CloudTrail envia dois eventos separados.

    • Um evento é enviado a Bob. O evento mostra que ele usou a chave do KMS.

    • Um evento é enviado a Alice. O evento mostra que o Bob usou a chave do KMS.

    • Os eventos têm o mesmo sharedEventID, mas o eventID e o recipientAccountID são exclusivos.

Como o campo sharedEventID aparece em logs