本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
彙總事件的 CloudTrail 記錄內容
AWS CloudTrail 彙總事件記錄包含的欄位與其 JSON 承載中的其他 CloudTrail 事件不同。彙總事件包含下列欄位:
eventVersion-
彙總事件的版本。
來自:1.0
選用:False
accountId-
收到此事件的帳戶 ID。
來自:1.0
選用:False
eventId-
CloudTrail 產生的 GUID,可唯一識別每個彙總事件。您可以使用這個值來識別單一事件。例如,您可以使用此 ID 做為主索引鍵,從可搜尋的資料庫中擷取日誌資料。
來自:1.0
選用:False
eventCategory-
識別事件的類別。對於彙總的事件,此值一律為
Aggregated。當您依類別查詢事件時,請使用此欄位進行篩選。來自:1.0
選用:False
eventType-
識別彙總事件的類型。對於彙總的事件,此值為
AwsAggregatedEvent。來自:1.0
選用:False
awsRegion-
彙總到此記錄中 AWS 區域 的原子 CloudTrail 事件的 ,例如
ap-northeast-1。這通常是進行服務 API 呼叫的區域。來自:1.0
選用:False
eventSource-
記錄基礎事件 AWS 的服務。
來自:1.0
選用:False
timeWindow-
將原子 CloudTrail 事件彙總到此彙總事件記錄中的時間間隔。
timeWindow欄位包含視窗開始時間、視窗結束時間和視窗大小等詳細資訊。來自:1.0
選用:False
windowStart-
彙總視窗的開頭,包含國際時間 (UTC),以 ISO-8601 格式表示。
來自:1.0
選用:False
windowEnd-
彙總視窗的結尾,以 UTC 表示,以 ISO-8601 格式表示。
來自:1.0
選用:False
windowSize-
彙總視窗的持續時間。差異
windowEnd − windowStart應對應至windowSize。以 ISO-8601 格式windowSize表示。來自:1.0
選用:False
summary-
基礎原子事件的彙總摘要,依主要維度 (例如
resourceARN或userIdentity) 分組eventName,並選擇性地依其他維度 (例如userAgent、sourceIpAddress、) 細分errorCodes。來自:1.0
選用:False
摘要包含下列欄位:
primaryDimension-
此 的主要彙總維度
AwsAggregatedEvent。這是彙總資料的主要檢視。例如,在API_ACTIVITY彙總範本中,主要維度為eventName;在RESOURCE_ACCESS範本中,其為resourceARN;在USER_ACTIONS範本中,其為userIdentity。來自:1.0
選用:False
details-
提供彙總原子事件詳細資訊的其他維度。每個詳細資訊物件可能會根據彙總範本提供相同基礎事件的額外檢視,例如
userIdentity、、eventNameresourceARNuserAgent和sourceIpAddress。來自:1.0
選用:False
每個詳細資訊都提供下列資訊:
dimension-
用於將彙總事件分組的維度名稱。常見值包括:
-
eventName -
resourceARN -
userIdentity -
userAgent -
sourceIpAddress
來自:1.0
選用:False
-
statistics-
此維度的統計資料清單,其中每個項目代表一個儲存貯體 (例如,一個事件名稱或一個資源 ARN) 及其彙總值。
來自:1.0
選用:False
統計資料中的每個項目都包含下列資訊:
name-
關聯維度內此統計資料的儲存貯體識別符或索引鍵。
value-
指定維度中指定名稱的彙總數值。
aggregationType-
套用至此維度運算
statistics.value的彙總類型。允許的值:-
Count– 事件數量。
來自:1.0
選用:False
-
addendum-
承載有關延遲交付或更新現有 AggregatedEvent 的中繼資料。
來自:1.0
選用:False
reason-
AwsAggregatedEvent延遲、更新或以其他方式補充 的原因。常見值可以包括 (非詳盡):-
DELIVERY_DELAY– 彙總資料的交付延遲 (例如網路問題或大量)。 -
UPDATED_DATA– 已重新計算或更正彙總的資料。 -
SERVICE_OUTAGE– 基礎服務中斷會影響事件可用性。
來自:1.0
選用:True
-
彙總事件範例
以下是 CloudTrail 彙總事件 () 的範例AwsAggregatedEvent。在此範例中,CloudTrail 會在 us-east-1 區域的cloudtrail-data.amazonaws.com五分鐘時段內彙總對 的PutAuditEvents呼叫。摘要區塊會顯示主要彙總維度 (eventName),並在時段內發生 30 次PutAuditEvents呼叫。詳細資訊項目會進一步依 resourceARN、userAgent、 userIdentity和 細分這些呼叫sourceIpAddress,以顯示活動如何分散到資源、委託人和用戶端。
{ "eventVersion": "1.0", "accountId": "111122223333", "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d", "eventCategory": "Aggregated", "eventType": "AwsAggregatedEvent", "awsRegion": "us-east-1", "eventSource": "cloudtrail-data.amazonaws.com", "timeWindow": { "windowStart": "2025-10-30 23:45:00", "windowEnd": "2025-10-30 23:50:00", "windowSize": "PT5M" }, "summary": { "primaryDimension": { "dimension": "eventName", "statistics": [ { "name": "PutAuditEvents", "value": 30 } ], "aggregationType": "Count" }, "details": [ { "dimension": "resourceARN", "statistics": [ { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab", "value": 20 }, { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userIdentity", "statistics": [ { "name": "AWSAccount:111122223333", "value": 20 }, { "name": "AWSService:AWS Internal", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userAgent", "statistics": [ { "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0", "value": 20 }, { "name": "AWS Internal", "value":10 } ], "aggregationType": "Count" }, { "dimension": "sourceIpAddress", "statistics": [ { "name": "1.2.3.4", "value": 20 }, { "name": "AWS Internal", "value": 10 } ], "aggregationType": "Count" } ] } }
