| AdditionalEventData |
字符串 |
未包含在请求或响应中的事件的额外数据。 |
| API版本 |
字符串 |
标识与 AwsApiCall eventType 值相关联的 API 版本。 |
| AwsEventId |
字符串 |
由 CloudTrail 生成的 GUID,用于唯一标识每个事件。 可以使用此值来识别单个事件。 |
| AWSRegion |
字符串 |
发出请求的 AWS 区域。 |
| AWS请求ID |
字符串 |
已被弃用,请改为使用 AwsRequestId_。 |
| AwsRequestId_ |
字符串 |
标识请求的值。 被调用的服务会生成此值。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| 类别 |
字符串 |
显示在 LookupEvents 调用中使用的事件类别。 |
| CidrIp |
字符串 |
CIDR IP 位于 CloudTrail 的 RequestParameters 下,用于指定安全组规则的 IP 权限。 IPv4 CIDR 范围。 |
| CipherSuite |
字符串 |
可选。 tlsDetails 的一部分。 请求的密码套件(使用的安全算法组合)。 |
| ClientProvidedHostHeader |
字符串 |
可选。 tlsDetails 的一部分。 服务 API 调用中使用的客户端提供的主机名,通常为服务终结点的 FQDN。 |
| 目的港 |
字符串 |
DestinationPort 位于 CloudTrail 的 RequestParameters 下,用于指定安全组规则的 IP 权限。 TCP 和 UDP 协议端口范围的终点,或 ICMP 代码。 |
| EC2RoleDelivery |
字符串 |
发出会话的用户或角色的友好名称。 |
| 错误代码 |
字符串 |
如果请求返回错误,则为 AWS 服务错误。 |
| 错误信息 |
字符串 |
错误说明(如有)。 此消息包括关于授权失败的消息。 CloudTrail 会捕获服务在异常处理中记录的消息。 |
| 活动名称 |
字符串 |
请求的操作,即该服务 API 中的操作之一。 |
| 事件源 |
字符串 |
请求的服务对象。 此名称通常是服务名称的简写形式,没有空格,并加上 .amazonaws.com。 |
| 事件类型名称 |
字符串 |
标识生成事件记录的事件类型。 这可以是以下值之一:AwsApiCall、AwsServiceEvent、AwsConsoleAction、AwsConsoleSignIn。 |
| EventVersion |
字符串 |
日志事件格式的版本。 |
| IP 协议 |
字符串 |
IP 协议位于 CloudTrail 的 RequestParameters 下,用于指定安全组规则的 IP 权限。 IP 协议名称或数字。 有效值为 tcp、udp、icmp 或协议编号。 |
| _IsBillable |
字符串 |
指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| ManagementEvent |
布尔 |
一个用于确定事件是否为管理事件的布尔值。 |
| 操作名称 |
字符串 |
常量值:CloudTrail。 |
| ReadOnly |
布尔 |
标识此操作是否为只读。 |
| 接收方账户ID |
字符串 |
表示收到此事件的帐户 ID。 recipientAccountID 可能与 CloudTrail userIdentity Element accountId 不同。 这种情况可能发生在跨帐户资源访问中。 |
| 请求参数 |
字符串 |
随请求一起发送的参数(如有)。 这些参数记录在相应 AWS 服务的 API 参考文档中。 |
| 资源 |
字符串 |
事件中访问的资源列表。 |
| ResponseElements |
字符串 |
用于更改操作(创建、更新或删除操作)的响应元素。 如果操作不改变状态(例如,请求获取或列出对象),则省略此元素。 |
| 服务事件详情 |
字符串 |
标识服务事件,包括触发事件的原因和结果。 |
| 会话创建日期 |
datetime |
颁发临时安全证书的日期和时间。 |
| 会话发布者账户ID |
字符串 |
用于获取凭据的实体所拥有的帐户。 |
| SessionIssuerArn |
字符串 |
用于获取临时安全凭据的源(帐户、IAM 用户或角色)的 ARN。 |
| SessionIssuerPrincipalId |
字符串 |
用于获取凭据的实体的内部 ID。 |
| 会话发布者类型 |
字符串 |
临时安全凭据的来源,例如根、IAM 用户或角色。 |
| 会话颁发者用户名 |
字符串 |
发出会话的用户或角色的友好名称。 |
| SessionMfaAuthenticated |
布尔 |
如果请求所使用凭据的根用户或 IAM 用户也通过了 MFA 设备的身份验证,则该值为 true;否则为 false。 |
| SharedEventId |
字符串 |
由 CloudTrail 生成的 GUID,用于唯一标识发送到不同 AWS 帐户的同一 AWS 操作中的 CloudTrail 事件。 |
| 源IP地址 |
字符串 |
发出请求的 IP 地址。 对于源于服务控制台的操作,报告的地址是基础客户资源的地址,而不是控制台 Web 服务器的地址。 对于 AWS 中的服务,只显示 DNS 名称。 |
| SourcePort |
字符串 |
SourcePort 位于 CloudTrail 的 RequestParameters 下,用于指定安全组规则的 IP 权限。 TCP 和 UDP 协议端口范围的起始值,或 ICMP 类型编号。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
datetime |
时间戳 (UTC)。 事件的时间戳来自提供服务 API 终结点的本地主机,API 调用就是在该主机上进行的。 |
| TLS版本 |
字符串 |
可选。 tlsDetails 的一部分。 请求的 TLS 版本。 |
| 类型 |
字符串 |
表的名称 |
| 用户代理 (UserAgent) |
字符串 |
发出请求的代理,如 AWS 管理控制台、AWS 服务、AWS SDK 或 AWS CLI。 |
| UserIdentityAccessKeyId |
字符串 |
用于对请求进行签名的访问密钥 ID。 |
| UserIdentityAccountId |
字符串 |
授予请求权限的实体所属的帐户。 |
| UserIdentityArn |
字符串 |
发起调用的主体的 Amazon 资源名称 (ARN)。 |
| UserIdentityInvokedBy |
字符串 |
发出请求的 AWS 服务名称。 |
| UserIdentityPrincipalid |
字符串 |
发出调用的实体的唯一标识符。 |
| 用户身份类型 |
字符串 |
标识的类型。 可以使用以下值:Root、IAMUser、AssumedRole、FederatedUser、Directory、AWSAccount、AWSService、Unknown。 |
| UserIdentityUserName |
字符串 |
发起调用的标识的名称。 |
| VpcEndpointId |
字符串 |
标识从 VPC 向另一个 AWS 服务发出请求的 VPC 终结点。 |