Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
CloudTrail-loggar, som matas in från Sentinels anslutningsapp, innehåller alla dina data- och hanteringshändelser för ditt Amazon Wev Services-konto.
Tabellatributer
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Omvandling vid datainmatning | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| YtterligareEvenemangsData | sträng | Ytterligare data om händelsen som inte ingick i begäran eller svaret. |
| APIVersion | sträng | Identifierar DEN API-version som är associerad med värdet AwsApiCall eventType. |
| AwsEventId | sträng | GUID som genereras av CloudTrail för att unikt identifiera varje händelse. Du kan använda det här värdet för att identifiera en enskild händelse. |
| AWSRegion | sträng | Den AWS-region som begäran gjordes till. |
| AwsRequestId | sträng | Föråldrad, använd i stället AwsRequestId_. |
| AwsRequestId_ | sträng | Värdet som identifierar begäran. Tjänsten som anropas genererar det här värdet. |
| _FaktureradStorlek | verklig | Rekordstorleken i byte |
| Kategori | sträng | Visar händelsekategorin som används i LookupEvents-anrop. |
| CidrIp | sträng | CIDR IP finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. IPv4 CIDR-intervallet. |
| Chifferuppsättning | sträng | Valfritt. En del av tlsDetails. Chiffersviten (kombination av säkerhetsalgoritmer som används) för en begäran. |
| KlienttillhandahållenVärdhuvud | sträng | Valfritt. En del av tlsDetails. Det värdnamn som tillhandahålls av klienten som används i tjänst-API-anropet, vilket vanligtvis är FQDN för tjänstslutpunkten. |
| DestinationPort | sträng | DestinationPort finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. Slutet av portintervallet för TCP- och UDP-protokollen eller en ICMP-kod. |
| EC2RoleDelivery | sträng | Det vänliga namnet på den användare eller roll som utfärdade sessionen. |
| Felkod | sträng | AWS-tjänstfelet om begäran returnerar ett fel. |
| Felmeddelande | sträng | Felbeskrivningen när den är tillgänglig. Det här meddelandet innehåller meddelanden om auktoriseringsfel. CloudTrail samlar in meddelandet som loggas av tjänsten i dess undantagshantering. |
| Evenemangsnamn | sträng | Den begärda åtgärden, som är en av åtgärderna i API:et för den tjänsten. |
| EventSource | sträng | Den tjänst som begäran gjordes till. Det här namnet är vanligtvis en kort form av tjänstens namn utan blanksteg plus .amazonaws.com. |
| HändelsetypNamn | sträng | Identifierar vilken typ av händelse som genererade händelseposten. Detta kan vara något av följande värden: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
| EventVersion | sträng | Versionen av logghändelseformatet. |
| IP-protokoll | sträng | IP-protokollet finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. IP-protokollets namn eller nummer. Giltiga värden är tcp, udp, icmp eller ett protokollnummer. |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| Managementhändelse | Bool | Ett booleskt värde som identifierar om händelsen är en hanteringshändelse. |
| Operationsnamn | sträng | Konstant värde: CloudTrail. |
| Skrivskyddat | Bool | Identifierar om den här åtgärden är en endast läsning-åtgärd. |
| Mottagarkonto-ID | sträng | Representerar det konto-ID som tog emot den här händelsen. RecipientAccountID kan skilja sig från CloudTrail userIdentity Element accountId. Detta kan inträffa i resursåtkomst mellan konton. |
| Begärparametrar | sträng | Eventuella parametrar som skickades med begäran. Dessa parametrar dokumenteras i API-referensdokumentationen för lämplig AWS-tjänst. |
| Resurser | sträng | En lista över resurser som används i händelsen. |
| Svarselement | sträng | Svarselementet för åtgärder som gör ändringar (skapa, uppdatera eller ta bort åtgärder). Om en åtgärd inte ändrar tillstånd (till exempel en begäran om att hämta eller lista objekt) utelämnas det här elementet. |
| Servicehändelsedetaljer | sträng | Identifierar tjänsthändelsen, inklusive vad som utlöste händelsen och resultatet. |
| Sessionskapningsdatum | datum och tid | Datum och tid då de tillfälliga säkerhetsautentiseringsuppgifterna utfärdades. |
| SessionUtgivareKontonId | sträng | Kontot som äger entiteten som användes för att hämta autentiseringsuppgifter. |
| SessionIssuerArn | sträng | ARN för källan (konto, IAM-användare eller roll) som användes för att hämta tillfälliga säkerhetsautentiseringsuppgifter. |
| SessionUtfärdarPrincipId | sträng | Det interna ID:t för entiteten som användes för att hämta autentiseringsuppgifter. |
| Typ av sessionsutfärdare | sträng | Källan till de tillfälliga säkerhetsautentiseringsuppgifterna, till exempel Root, IAMUser eller Role. |
| SessionIssuerUserName | sträng | Det vänliga namnet på den användare eller roll som utfärdade sessionen. |
| SessionMfaVerifierad | Bool | Värdet är sant om rotanvändaren eller IAM-användaren vars autentiseringsuppgifter användes för begäran även autentiserades med en MFA-enhet. annars falskt. |
| SharedEventId | sträng | GUID som genereras av CloudTrail för att unikt identifiera CloudTrail-händelser från samma AWS-åtgärd som skickas till olika AWS-konton. |
| KällaIP-adress | sträng | IP-adressen som begäran gjordes från. För åtgärder som kommer från tjänstkonsolen är den rapporterade adressen för den underliggande kundresursen, inte konsolens webbserver. För tjänster i AWS visas endast DNS-namnet. |
| SourcePort | sträng | SourcePort finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. Start av portintervallet för TCP- och UDP-protokollen eller ett ICMP-typnummer. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Hyresgäst-ID | sträng | ID för Log Analytics-arbetsytan |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC). En händelses tidsstämpel kommer från den lokala värden som tillhandahåller API-tjänstens slutpunkt till vilken API-anropet gjordes. |
| TLS-version | sträng | Valfritt. En del av tlsDetails. TLS-versionen av en begäran. |
| Typ | sträng | Namnet på tabellen |
| Användaragent | sträng | Agenten genom vilken begäran gjordes, till exempel AWS-hanteringskonsolen, en AWS-tjänst, AWS SDK:er eller AWS CLI. |
| AnvändaridentitetsÅtkomstnyckelID | sträng | Det åtkomstnyckel-ID som användes för att signera begäran. |
| AnvändaridentitetKontonId | sträng | Kontot som äger den enhet som beviljade behörigheter för begäran. |
| UserIdentityArn | sträng | ARN (Amazon Resource Name) för den huvudansvarige som gjorde anropet. |
| Användaridentitet som åberopats av | sträng | Namnet på den AWS-tjänst som gjorde begäran. |
| UserIdentityPrincipalid | sträng | En unik identifierare för entiteten som gjorde anropet. |
| Användaridentitetstyp | sträng | Identitetens typ. Följande värden är möjliga: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| AnvändaridentitetAnvändarnamn | sträng | Namnet på den identitet som gjorde anropet. |
| VpcEndpointId | sträng | Identifierar den VPC-slutpunkt där begäranden gjordes från en VPC till en annan AWS-tjänst. |