AdditionalEventData |
Zeichenfolge |
Zusätzliche Daten zu dem Ereignis, das nicht Teil der Anforderung oder Antwort war. |
APIVersion |
Zeichenfolge |
Identifies the API version associated with the AwsApiCall eventType value. |
AwsEventId |
Zeichenfolge |
GUID, die von CloudTrail generiert wurde, um jedes Ereignis eindeutig zu identifizieren. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. |
AWSRegion |
Zeichenfolge |
Die AWS-Region, an die die Anforderung gestellt wurde. |
AwsRequestId |
Zeichenfolge |
veraltet, verwenden Sie stattdessen AwsRequestId_. |
AwsRequestId_ |
Zeichenfolge |
Der Wert, der die Anforderung identifiziert. Der aufgerufene Dienst generiert diesen Wert. |
_BilledSize |
real |
Die Datensatzgröße in Bytes. |
Kategorie |
Zeichenfolge |
Zeigt die Ereigniskategorie an, die in LookupEvents-Aufrufen verwendet wird. |
CidrIp |
Zeichenfolge |
Die CIDR-IP befindet sich unter "RequestParameters" in CloudTrail und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der IPv4 CIDR-Bereich. |
CipherSuite |
Zeichenfolge |
Optional. Teil von tlsDetails. Die Verschlüsselungssuite (Kombination aus verwendeten Sicherheitsalgorithmen) einer Anforderung. |
ClientProvidedHostHeader |
Zeichenfolge |
Optional. Teil von tlsDetails. Der vom Client bereitgestellte Hostname, der im Dienst-API-Aufruf verwendet wird, was in der Regel der FQDN des Dienstendpunkts ist. |
DestinationPort |
Zeichenfolge |
Der DestinationPort befindet sich unter "RequestParameters" in CloudTrail und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Das Ende des Portbereichs für die TCP- und UDP-Protokolle oder einen ICMP-Code. |
EC2RoleDelivery |
Zeichenfolge |
Der Anzeigename des Benutzers oder der Rolle, der die Sitzung ausgestellt hat. |
ErrorCode |
Zeichenfolge |
Der AWS-Dienstfehler, wenn die Anforderung einen Fehler zurückgibt. |
ErrorMessage |
Zeichenfolge |
Die Fehlerbeschreibung, wenn verfügbar. Diese Nachricht enthält Nachrichten für Autorisierungsfehler. CloudTrail erfasst die vom Dienst protokollierte Nachricht in der Ausnahmebehandlung. |
EventName |
Zeichenfolge |
Die angeforderte Aktion, die eine der Aktionen in der API für diesen Dienst ist. |
EventSource |
Zeichenfolge |
Der Dienst, an den die Anforderung gestellt wurde. Dieser Name ist in der Regel eine kurze Form des Dienstnamens ohne Leerzeichen plus .amazonaws.com. |
EventTypeName |
Zeichenfolge |
Gibt den Ereignistyp an, der den Ereignisdatensatz generiert hat. Dies kann einer der folgenden Werte sein: AwsApiCall, AwsServiceEvent, AwsConsoleAction , AwsConsoleSignIn. |
EventVersion |
Zeichenfolge |
Die Version des Protokollereignisformats. |
ipProtocol |
Zeichenfolge |
Das IP-Protokoll befindet sich unter "RequestParameters" in CloudTrail und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der NAME oder die Nummer des IP-Protokolls. Die gültigen Werte sind tcp, udp, icmp oder eine Protokollnummer. |
_IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
ManagementEvent |
bool |
Ein boolescher Wert, der angibt, ob es sich bei dem Ereignis um ein Verwaltungsereignis handelt. |
Vorgangsname |
Zeichenfolge |
Konstanter Wert: CloudTrail. |
ReadOnly |
bool |
Gibt an, ob dieser Vorgang ein schreibgeschützter Vorgang ist. |
RecipientAccountId |
Zeichenfolge |
Stellt die Konto-ID dar, die dieses Ereignis empfangen hat. Die recipientAccountID kann sich von der CloudTrail userIdentity Element AccountId unterscheiden. Dies kann im kontoübergreifenden Ressourcenzugriff auftreten. |
RequestParameters |
Zeichenfolge |
Die Parameter, falls vorhanden, die mit der Anforderung gesendet wurden. Diese Parameter sind in der API-Referenzdokumentation für den entsprechenden AWS-Dienst dokumentiert. |
Ressourcen |
Zeichenfolge |
Eine Liste der Ressourcen, auf die im Ereignis zugegriffen wird. |
ResponseElements |
Zeichenfolge |
Das Antwortelement für Aktionen, die Änderungen vornehmen (Erstellen, Aktualisieren oder Löschen von Aktionen). Wenn eine Aktion den Zustand nicht ändert (z. B. eine Anforderung zum Abrufen oder Auflisten von Objekten), wird dieses Element nicht angegeben. |
ServiceEventDetails |
Zeichenfolge |
Identifiziert das Dienstereignis, einschließlich der ausgelösten Ereignisse und des Ergebnisses. |
SessionCreationDate |
datetime |
Datum und Uhrzeit der Ausstellung der temporären Sicherheitsanmeldeinformationen. |
SessionIssuerAccountId |
Zeichenfolge |
Das Konto, das die Entität besitzt, die zum Abrufen von Anmeldeinformationen verwendet wurde. |
SessionIssuerArn |
Zeichenfolge |
Der ARN der Quelle (Konto, IAM-Benutzer oder -Rolle), der zum Abrufen temporärer Sicherheitsanmeldeinformationen verwendet wurde. |
SessionIssuerPrincipalId |
Zeichenfolge |
Die interne ID der Entität, die zum Abrufen von Anmeldeinformationen verwendet wurde. |
SessionIssuerType |
Zeichenfolge |
Die Quelle der temporären Sicherheitsanmeldeinformationen, z. B. Root, IAMUser oder Role. |
SessionIssuerUserName |
Zeichenfolge |
Der Anzeigename des Benutzers oder der Rolle, der die Sitzung ausgestellt hat. |
SessionMfaAuthenticated |
bool |
Der Wert ist "true", wenn der Stammbenutzer oder DER IAM-Benutzer, dessen Anmeldeinformationen für die Anforderung verwendet wurden, auch mit einem MFA-Gerät authentifiziert wurde. andernfalls "false". |
SharedEventId |
Zeichenfolge |
GUID, die von CloudTrail generiert wurde, um CloudTrail-Ereignisse aus derselben AWS-Aktion zu identifizieren, die an verschiedene AWS-Konten gesendet wird. |
SourceIpAddress |
Zeichenfolge |
Die IP-Adresse, von der die Anforderung stammt. Bei Aktionen, die von der Dienstkonsole stammen, gilt die gemeldete Adresse für die zugrunde liegende Kundenressource, nicht für den Konsolenwebserver. Für Dienste in AWS wird nur der DNS-Name angezeigt. |
SourcePort |
Zeichenfolge |
Der SourcePort befindet sich unter "RequestParameters" in CloudTrail und wird verwendet, um die IP-Berechtigungen für eine Sicherheitsgruppenregel anzugeben. Der Start des Portbereichs für die TCP- und UDP-Protokolle oder eine ICMP-Typnummer. |
SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
TimeGenerated |
datetime |
Der Zeitstempel (UTC). Der Zeitstempel eines Ereignisses stammt vom lokalen Host, der den Dienst-API-Endpunkt bereitstellt, auf dem der API-Aufruf ausgeführt wurde. |
TlsVersion |
Zeichenfolge |
Optional. Teil von tlsDetails. Die TLS-Version einer Anforderung. |
type |
Zeichenfolge |
Der Name der Tabelle. |
UserAgent |
Zeichenfolge |
Der Agent, über den die Anforderung gestellt wurde, z. B. die AWS Management Console, einen AWS-Dienst, die AWS-SDKs oder die AWS CLI. |
UserIdentityAccessKeyId |
Zeichenfolge |
Die Zugriffstasten-ID, die zum Signieren der Anforderung verwendet wurde. |
UserIdentityAccountId |
Zeichenfolge |
Das Konto, das die Entität besitzt, die Berechtigungen für die Anforderung erteilt hat. |
UserIdentityArn |
Zeichenfolge |
Der Amazon Resource Name (ARN) des Prinzipals, der den Aufruf ausgeführt hat. |
UserIdentityInvokedBy |
Zeichenfolge |
Der Name des AWS-Diensts, der die Anforderung gestellt hat. |
UserIdentityPrincipalid |
Zeichenfolge |
Ein eindeutiger Bezeichner für die Entität, die den Aufruf ausgeführt hat. |
UserIdentityType |
Zeichenfolge |
Der Typ der Identität. Die folgenden Werte sind möglich: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
UserIdentityUserName |
Zeichenfolge |
Der Name der Identität, die den Anruf getätigt hat. |
EnumerationEndpointId |
Zeichenfolge |
Identifiziert den ENDPUNKT DES ENDPUNKTS DES TYPS ENDPOINT, in dem Anforderungen von einem AWS-Dienst an einen anderen AWS-Dienst gesendet wurden. |