AWSCloudTrail
CloudTrail-loggar, som matas in från Sentinels anslutningsprogram, innehåller alla dina data och hanteringshändelser för ditt Amazon Wev Services-konto.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AdditionalEventData | sträng | Ytterligare data om händelsen som inte ingick i begäran eller svaret. |
| APIVersion | sträng | Identifierar den API-version som är associerad med värdet AwsApiCall eventType. |
| AwsEventId | sträng | GUID som genereras av CloudTrail för att unikt identifiera varje händelse. Du kan använda det här värdet för att identifiera en enskild händelse. |
| AWSRegion | sträng | Den AWS-region som begäran gjordes till. |
| AwsRequestId | sträng | inaktuell använder du AwsRequestId_ i stället. |
| AwsRequestId_ | sträng | Det värde som identifierar begäran. Tjänsten som anropas genererar det här värdet. |
| _BilledSize | real | Poststorleken i byte |
| Kategori | sträng | Visar händelsekategorin som används i LookupEvents-anrop. |
| CidrIp | sträng | CIDR IP finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. IPv4 CIDR-intervallet. |
| Chifferdräkt | sträng | Valfritt. En del av tlsDetails. Chiffersviten (kombination av säkerhetsalgoritmer som används) för en begäran. |
| ClientProvidedHostHeader | sträng | Valfritt. En del av tlsDetails. Värdnamnet som tillhandahålls av klienten används i tjänst-API-anropet, vilket vanligtvis är FQDN för tjänstslutpunkten. |
| DestinationPort | sträng | DestinationPort finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. Slutet av portintervallet för TCP- och UDP-protokollen, eller en ICMP-kod. |
| EC2RoleDelivery | sträng | Det egna namnet på den användare eller roll som utfärdade sessionen. |
| Felkod | sträng | AWS-tjänstfelet om begäran returnerar ett fel. |
| ErrorMessage | sträng | Felbeskrivningen när den är tillgänglig. Det här meddelandet innehåller meddelanden om auktoriseringsfel. CloudTrail samlar in meddelandet som loggas av tjänsten i undantagshanteringen. |
| EventName | sträng | Den begärda åtgärden, som är en av åtgärderna i API:et för den tjänsten. |
| EventSource | sträng | Tjänsten som begäran gjordes till. Det här namnet är vanligtvis en kort form av tjänstnamnet utan blanksteg plus .amazonaws.com. |
| EventTypeName | sträng | Identifierar typen av händelse som genererade händelseposten. Detta kan vara något av följande värden: AwsApiCall, AwsServiceEvent, AwsConsoleAction, AwsConsoleSignIn. |
| EventVersion | sträng | Versionen av logghändelseformatet. |
| IpProtocol | sträng | IP-protokollet finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. IP-protokollets namn eller nummer. Giltiga värden är tcp, udp, icmp eller ett protokollnummer. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| ManagementEvent | boolesk | Ett booleskt värde som identifierar om händelsen är en hanteringshändelse. |
| OperationName | sträng | Konstant värde: CloudTrail. |
| ReadOnly | boolesk | Anger om den här åtgärden är en skrivskyddad åtgärd. |
| RecipientAccountId | sträng | Representerar det konto-ID som tog emot händelsen. RecipientAccountID kan skilja sig från CloudTrail userIdentity Element accountId. Detta kan inträffa vid resursåtkomst mellan konton. |
| RequestParameters | sträng | Eventuella parametrar som skickades med begäran. Dessa parametrar dokumenteras i API-referensdokumentationen för lämplig AWS-tjänst. |
| Resurser | sträng | En lista över resurser som används i händelsen. |
| ResponseElements | sträng | Svarselementet för åtgärder som gör ändringar (skapa, uppdatera eller ta bort åtgärder). Om en åtgärd inte ändrar tillstånd (till exempel en begäran om att hämta eller lista objekt) utelämnas det här elementet. |
| ServiceEventDetails | sträng | Identifierar tjänsthändelsen, inklusive vad som utlöste händelsen och resultatet. |
| SessionCreationDate | datetime | Datum och tid då de tillfälliga säkerhetsautentiseringsuppgifterna utfärdades. |
| SessionIssuerAccountId | sträng | Kontot som äger entiteten som användes för att hämta autentiseringsuppgifter. |
| SessionIssuerArn | sträng | ARN för källan (konto, IAM-användare eller roll) som användes för att hämta tillfälliga säkerhetsautentiseringsuppgifter. |
| SessionIssuerPrincipalId | sträng | Det interna ID:t för den entitet som användes för att hämta autentiseringsuppgifter. |
| SessionIssuerType | sträng | Källan till de tillfälliga säkerhetsautentiseringsuppgifterna, till exempel Root, IAMUser eller Role. |
| SessionIssuerUserName | sträng | Det egna namnet på den användare eller roll som utfärdade sessionen. |
| SessionMfaAuthenticated | boolesk | Värdet är sant om rotanvändaren eller IAM-användaren vars autentiseringsuppgifter användes för begäran också autentiserades med en MFA-enhet. annars falskt. |
| SharedEventId | sträng | GUID som genereras av CloudTrail för att unikt identifiera CloudTrail-händelser från samma AWS-åtgärd som skickas till olika AWS-konton. |
| SourceIpAddress | sträng | IP-adressen som begäran gjordes från. För åtgärder som kommer från tjänstkonsolen är den rapporterade adressen för den underliggande kundresursen, inte konsolwebbservern. För tjänster i AWS visas endast DNS-namnet. |
| SourcePort | sträng | SourcePort finns under RequestParameters i CloudTrail och används för att ange IP-behörigheter för en säkerhetsgruppsregel. Början av portintervallet för TCP- och UDP-protokollen, eller ett ICMP-typnummer. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tidsstämpeln (UTC). En händelses tidsstämpel kommer från den lokala värden som tillhandahåller den tjänst-API-slutpunkt där API-anropet gjordes. |
| TlsVersion | sträng | Valfritt. En del av tlsDetails. TLS-versionen av en begäran. |
| Typ | sträng | Namnet på tabellen |
| Useragent | sträng | Agenten som begäran gjordes genom, till exempel AWS-hanteringskonsolen, en AWS-tjänst, AWS SDK:er eller AWS CLI. |
| UserIdentityAccessKeyId | sträng | Det åtkomstnyckel-ID som användes för att signera begäran. |
| UserIdentityAccountId | sträng | Kontot som äger entiteten som beviljat behörigheter för begäran. |
| UserIdentityArn | sträng | Amazon Resource Name (ARN) för huvudkontot som gjorde anropet. |
| UserIdentityInvokedBy | sträng | Namnet på den AWS-tjänst som gjorde begäran. |
| UserIdentityPrincipalid | sträng | En unik identifierare för entiteten som gjorde anropet. |
| UserIdentityType | sträng | Identitetens typ. Följande värden är möjliga: Root, IAMUser, AssumedRole, FederatedUser, Directory, AWSAccount, AWSService, Unknown. |
| UserIdentityUserName | sträng | Namnet på den identitet som gjorde anropet. |
| VpcEndpointId | sträng | Identifierar den VPC-slutpunkt där begäranden gjordes från en VPC till en annan AWS-tjänst. |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för