本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 记录聚合事件的内容
Amazon CloudTrail 聚合的事件记录包括与其 JSON 负载中其他 CloudTrail 事件不同的字段。聚合事件包含以下字段:
eventVersion-
聚合事件的版本。
自:1.0
可选:False
accountId-
收到此事件的账户 ID。
自:1.0
可选:False
eventId-
生成的 GUID CloudTrail ,用于唯一标识每个聚合事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
自:1.0
可选:False
eventCategory-
标识事件的类别。对于聚合事件,此值始终为
Aggregated。按类别查询事件时,使用此字段进行筛选。自:1.0
可选:False
eventType-
标识聚合事件的类型。对于聚合事件,此值为
AwsAggregatedEvent。自:1.0
可选:False
awsRegion-
汇总到此记录中的原子 CloudTrail 事件,例如
ap-northeast-1。 Amazon Web Services 区域 这通常是发出服务 API 调用的区域。自:1.0
可选:False
eventSource-
记录基础事件的 Amazon 服务。
自:1.0
可选:False
timeWindow-
原子 CloudTrail 事件聚合到此聚合事件记录中的时间间隔。该
timeWindow字段包含窗口开始时间、窗口结束时间和窗口大小等详细信息。自:1.0
可选:False
windowStart-
聚合窗口的开头(包括在内),以世界时间 (UTC) 表示,以 ISO-8601 格式表示。
自:1.0
可选:False
windowEnd-
聚合窗口的结尾,不包括在 UTC 中,以 ISO-8601 格式表示。
自:1.0
可选:False
windowSize-
聚合窗口的持续时间。差异
windowEnd − windowStart应该对应于windowSize。windowSize以 ISO-8601 格式表示。自:1.0
可选:False
summary-
基础原子事件的聚合摘要,按主要维度(例如
eventName、resourceARN或userIdentity)分组,也可以按其他维度(例如、userAgentsourceIpAddress、errorCodes)细分。自:1.0
可选:False
摘要包含以下字段:
primaryDimension-
此项的主要聚合维度
AwsAggregatedEvent。这是聚合数据的主视图。例如,在API_ACTIVITY聚合模板中,主维度是eventName;在RESOURCE_ACCESS模板中,它是resourceARN;在USER_ACTIONS模板中,它是userIdentity。自:1.0
可选:False
details-
提供有关聚合原子事件的更多详细信息的其他维度。每个 Detail 对象可以提供相同基础事件的额外视图,例如
eventName、resourceARNuserIdentity、userAgent和,sourceIpAddress具体视聚合模板而定。自:1.0
可选:False
每个细节都提供以下信息:
dimension-
用于对聚合事件进行分组的维度的名称。常见值包括:
-
eventName -
resourceARN -
userIdentity -
userAgent -
sourceIpAddress
自:1.0
可选:False
-
statistics-
此维度的统计信息列表,其中每个条目代表一个存储桶(例如,一个事件名称或一个资源 ARN)及其聚合值。
自:1.0
可选:False
统计中的每个条目都包含以下信息:
name-
关联维度中此统计数据的存储桶标识符或密钥。
value-
给定维度中指定名称的聚合数值。
aggregationType-
应用于为此维度计算
statistics.value的聚合类型。允许的值:-
Count— 事件数量。
自:1.0
可选:False
-
addendum-
携带有关延迟交付或现有更新的元数据 AggregatedEvent。
自:1.0
可选:False
reason-
延迟、更新或以其他方式补充的原因。
AwsAggregatedEvent常用值可能包括(非详尽无遗):-
DELIVERY_DELAY— 聚合数据的交付延迟(例如,网络问题或大量数据)。 -
UPDATED_DATA— 重新计算或更正了聚合数据。 -
SERVICE_OUTAGE— 底层服务中断影响了事件的可用性。
自:1.0
可选:True
-
聚合事件示例
以下是 CloudTrail 聚合事件 (AwsAggregatedEvent) 的示例。在此示例中, CloudTrail 汇总了该地区cloudtrail-data.amazonaws.com超过五分钟的时间窗口的PutAuditEventsus-east-1呼叫。摘要块显示主要聚合维度 (eventName) 以及该时间段内发生的 30 个PutAuditEvents呼叫。详细信息条目进一步按照resourceARN、userIdentityuserAgent、和细分这些调用,sourceIpAddress以显示活动在资源、委托人和客户机之间的分布情况。
{ "eventVersion": "1.0", "accountId": "111122223333", "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d", "eventCategory": "Aggregated", "eventType": "AwsAggregatedEvent", "awsRegion": "us-east-1", "eventSource": "cloudtrail-data.amazonaws.com", "timeWindow": { "windowStart": "2025-10-30 23:45:00", "windowEnd": "2025-10-30 23:50:00", "windowSize": "PT5M" }, "summary": { "primaryDimension": { "dimension": "eventName", "statistics": [ { "name": "PutAuditEvents", "value": 30 } ], "aggregationType": "Count" }, "details": [ { "dimension": "resourceARN", "statistics": [ { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab", "value": 20 }, { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userIdentity", "statistics": [ { "name": "AWSAccount:111122223333", "value": 20 }, { "name": "AWSService:AWS Internal", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userAgent", "statistics": [ { "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0", "value": 20 }, { "name": "AWS Internal", "value":10 } ], "aggregationType": "Count" }, { "dimension": "sourceIpAddress", "statistics": [ { "name": "1.2.3.4", "value": 20 }, { "name": "AWS Internal", "value": 10 } ], "aggregationType": "Count" } ] } }