CloudTrail 记录管理事件、数据事件和网络活动事件的内容

完成请求的日期和时间 [用协调世界时（UTC）表示]。事件的时间戳来自本地主机，该主机提供进行 API 调用时所在的服务 API 终端节点。例如，在美国西部（俄勒冈）区域运行的 CreateBucket API 事件将从运行 Simple Storage Service（Amazon S3）终端节点的 Amazon 主机 s3.us-west-2.amazonaws.com 上的时间获得其时间戳。总的来说，Amazon 服务使用网络时间协议 (NTP) 来同步其系统时钟。

Since (自从)：1.0

Optional (可选)：False

日志事件格式的版本。当前版本为 1.11。

eventVersion 值是主要版本和次要版本，格式为 major_version.minor_version。例如，您可获得 1.10 的 eventVersion 值，其中 1 是主要版本，10 是次要版本。

如果对不向后兼容的事件结构进行了更改，则 CloudTrail 会使主要版本递增。这包括删除已存在的 JSON 字段，或更改字段内容的表示方式（例如，日期格式）。如果向事件结构添加了新字段，则 CloudTrail 会使次要版本递增。如果新信息对部分或全部现有事件可用，或者新信息仅可用于新事件类型，则可能会发生这种情况。应用程序可忽略新字段，以便与事件结构的新次要版本保持兼容。

如果 CloudTrail 引入了新的事件类型，但事件的结构未经更改，则事件版本不会更改。

为确保您的应用程序能够解析事件结构，我们建议您对主要版本号执行等于比较。为了确保您的应用程序所期望的字段存在，我们还建议对次要版本执行大于或等于比较。次要版本中没有前导零。您可以将 major_version 和 minor_version 都解读为数字，并执行比较操作。

Since (自从)：1.0

Optional (可选)：False

有关发出请求的 IAM 身份的信息。有关更多信息，请参阅 CloudTrail userIdentity 元素。

Since (自从)：1.0

Optional (可选)：False

已将请求发出到的服务。此名称通常为服务名称的简短形式，不含空格但会加上 .amazonaws.com。例如：

此约定存在某些例外情况。例如，Amazon CloudWatch 的 eventSource 是 monitoring.amazonaws.com。

Since (自从)：1.0

Optional (可选)：False

请求的操作（服务的 API 中的某个操作）。

Since (自从)：1.0

Optional (可选)：False

请求发往的 Amazon Web Services 区域 区域，如 us-east-2。请参阅CloudTrail 支持的区域。

Since (自从)：1.0

Optional (可选)：False

已从中发出请求的 IP 地址。对于源自服务控制台的操作，报告的地址针对的是基础客户资源而不是控制台 Web 服务器。对于 Amazon 中的服务，仅显示 DNS 名称。

Since (自从)：1.0

Optional (可选)：False

通过其发出请求的代理，例如 Amazon Web Services 管理控制台、Amazon 服务、Amazon 开发工具包或 Amazon CLI。

此字段的最大大小为 1 KB；超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会截断字段内容。

以下是值示例：

Since (自从)：1.0

Optional (可选)：True

如果请求返回错误，则为 Amazon 服务错误。有关显示此字段的示例，请参阅 示例错误代码及留言记录。

此字段的最大大小为 1 KB；超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会截断字段内容。

对于网络活动事件，当存在 VPC 端点策略违规行为时，错误代码为 VpceAccessDenied。

Since (自从)：1.0

Optional (可选)：True

如果请求返回一个错误，则为该错误的描述。此消息包含授权失败的消息。CloudTrail 将在其异常处理中捕获服务所记录的消息。有关示例，请参阅示例错误代码及留言记录。

此字段的最大大小为 1 KB；超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会截断字段内容。

对于网络活动事件，当存在 VPC 端点策略违规行为时，errorMessage 将始终显示以下消息：The request was denied due to a VPC endpoint policy。有关因违反 VPC 端点策略而导致的访问被拒绝事件的更多信息，请参阅《IAM 用户指南》中的拒绝访问错误消息示例。有关显示 VPC 端点策略违规的网络活动事件示例，请参阅本指南中的网络活动事件。

Since (自从)：1.0

Optional (可选)：True

与请求一起发送的参数（如果有）。这些参数记录在相应 Amazon 服务的 API 参考文档中。此字段的最大大小为 100 KB。当字段大小超过 100 KB 时，将省略 requestParameters 内容。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会省略字段内容。

Since (自从)：1.0

Optional (可选)：False

可做出更改的操作（创建、更新或删除操作）的响应元素（如果有）。对于 readOnly API，此字段为 null。如果操作不返回响应元素，则此字段是 null。操作的响应元素记录在相应 Amazon Web Services 服务 的 API 参考文档中。

此字段的最大大小为 100 KB。当字段大小超过 100 KB 时，将省略 reponseElements 内容。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会省略字段内容。

responseElements 值对帮助您使用 Amazon Web Services 支持 跟踪请求很有用。x-amz-request-id 和 x-amz-id-2 包含的信息都可帮助您使用 Amazon Web Services 支持 跟踪请求。这些值与为响应启动事件的请求而返回的服务值相同，因此您可以使用这些值匹配事件与请求。

Since (自从)：1.0

Optional (可选)：False

不是请求或响应一部分的关于事件的其他数据。此字段的最大大小为 28 KB。当字段大小超过 28 KB 时，将省略 additionalEventData 内容。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会省略字段内容。

additionalEventData 的内容是可变的。例如，对于 Amazon Web Services 管理控制台 登录事件，如果请求是由根用户或 IAM 用户使用多重身份验证 (MFA) 发出的，则 additionalEventData 可以包含值为 Yes 的 MFAUsed 字段。

Since (自从)：1.0

Optional (可选)：True

用于标识请求的值。所调用的服务生成此值。此字段的最大大小为 1 KB；超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会截断字段内容。

Since (自从)：1.01

Optional (可选)：True

由 CloudTrail 生成的用来唯一标识每个事件的 GUID。您可以使用此值来标识单个事件。例如，您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。

Since (自从)：1.01

Optional (可选)：False

标识生了成事件记录的事件的类型。它可以是以下值之一：

Since (自从)：1.02

Optional (可选)：False

标识与 AwsApiCall eventType 值关联的 API 版本。

Since (自从)：1.01

Optional (可选)：True

一个布尔值，标识该事件是否为管理事件。如果 managementEvent 为 1.06 或更高，则事件记录中将显示 eventVersion，并且事件类型为以下值之一：

Since (自从)：1.06

Optional (可选)：True

标识此操作是否为只读操作。它可以是以下值之一：

Since (自从)：1.01

Optional (可选)：True

事件中访问的资源列表。此字段可包含以下信息：

例如，在记录 AssumeRole 事件时，resources 字段可能如下所示：

如需带有 resources 字段的示例日志，请参阅 IAM 用户指南中的 CloudTrail 日志文件中的 Amazon STS API 事件或 Amazon Key Management Service 开发人员指南中的记录 Amazon KMS API 调用。

Since (自从)：1.01

Optional (可选)：True

表示已收到此事件的账户 ID。recipientAccountID 可能与 CloudTrail userIdentity 元素 accountId 不同。此情况会在跨账户资源访问中发生。例如，如果一个单独的账户已使用 KMS 密钥（也称为 Amazon KMS key）调用 Encrypt API，则已传输到发起调用的账户的事件的 accountId 和 recipientAccountID 值将相同，而已传输到拥有 KMS 密钥的账户的事件的这两个值不相同。

Since (自从)：1.02

Optional (可选)：True

确定服务事件，包括触发活动的原因和结果。有关更多信息，请参阅 Amazon Web Services 服务 事件。此字段的最大大小为 100 KB。当字段大小超过 100 KB 时，将省略 serviceEventDetails 内容。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会省略字段内容。

Since (自从)：1.05

Optional (可选)：True

CloudTrail 生成的 GUID，用于唯一标识来自发送到不同 Amazon 账户的相同 Amazon 操作的 CloudTrail 事件。

例如，当账户使用属于其他账户的 Amazon KMS key 时，对于相同的操作，使用 KMS 密钥的账户和拥有 KMS 密钥的账户接收不同的 CloudTrail 事件。为此 Amazon 操作提交的每一个 CloudTrail 事件都共享相同的 sharedEventID，但也有唯一的 eventID 和 recipientAccountID。

有关更多信息，请参阅 示例 sharedEventID。

Since (自从)：1.03

Optional (可选)：True

确定从 VPC 向另一个 Amazon 服务发送请求的 VPC 端点，如 Amazon EC2。

Since (自从)：1.04

Optional (可选)：True

标识请求已遍历的相应端点的 VPC 端点所有者的 Amazon Web Services 账户 ID。

从：1.09

Optional (可选)：True

显示事件类别。该事件类别在 LookupEvents 调用中用于筛选管理事件。

从：1.07

Optional (可选)：False

如果事件传递延迟，或者在记录事件后获得了有关现有事件的其他信息，则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息，则附录字段将包含缺失的信息以及缺失信息的原因。内容包括下列信息。

从：1.08

Optional (可选)：True

值为 true 或 false 的字符串，显示事件是否源自 Amazon Web Services 管理控制台 会话。此字段不会显示出来，除非该值为 true，这意味着用于进行 API 调用的客户端是代理或外部客户端。如果使用了代理客户端，则不显示 tlsDetails 事件字段。

从：1.08

Optional (可选)：True

此字段存在于为配置为包含资源标签键或 IAM 全局条件键的事件存储记录的丰富事件中。有关更多信息，请参阅 通过添加资源标签键和 IAM 全局条件键来丰富 CloudTrail 事件。

内容包括以下信息：

从：1.11

Optional (可选)：True

显示有关作为请求目标的边缘设备的信息。目前，S3 Outposts 设备事件包括此字段。此字段的最大大小为 28 KB；超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储，仅当事件有效载荷超过 1 MB 且超过最大字段大小时，才会截断字段内容。

从：1.08

Optional (可选)：True

显示服务 API 调用中使用的客户端提供主机名（通常是服务端点的 FQDN）的传输层安全性协议 (TLS) 版本、密码套件和完全限定域名 (FQDN) 相关信息。如果预期信息丢失或为空，CloudTrail 仍会记录部分 TLS 详细信息。例如，如果 TLS 版本和密码套件存在，但 HOST 标头为空，则可用 TLS 详细信息仍会记录在 CloudTrail 事件中。

从：1.08

Optional (可选)：True