本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudTrail 记录聚合事件的内容 AWS CloudTrail 聚合的事件记录包括与其 JSON 负载中其他 CloudTrail 事件不同的字段。聚合事件包含以下字段: **`eventVersion`** 聚合事件的版本。 **自**:1.0 **可选**:False **`accountId`** 收到此事件的账户 ID。 **自**:1.0 **可选**:False **`eventId`** 生成的 GUID CloudTrail ,用于唯一标识每个聚合事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。 **自**:1.0 **可选**:False **`eventCategory`** 标识事件的类别。对于聚合事件,此值始终为`Aggregated`。按类别查询事件时,使用此字段进行筛选。 **自**:1.0 **可选**:False **`eventType`** 标识聚合事件的类型。对于聚合事件,此值为`AwsAggregatedEvent`。 **自**:1.0 **可选**:False **`awsRegion`** 汇总到此记录中的原子 CloudTrail 事件,例如`ap-northeast-1`。 AWS 区域 这通常是发出服务 API 调用的区域。 **自**:1.0 **可选**:False **`eventSource`** 记录基础事件的 AWS 服务。 **自**:1.0 **可选**:False **`timeWindow`** 原子 CloudTrail 事件聚合到此聚合事件记录中的时间间隔。该`timeWindow`字段包含窗口开始时间、窗口结束时间和窗口大小等详细信息。 **自**:1.0 **可选**:False **`windowStart`** 聚合窗口的开头(包括在内),以世界时间 (UTC) 表示,以 ISO-8601 格式表示。 **自**:1.0 **可选**:False **`windowEnd`** 聚合窗口的结尾,不包括在 UTC 中,以 ISO-8601 格式表示。 **自**:1.0 **可选**:False **`windowSize`** 聚合窗口的持续时间。差异`windowEnd − windowStart`应该对应于`windowSize`。`windowSize`以 ISO-8601 格式表示。 **自**:1.0 **可选**:False **`summary`** 基础原子事件的聚合摘要,按主要维度(例如`eventName`、`resourceARN`或`userIdentity`)分组,也可以按其他维度(例如、`userAgent``sourceIpAddress`、`errorCodes`)细分。 **自**:1.0 **可选**:False 摘要包含以下字段: **`primaryDimension`** 此项的主要聚合维度`AwsAggregatedEvent`。这是聚合数据的主视图。例如,在`API_ACTIVITY`聚合模板中,主维度是`eventName`;在`RESOURCE_ACCESS`模板中,它是`resourceARN`;在`USER_ACTIONS`模板中,它是`userIdentity`。 **自**:1.0 **可选**:False **`details`** 提供有关聚合原子事件的更多详细信息的其他维度。每个 Detail 对象可以提供相同基础事件的额外视图,例如`eventName`、`resourceARN``userIdentity`、`userAgent`和,`sourceIpAddress`具体视聚合模板而定。 **自**:1.0 **可选**:False 每个细节都提供以下信息: **`dimension`** 用于对聚合事件进行分组的维度的名称。常见值包括: + `eventName` + `resourceARN` + `userIdentity` + `userAgent` + `sourceIpAddress` **自**:1.0 **可选**:False **`statistics`** 此维度的统计信息列表,其中每个条目代表一个存储桶(例如,一个事件名称或一个资源 ARN)及其聚合值。 **自**:1.0 **可选**:False 统计中的每个条目都包含以下信息: **`name`** 关联维度中此统计数据的存储桶标识符或密钥。 **`value`** 给定维度中指定名称的聚合数值。 **`aggregationType`** 应用于为此维度计算`statistics.value`的聚合类型。允许的值: + `Count`— 事件数量。 **自**:1.0 **可选**:False **`addendum`** 携带有关延迟交付或现有更新的元数据 AggregatedEvent。 **自**:1.0 **可选**:False **`reason`** 延迟、更新或以其他方式补充的原因。`AwsAggregatedEvent`常用值可能包括(非详尽无遗): + `DELIVERY_DELAY`— 聚合数据的交付延迟(例如,网络问题或大量数据)。 + `UPDATED_DATA`— 重新计算或更正了聚合数据。 + `SERVICE_OUTAGE`— 底层服务中断影响了事件的可用性。 **自**:1.0 **可选**:True ## 聚合事件示例 以下是 CloudTrail 聚合事件 (`AwsAggregatedEvent`) 的示例。在此示例中, CloudTrail 汇总了该地区`cloudtrail-data.amazonaws.com`超过五分钟的时间窗口的`PutAuditEvents``us-east-1`呼叫。摘要块显示主要聚合维度 (`eventName`) 以及该时间段内发生的 30 个`PutAuditEvents`呼叫。详细信息条目进一步按照`resourceARN`、`userIdentity``userAgent`、和细分这些调用,`sourceIpAddress`以显示活动在资源、委托人和客户机之间的分布情况。 ``` { "eventVersion": "1.0", "accountId": "111122223333", "eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d", "eventCategory": "Aggregated", "eventType": "AwsAggregatedEvent", "awsRegion": "us-east-1", "eventSource": "cloudtrail-data.amazonaws.com", "timeWindow": { "windowStart": "2025-10-30 23:45:00", "windowEnd": "2025-10-30 23:50:00", "windowSize": "PT5M" }, "summary": { "primaryDimension": { "dimension": "eventName", "statistics": [ { "name": "PutAuditEvents", "value": 30 } ], "aggregationType": "Count" }, "details": [ { "dimension": "resourceARN", "statistics": [ { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab", "value": 20 }, { "name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userIdentity", "statistics": [ { "name": "AWSAccount:111122223333", "value": 20 }, { "name": "AWSService:AWS Internal", "value": 10 } ], "aggregationType": "Count" }, { "dimension": "userAgent", "statistics": [ { "name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0", "value": 20 }, { "name": "AWS Internal", "value":10 } ], "aggregationType": "Count" }, { "dimension": "sourceIpAddress", "statistics": [ { "name": "1.2.3.4", "value": 20 }, { "name": "AWS Internal", "value": 10 } ], "aggregationType": "Count" } ] } } ```