Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau
Cette page décrit le contenu de l'enregistrement d'un événement de gestion, de données ou d'activité réseau.
Le corps de l’enregistrement contient les champs qui permettent de déterminer l’action demandée, ainsi que le moment et l’endroit où la demande a été effectuée. Lorsque la valeur d'**Optional** (Facultatif) est **True** (Vraie), le champ est uniquement présent lorsqu'il s'applique au service, à l'API ou au type d'événement. Une valeur **Optional** (Facultatif) de **False** (Faux) signifie que le champ est soit toujours présent ou que sa présence ne dépend pas du service, de l'API ou du type d'événement. Voici un exemple : `responseElements`, qui est présent dans les événements pour les actions qui apportent des modifications (actions de création, de mise à jour ou de suppression).
**Note**
Les champs pour les événements enrichis, tels que `eventContext` ceux qui sont disponibles uniquement pour les événements de gestion et les événements de données. Ils ne sont pas disponibles pour les événements du réseau.
**`eventTime`**
Date et heure de la demande, en heure UTC (temps universel coordonné). L’horodatage d’un événement provient de l’hôte local qui fournit le point de terminaison de l’API de service sur lequel l’appel d’API a été effectué. Par exemple, un événement d'**CreateBucket**API exécuté dans la région de l'ouest des États-Unis (Oregon) sera horodaté à partir de l'heure sur un AWS hôte exécutant le point de terminaison Amazon S3,`s3.us-west-2.amazonaws.com`. En général, les AWS services utilisent le protocole NTP (Network Time Protocol) pour synchroniser les horloges de leur système.
**Depuis :** 1.0
**Facultatif :** False
**`eventVersion`**
Version du format de l’événement du journal. La version actuelle est 1.11.
La `eventVersion` valeur est une version majeure et une version mineure du formulaire{{major\_version}}. {{minor\_version}}. Par exemple, vous pouvez disposer d'une valeur `eventVersion` de `1.10`, où `1` représente la version majeure, et `10`, la version mineure.
CloudTrail incrémente la version majeure si une modification non rétrocompatible est apportée à la structure de l'événement. Cela inclut la suppression d'un champ JSON qui existe déjà ou la modification de la façon dont le contenu d'un champ est représenté (par exemple, un format de date). CloudTrail augmente la version mineure si une modification ajoute de nouveaux champs à la structure de l'événement. Cela peut se produire si de nouvelles informations sont disponibles pour tout ou partie des événements existants, ou si de nouvelles informations sont disponibles seulement pour des types d’événements nouvellement introduits. Les applications peuvent ignorer les nouveaux champs pour être compatibles avec de nouvelles versions mineures de la structure de l'événement.
Si de CloudTrail nouveaux types d'événements sont introduits, mais que la structure de l'événement reste inchangée, la version de l'événement ne change pas.
Pour vous assurer que vos applications puissent analyser la structure de l’événement, nous vous recommandons d’effectuer une comparaison égal à sur le numéro de version majeure. Pour être sûr que les champs attendus par votre application existent, nous vous recommandons également d'effectuer une comparaison greater-than-or-equal -to sur la version mineure. La version mineure ne comporte pas de zéros au début. Vous pouvez les interpréter à la fois {{major\_version}} {{minor\_version}} comme des nombres et effectuer des opérations de comparaison.
**Depuis :** 1.0
**Facultatif :** False
**`userIdentity`**
Informations sur l'identité IAM qui a émis une demande. Pour de plus amples informations, veuillez consulter [CloudTrail Élément UserIdentity](cloudtrail-event-reference-user-identity.md).
**Depuis :** 1.0
**Facultatif :** False
**`eventSource`**
Service auprès duquel la demande a été faite. Ce nom est généralement une forme abrégée du nom du service sans espaces, plus `.amazonaws.com`. Par exemple :
+ CloudFormation est`cloudformation.amazonaws.com`.
+ Amazon EC2 l'est`ec2.amazonaws.com`.
+ Amazon Simple Workflow Service est `swf.amazonaws.com`.
Cette convention présente quelques exceptions. Par exemple, `eventSource` pour Amazon, CloudWatch c'est`monitoring.amazonaws.com`.
**Depuis :** 1.0
**Facultatif :** False
**`eventName`**
Action demandée, qui est l’une des actions de l’API pour ce service.
**Depuis :** 1.0
**Facultatif :** False
**`awsRegion`**
Le Région AWS destinataire de la demande, tel que`us-east-2`. Consultez [CloudTrail Régions prises en charge](cloudtrail-supported-regions.md).
**Depuis :** 1.0
**Facultatif :** False
**`sourceIPAddress`**
Adresse IP à partir de laquelle la demande a été faite. Pour les actions qui sont créées à partir de la console de service, l’adresse présentée est celle de la ressource du client sous-jacent, non le serveur Web de la console. Pour les services en AWS entrée, seul le nom DNS est affiché.
Pour les événements émis par AWS, ce champ est généralement `AWS Internal/{{#}}`, où `{{#}}` est un nombre utilisé à des fins internes.
**Depuis :** 1.0
**Facultatif :** False
**`userAgent`**
L'agent par l'intermédiaire duquel la demande a été faite, tel que le AWS Management Console, un AWS service, le AWS SDKs ou le AWS CLI.
Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu des champs n'est tronqué que si la charge utile des événements dépasse 1 Mo et que la taille maximale des champs est dépassée.
Voici quelques exemples de valeurs :
+ `lambda.amazonaws.com` – La demande a été effectuée avec AWS Lambda.
+ `aws-sdk-java` – La demande a été effectuée avec le AWS SDK pour Java.
+ `aws-sdk-ruby` – La demande a été effectuée avec le AWS SDK pour Ruby.
+ `aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5`— La demande a été faite avec le système AWS CLI installé sur Linux.
Pour les événements créés par AWS, si CloudTrail vous savez qui Service AWS a effectué l'appel, ce champ est la source de l'événement du service d'appel (par exemple,`ec2.amazonaws.com`). Dans le cas contraire, ce champ est`AWS Internal/{{#}}`, où `{{#}}` est un numéro utilisé à des fins internes.
**Depuis :** 1.0
**Facultatif :** True
**`errorCode`**
Erreur de AWS service si la demande renvoie une erreur. Pour obtenir un exemple qui montre ce champ, consultez [Exemple de code d'erreur et de journal de messages](cloudtrail-log-file-examples.md#error-code-and-error-message).
Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu des champs n'est tronqué que si la charge utile des événements dépasse 1 Mo et que la taille maximale des champs est dépassée.
Pour les événements d'activité réseau, en cas de violation de la politique des points de terminaison VPC, le code d'erreur est. `VpceAccessDenied`
**Depuis :** 1.0
**Facultatif :** True
**`errorMessage`**
Si la demande renvoie une erreur, description de l’erreur. Ce message inclut des messages relatifs à des échecs d'autorisation. CloudTrail capture le message enregistré par le service dans sa gestion des exceptions. Pour voir un exemple, consultez [Exemple de code d'erreur et de journal de messages](cloudtrail-log-file-examples.md#error-code-and-error-message).
Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu des champs n'est tronqué que si la charge utile des événements dépasse 1 Mo et que la taille maximale des champs est dépassée.
Pour les événements d'activité réseau, en cas de violation de la politique des points de terminaison VPC, le message suivant `errorMessage` sera toujours le suivant :. `The request was denied due to a VPC endpoint policy` Pour plus d'informations sur les événements de refus d'accès liés à des violations de la politique des points de terminaison VPC, consultez les [exemples de messages d'erreur de refus d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html#access-denied-error-examples) dans le guide de l'utilisateur *IAM*. Pour un exemple d'événement d'activité réseau illustrant une violation de la politique des points de terminaison VPC, consultez la section [Événements d'activité réseau](cloudtrail-events.md#network-event-example) de ce guide.
Certains AWS services fournissent les champs `errorCode` et `errorMessage` en tant que champs de haut niveau lors de l'événement. D’autres services AWS fournissent des informations d’erreur dans le cadre de `responseElements`.
**Depuis :** 1.0
**Facultatif :** True
**`requestParameters`**
Les paramètres, le cas échéant, qui ont été envoyées avec la demande. Ces paramètres sont documentés dans la documentation de référence de l'API pour le AWS service approprié. La taille maximale de ce champ est de 100 Ko. Lorsque la taille du champ dépasse 100 Ko, le `requestParameters` contenu est omis. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu du champ n'est omis que si la charge utile de l'événement dépasse 1 Mo et que la taille maximale du champ est dépassée.
**Depuis :** 1.0
**Facultatif :** False
**`responseElements`**
Les éléments de réponse, le cas échéant, pour les actions apportant des modifications (actions de création, de mise à jour ou de suppression). Car `readOnly` APIs, ce champ est`null`. Si l'action ne renvoie pas d'éléments de réponse, ce champ l'est`null`. Les éléments de réponse aux actions sont documentés dans la référence de l'API documentation pour le produit approprié Service AWS.
La taille maximale de ce champ est de 100 Ko. Lorsque la taille du champ dépasse 100 Ko, le `reponseElements` contenu est omis. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu du champ n'est omis que si la charge utile de l'événement dépasse 1 Mo et que la taille maximale du champ est dépassée.
La `responseElements` valeur est utile pour vous aider à suivre une demande avec AWS Support. Les deux `x-amz-request-id` et `x-amz-id-2` contiennent des informations qui vous aident à suivre une demande auprès de Support. Ces valeurs sont les mêmes que ceux que le service renvoie en réponse à la demande initie les événements, afin que vous puissiez les utiliser pour faire correspondre l'événement à demande.
**Depuis :** 1.0
**Facultatif :** False
**`additionalEventData`**
Des données supplémentaires sur l’événement qui ne faisaient pas partie de la demande ou de la réponse. La taille maximale de ce champ est de 28 Ko. Lorsque la taille du champ dépasse 28 Ko, le `additionalEventData` contenu est omis. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu du champ n'est omis que si la charge utile de l'événement dépasse 1 Mo et que la taille maximale du champ est dépassée.
Le contenu de `additionalEventData` est variable. Par exemple, pour les [événements de AWS Management Console connexion](cloudtrail-event-reference-aws-console-sign-in-events.md), vous `additionalEventData` pouvez inclure le `MFAUsed` champ avec une valeur indiquant `Yes` si la demande a été faite par un utilisateur root ou IAM à l'aide de l'authentification multifactorielle (MFA).
**Depuis :** 1.0
**Facultatif :** True
**`requestID`**
Valeur qui identifie la demande. Le service appelé génère cette valeur. Ce champ a une taille maximale de 1 Ko ; tout contenu dépassant cette limite est tronqué. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu des champs n'est tronqué que si la charge utile des événements dépasse 1 Mo et que la taille maximale des champs est dépassée.
**Depuis :** 1.01
**Facultatif :** True
**`eventID`**
GUID généré par CloudTrail pour identifier de manière unique chaque événement. Vous pouvez utiliser cette valeur pour identifier un événement unique. Par exemple, vous pouvez utiliser l’ID comme clé primaire pour récupérer les données des journaux à partir d’une base de données dans laquelle vous pouvez effectuer des recherches.
**Depuis :** 1.01
**Facultatif :** False
**`eventType`**
Identifie le type d’événement qui a généré l’enregistrement de l’événement. Il peut s’agir de l’une des valeurs suivantes :
+ `AwsApiCall` – Une API a été appelée.
+ `AwsServiceEvent` – Le service a généré un événement lié à votre journal d'activité. Par exemple, cela peut se produire lorsqu’un autre compte a effectué un appel avec une ressource dont vous êtes propriétaire.
+ `AwsConsoleAction` – Une action a été effectuée dans la console et qui n'était pas un appel d'API.
+ `AwsConsoleSignIn`— Un utilisateur de votre compte (root, IAM, fédéré, SAML ou SwitchRole) s'est connecté au. AWS Management Console
+ `AwsVpceEvents`— les événements d'activité CloudTrail réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Pour enregistrer les événements d'activité réseau, le propriétaire du point de terminaison VPC doit activer les événements d'activité réseau pour la source d'événements.
**Depuis :** 1.02
**Facultatif :** False
**`apiVersion`**
Identifie la version de l’API associée à la valeur `AwsApiCall` `eventType`.
**Depuis :** 1.01
**Facultatif :** True
**`managementEvent`**
Valeur booléenne qui identifie si l’événement est un événement de gestion. `managementEvent` s’affiche dans un enregistrement d’événement si `eventVersion` est la version 1.06 ou supérieure et que le type d’événement est l’un des types suivants :
+ `AwsApiCall`
+ `AwsConsoleAction`
+ `AwsConsoleSignIn`
+ `AwsServiceEvent`
**Depuis :** 1.06
**Facultatif :** True
**`readOnly`**
Identifie si cette opération est en lecture seule. Il peut s’agir de l’une des valeurs suivantes :
+ `true` – L’opération est en lecture seule (par exemple, `DescribeTrails`).
+ `false` – L’opération est en écriture seule (par exemple, `DeleteTrail`).
**Depuis :** 1.01
**Facultatif :** True
**`resources`**
Une liste des ressources consultées dans l'événement. Le champ peut contenir les informations suivantes :
+ Ressource ARNs
+ ID de compte du propriétaire de la ressource
+ Identifiant du type de ressource au format : `AWS::{{aws-service-name}}::{{data-type-name}}`
Par exemple, quand un événement `AssumeRole` est consigné, le champ `resources` peut apparaître comme ce qui suit :
+ ARN : `arn:aws:iam::123456789012:role/{{myRole}}`
+ ID de compte : `123456789012`
+ Identifiant du type de ressource : `AWS::IAM::Role`
Par exemple, les journaux contenant le `resources` champ sont répertoriés dans la section [Événement d'AWS STS API dans le fichier CloudTrail journal](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample) du *guide de l'utilisateur IAM* ou [journalisation des appels d' AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dans le *guide du AWS Key Management Service développeur*.
**Depuis :** 1.01
**Facultatif :** True
**`recipientAccountId`**
Représente l’ID du compte qui a reçu cet événement. L’élément `recipientAccountID` peut être différent de [CloudTrail Élément UserIdentity](cloudtrail-event-reference-user-identity.md) `accountId`. Cela peut se produire dans l’accès aux ressources entre comptes. Par exemple, si une clé CMK, également appelée [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), a été utilisée par un compte distinct pour appeler [l'API de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html), les valeurs `accountId` et `recipientAccountID` sont les mêmes pour l'événement livré au compte qui a effectué l'appel, mais elles sont différentes pour l'événement qui est livré au compte qui possède la clé CMK.
**Depuis :** 1.02
**Facultatif :** True
**`serviceEventDetails`**
Identifie l’événement de service, y compris ce qui le déclenche et le résultat. Pour de plus amples informations, veuillez consulter [Service AWS événements](non-api-aws-service-events.md). La taille maximale de ce champ est de 100 Ko. Lorsque la taille du champ dépasse 100 Ko, le `serviceEventDetails` contenu est omis. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu du champ n'est omis que si la charge utile de l'événement dépasse 1 Mo et que la taille maximale du champ est dépassée.
**Depuis :** 1.05
**Facultatif :** True
**`sharedEventID`**
GUID généré par CloudTrail pour identifier de manière unique les CloudTrail événements AWS d'une même action envoyée à différents AWS comptes.
Par exemple, lorsqu'un compte utilise un [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)compte appartenant à un autre compte, le compte qui a utilisé la clé KMS et le compte propriétaire de la clé KMS reçoivent des CloudTrail événements distincts pour la même action. Chaque CloudTrail événement organisé pour cette AWS action partage la même chose`sharedEventID`, mais possède également un `eventID` et unique`recipientAccountID`.
Pour de plus amples informations, veuillez consulter [Exemple de sharedEventID](#shared-event-ID).
Le `sharedEventID` champ n'est présent que lorsque les CloudTrail événements sont transmis à plusieurs comptes. Si le mandataire et le propriétaire sont le même compte AWS , CloudTrail envoie un seul événement et le champ `sharedEventID` n'est pas présent.
**Depuis :** 1.03
**Facultatif :** True
**`vpcEndpointId`**
Identifie le point de terminaison du VPC dans lequel les demandes ont été adressées par un VPC à un autre AWS service, tel qu'Amazon. EC2
Pour les événements créés par AWS et via le VPC Service AWS d'un utilisateur, ce champ correspond généralement au `AWS Internal` nom du service.
**Depuis :** 1.04
**Facultatif :** True
**`vpcEndpointAccountId`**
Identifie l' Compte AWS ID du propriétaire du point de terminaison VPC pour le point de terminaison correspondant pour lequel une demande a été transmise.
Pour les événements créés par AWS et via le VPC Service AWS d'un utilisateur, ce champ correspond généralement au `AWS Internal` nom du service.
**Depuis :** 1.09
**Facultatif :** True
**`eventCategory`**
Affiche la catégorie de l'événement. La catégorie d'événement est utilisée dans les [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)appels pour filtrer les événements de gestion.
+ Pour les événements de gestion, la valeur est `Management`.
+ Pour les événements de données, la valeur est `Data`.
+ Pour les événements liés à l'activité du réseau, la valeur est`NetworkActivity`.
**Depuis :** 1.07
**Facultatif :** False
**`addendum`**
Si la livraison d'un événement a été retardée ou si des informations supplémentaires sur un événement existant sont disponibles après l'enregistrement de l'événement, un champ addenda affiche des informations sur les raisons pour lesquelles l'événement a été retardé. Si des informations manquaient dans un événement existant, le champ addenda inclut les informations manquantes et une raison pour laquelle elles étaient manquantes. Le contenu comprend les éléments suivants :
+ **`reason`** - La raison pour laquelle l'événement ou une partie de son contenu était manquant. Il peut s'agir de l'une des valeurs suivantes :
+ **`DELIVERY_DELAY`** – Il y a eu un retard de livraison des événements. Cela peut être dû à un trafic réseau élevé, à des problèmes de connectivité ou à un problème CloudTrail de service.
+ **`UPDATED_DATA`** – Un champ de l'enregistrement d'événement manquait ou comportait une valeur incorrecte.
+ **`SERVICE_OUTAGE`**— Un service qui enregistre les événements en CloudTrail cas de panne et qui n'a pas pu les enregistrer CloudTrail. Ceci est extrêmement rare.
+ **`updatedFields`** - Les champs d'enregistrement d'événement mis à jour par l'addenda. Ceci n'est fourni que si la raison est `UPDATED_DATA`.
+ **`originalRequestID`** - ID unique d'origine de la demande. Ceci n'est fourni que si la raison est `UPDATED_DATA`.
+ **`originalEventID`** - ID d'événement d'origine. Ceci n'est fourni que si la raison est `UPDATED_DATA`.
**Depuis :** 1.08
**Facultatif :** True
**`sessionCredentialFromConsole`**
Chaîne dont la valeur `false` est `true` ou qui indique si un événement provient d'une AWS Management Console session. Ce champ n'est pas affiché sauf si la valeur est `true`, ce qui signifie que le client utilisé pour effectuer l'appel d'API était soit un proxy, soit un client externe. Si un client proxy a été utilisé, le champ d'événement `tlsDetails` n'est pas affiché.
**Depuis :** 1.08
**Facultatif :** True
**`eventContext`**
Ce champ est présent dans les événements enrichis enregistrés pour les magasins de données d'événements configurés pour inclure des clés de balise de ressource ou des clés de condition globales IAM. Pour de plus amples informations, veuillez consulter [Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM](cloudtrail-context-events.md).
Le contenu inclut les éléments suivants :
+ `requestContext`— Inclut des informations sur les clés de condition globales IAM qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.
+ `tagContext`— Inclut les balises associées aux ressources impliquées dans l'appel d'API ainsi que les balises associées aux principes IAM tels que les rôles ou les utilisateurs. Pour plus d'informations, consultez la section [Contrôle de l'accès pour les principaux IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals).
Les événements d'API liés aux ressources supprimées ne comporteront pas de balises de ressources.
Le `eventContext` champ n'est présent que dans les événements pour les magasins de données d'événements configurés pour inclure des clés de balise de ressource et des clés de condition globales IAM. Les événements transmis à **l'historique des événements**, Amazon EventBridge, visibles à l'aide de la AWS CLI `lookup-events` commande et transmis aux sentiers, n'incluront pas le `eventContext` champ.
**Depuis :** 1.11
**Facultatif :** True
**`edgeDeviceDetails`**
Affiche des informations sur les périphériques cibles d'une demande. Actuellement, les événements du périphérique [https://aws.amazon.com/s3/outposts/](https://aws.amazon.com/s3/outposts/) incluent ce champ. Ce champ a une taille maximale de 28 Ko ; tout contenu dépassant cette limite est tronqué. Pour les magasins de données d'événements configurés pour avoir une taille d'événement maximale de 1 Mo, le contenu des champs n'est tronqué que si la charge utile des événements dépasse 1 Mo et que la taille maximale des champs est dépassée.
**Depuis :** 1.08
**Facultatif :** True
**`tlsDetails`**
Affiche des informations sur la version TLS (Transport Layer Security), les suites de chiffrement et le nom de domaine complet (FQDN) du nom d'hôte fourni par le client utilisé dans l'appel d'API de service, qui est généralement le nom de domaine complet du point de terminaison du service. CloudTrailenregistre toujours des informations TLS partielles si les informations attendues sont manquantes ou vides. Par exemple, si la version TLS et la suite de chiffrement sont présentes, mais que l'`HOST`en-tête est vide, les détails TLS disponibles sont toujours enregistrés dans l'événement. CloudTrail
+ **`tlsVersion`** : La version TLS d’une demande.
+ **`cipherSuite`** : La suite de chiffrement (combinaison d’algorithmes de sécurité utilisés) d’une requête.
+ **`clientProvidedHostHeader`** : Le nom d’hôte fourni par le client utilisé dans l’appel d’API de service, qui est généralement le nom de domaine pleinement qualifié (FQDN) du point de terminaison du service.
+ **`keyExchange`**- La méthode d'échange de clés utilisée dans le handshake TLS. Ce champ indique si la connexion a utilisé la cryptographie classique ou la cryptographie post-quantique. Les exemples de valeurs incluent `X25519MLKEM768` le TLS 1.3 post-quantique, le `x25519` TLS 1.3 classique et `secp256r1` le TLS 1.2.
Dans certains cas, le champ `tlsDetails` n'est pas présent dans un enregistrement d'événement.
+ Le `tlsDetails` champ n'est pas présent si l'appel d'API a été effectué par un Service AWS utilisateur en votre nom. Le champ `invokedBy` de l'élément `userIdentity` identifie l' Service AWS qui a effectué l'appel d'API.
+ Si `sessionCredentialFromConsole` est présent avec la valeur true, `tlsDetails` est présent dans un enregistrement d'événement uniquement si un client externe a été utilisé pour effectuer l'appel d'API.
**Depuis :** 1.08
**Facultatif :** True
## Ordre de troncature des champs pour une taille d'événement maximale de 1 Mo
Vous pouvez étendre la taille maximale des événements de 256 Ko à 1 Mo lorsque vous créez ou mettez à jour un magasin de données d'événements à l'aide de la [CloudTrail console [AWS CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)](query-event-data-store-cloudtrail.md), et SDKs.
L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs qui seraient normalement tronqués ou omis.
Lorsque la charge utile de l'événement dépasse 1 Mo, CloudTrail tronque les champs dans l'ordre suivant :
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `eventContext`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Si la charge utile d'un événement ne peut pas être réduite à moins de 1 Mo, même après troncature, une erreur se produira.
## Exemple de sharedEventID
L'exemple suivant décrit comment CloudTrail délivre deux événements pour la même action :
1. Alice possède un AWS compte (111111111111) et crée un. AWS KMS key Elle est propriétaire de cette clé KMS.
1. Bob a un AWS compte (222222222222). Alice donne à Bob l'autorisation d'utiliser la clé KMS.
1. Chaque compte a un journal de suivi et un compartiment distinct.
1. Bob utilise la clé KMS pour appeler l'API `Encrypt`.
1. CloudTrail envoie deux événements distincts.
+ Un événement est envoyé à Bob. L'événement montre que Bob a utilisé la clé KMS.
+ Un deuxième événement est envoyé à Alice. L'événement montre que Bob a utilisé la clé KMS.
+ Les événements ont les mêmes `sharedEventID`, mais les `eventID` et `recipientAccountID` sont uniques.
