Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete
Questa pagina descrive il contenuto dei record di un evento di gestione, dati o attività di rete.
Il corpo del record contiene i campi che consentono di determinare l'azione richiesta, nonché quando e dove la richiesta è stata effettuata. Quando il valore di **Optional** è **True**, il campo è presente solo quando si applica al servizio, all'API o al tipo di evento. Un valore **Optional** (Facoltativo) di **False** indica che il campo è sempre presente o che la sua presenza non dipende dal servizio, dall'API o dal tipo di evento. Un esempio è `responseElements`, presente negli eventi per operazioni che comportano modifiche (operazioni di creazione, aggiornamento o eliminazione).
**Nota**
I campi per eventi arricchiti, ad esempio, `eventContext` sono disponibili solo per gli eventi di gestione e gli eventi relativi ai dati. Non sono disponibili per gli eventi di rete.
**`eventTime`**
Data e ora in cui è stata completata la richiesta in formato UTC (Coordinated Universal Time). La marca temporale di un evento proviene dall'host locale che fornisce l'endpoint API del servizio su cui è stata effettuata la chiamata API. Ad esempio, un evento **CreateBucket** API eseguito nella regione Stati Uniti occidentali (Oregon) otterrà il timestamp dall'ora in cui si trova su un AWS host che esegue l'endpoint Amazon S3,. `s3.us-west-2.amazonaws.com` In generale, AWS i servizi utilizzano Network Time Protocol (NTP) per sincronizzare gli orologi di sistema.
**Since:** 1.0
**Optional:** False
**`eventVersion`**
Versione del formato dell'evento di log. La versione attuale è la 1.11.
Il `eventVersion` valore è una versione principale e secondaria nel modulo{{major\_version}}. {{minor\_version}}. Ad esempio, puoi avere un valore `eventVersion` di `1.10`, dove `1` è la versione principale e `10` è la versione secondaria.
CloudTrail incrementa la versione principale se viene apportata una modifica alla struttura degli eventi che non è compatibile con le versioni precedenti. Ciò include la rimozione di un campo JSON già esistente o la modifica della modalità di rappresentazione del contenuto di un campo (ad esempio, un formato di data). CloudTrail incrementa la versione secondaria se una modifica aggiunge nuovi campi alla struttura dell'evento. Questo può verificarsi se sono disponibili nuove informazioni per alcuni o tutti gli eventi esistenti oppure se sono disponibili nuove informazioni solo per novi tipi di eventi. Le applicazioni possono ignorare i nuovi campi per rimanere compatibili con le nuove versioni secondarie della struttura dell'evento.
Se CloudTrail introduce nuovi tipi di eventi, ma la struttura dell'evento rimane invariata, la versione dell'evento non cambia.
Per essere certi che le applicazioni possano analizzare la struttura dell'evento, è consigliabile eseguire un confronto "uguale a" sul numero della versione principale. Per essere sicuri che i campi previsti dall'applicazione esistano, consigliamo anche di eseguire un confronto greater-than-or-equal -to sulla versione secondaria. Non sono presenti zeri iniziali nella versione secondaria. È possibile interpretare entrambi {{major\_version}} e {{minor\_version}} come numeri ed eseguire operazioni di confronto.
**Since:** 1.0
**Optional:** False
**`userIdentity`**
Informazioni relative all'identità IAM che ha effettuato una richiesta. Per ulteriori informazioni, consulta [CloudTrail elemento userIdentity](cloudtrail-event-reference-user-identity.md).
**Since:** 1.0
**Optional:** False
**`eventSource`**
Servizio a cui è stata eseguita la richiesta. Questo nome è in genere la versione abbreviata del nome del servizio senza spazi e con il suffisso `.amazonaws.com`. Esempio:
+ CloudFormation è`cloudformation.amazonaws.com`.
+ Amazon EC2 lo è`ec2.amazonaws.com`.
+ Amazon Simple Workflow Service è `swf.amazonaws.com`.
Questa convenzione è caratterizzata da alcune eccezioni. Ad esempio, `eventSource` per Amazon CloudWatch è`monitoring.amazonaws.com`.
**Since:** 1.0
**Optional:** False
**`eventName`**
Operazione richiesta, che è una delle operazioni nell'API per il servizio specifico.
**Since:** 1.0
**Optional:** False
**`awsRegion`**
Il Regione AWS destinatario della richiesta, ad esempio`us-east-2`. Per informazioni, consulta [CloudTrail Regioni supportate](cloudtrail-supported-regions.md).
**Since:** 1.0
**Optional:** False
**`sourceIPAddress`**
Indirizzo IP da cui è stata effettuata la richiesta. Per le operazioni che hanno origine dalla console del servizio, l'indirizzo rilevato fa riferimento alla risorsa cliente sottostante, non al server Web della console. Per i servizi in AWS, viene visualizzato solo il nome DNS.
Per gli eventi generati da AWS, questo campo è in genere `AWS Internal/{{#}}`, dove `{{#}}` rappresenta un numero utilizzato per scopi interni.
**Since:** 1.0
**Optional:** False
**`userAgent`**
L'agente tramite il quale è stata effettuata la richiesta, ad esempio il Console di gestione AWS, un AWS servizio, il AWS SDKs o il AWS CLI.
Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene troncato solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
Di seguito sono riportati i valori di esempio:
+ `lambda.amazonaws.com` - La richiesta è stata effettuata con AWS Lambda.
+ `aws-sdk-java` - La richiesta è stata effettuata con AWS SDK per Java.
+ `aws-sdk-ruby` - La richiesta è stata effettuata con AWS SDK per Ruby.
+ `aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5`— La richiesta è stata effettuata con l'installazione su Linux. AWS CLI
Per gli eventi generati da AWS, se CloudTrail sa chi Servizio AWS ha effettuato la chiamata, questo campo è l'origine dell'evento del servizio chiamante (ad esempio,`ec2.amazonaws.com`). Altrimenti, questo campo è `AWS Internal/{{#}}` dove si `{{#}}` trova un numero utilizzato per scopi interni.
**Since:** 1.0
**Optional:** True
**`errorCode`**
L'errore di AWS servizio se la richiesta restituisce un errore. Per un esempio che mostra questo campo, consulta [Esempio di codice di errore e log dei messaggi](cloudtrail-log-file-examples.md#error-code-and-error-message).
Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene troncato solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
Per gli eventi di attività di rete, in caso di violazione delle policy degli endpoint VPC, il codice di errore è. `VpceAccessDenied`
**Since:** 1.0
**Optional:** True
**`errorMessage`**
Descrizione dell'errore, se la richiesta restituisce un errore. Questo messaggio include messaggi relativi a errori di autorizzazione. CloudTrail acquisisce il messaggio registrato dal servizio nella gestione delle eccezioni. Per vedere un esempio, consulta [Esempio di codice di errore e log dei messaggi](cloudtrail-log-file-examples.md#error-code-and-error-message).
Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene troncato solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
Per gli eventi di attività di rete, in caso di violazione della policy degli endpoint VPC, `errorMessage` verrà sempre visualizzato il seguente messaggio:. `The request was denied due to a VPC endpoint policy` Per ulteriori informazioni sugli eventi di accesso negato per le violazioni delle policy degli endpoint VPC, consulta [Esempi di messaggi di errore di accesso negato](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html#access-denied-error-examples) nella *IAM* User Guide. Per un esempio di evento di attività di rete che mostra una violazione delle policy degli endpoint VPC, consulta [Eventi di attività di rete](cloudtrail-events.md#network-event-example) in questa guida.
Alcuni AWS servizi forniscono gli `errorCode` e `errorMessage` come campi di primo livello nell'evento. Altri servizi AWS restituiscono informazioni di errore come parte di `responseElements`.
**Since:** 1.0
**Optional:** True
**`requestParameters`**
Eventuali parametri stati inviati assieme alla richiesta. Questi parametri sono documentati nella documentazione di riferimento dell'API per il servizio appropriato AWS . Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il `requestParameters` contenuto viene omesso. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene omesso solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
**Since:** 1.0
**Optional:** False
**`responseElements`**
Gli eventuali elementi di risposta per le azioni che apportano modifiche (azioni di creazione, aggiornamento o eliminazione). Per `readOnly` APIs, questo campo è`null`. Se l'azione non restituisce elementi di risposta, questo campo è`null`. Gli elementi di risposta per le azioni sono documentati nel riferimento all'API documentazione appropriata Servizio AWS.
Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il `reponseElements` contenuto viene omesso. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene omesso solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
Il `responseElements` valore è utile per aiutarti a tracciare una richiesta con Supporto AWS. Entrambi `x-amz-request-id` e `x-amz-id-2` contengono informazioni che consentono di tracciare una richiesta con Supporto. Questi valori sono uguali a quelli che il servizio restituisce nella risposta alla richiesta che avvia gli eventi, quindi puoi usarli per abbinare l'evento al richiesta.
**Since:** 1.0
**Optional:** False
**`additionalEventData`**
Dati aggiuntivi sull'evento non facenti parte della richiesta o della risposta. Questo campo ha una dimensione massima di 28 KB. Quando la dimensione del campo supera i 28 KB, il `additionalEventData` contenuto viene omesso. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene omesso solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
Il contenuto di è variabile. `additionalEventData` Ad esempio, per [gli eventi di Console di gestione AWS accesso](cloudtrail-event-reference-aws-console-sign-in-events.md), `additionalEventData` potrebbe includere il `MFAUsed` campo con il valore `Yes` se la richiesta è stata effettuata da un utente root o IAM utilizzando l'autenticazione a più fattori (MFA).
**Since:** 1.0
**Optional:** True
**`requestID`**
Valore che identifica la richiesta. Il servizio chiamato genera questo valore. Questo campo ha una dimensione massima di 1 KB. Il contenuto che supera tale limite viene troncato. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene troncato solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
**Since:** 1.01
**Optional:** True
**`eventID`**
GUID generato da per identificare in modo univoco ogni evento. CloudTrail Puoi utilizzare questo valore per identificare un singolo evento. Ad esempio, puoi utilizzare l'ID come chiave primaria per recuperare i dati di log da un database ricercabile.
**Since:** 1.01
**Optional:** False
**`eventType`**
Identifica il tipo di evento che ha generato il record dell'evento. Può essere uno dei seguenti valori:
+ `AwsApiCall` - Un'API è stata chiamata.
+ `AwsServiceEvent` - Il servizio ha generato un evento correlato al percorso. Ad esempio, ciò si può verificare quando un altro account ha effettuato una chiamata con una risorsa di tua proprietà.
+ `AwsConsoleAction` - Nella console è stata eseguita un'azione che non era una chiamata API.
+ `AwsConsoleSignIn`— Un utente del tuo account (root, IAM, federated, SAML o SwitchRole) ha effettuato l'accesso a. Console di gestione AWS
+ `AwsVpceEvents`— gli eventi di attività di CloudTrail rete consentono ai proprietari di endpoint VPC di registrare le chiamate AWS API effettuate utilizzando i propri endpoint VPC da un VPC privato a. Servizio AWS Per registrare gli eventi di attività di rete, il proprietario dell'endpoint VPC deve abilitare gli eventi di attività di rete per l'origine dell'evento.
**Since:** 1.02
**Optional:** False
**`apiVersion`**
Identifica la versione API associata al valore `AwsApiCall` `eventType`.
**Since:** 1.01
**Optional:** True
**`managementEvent`**
Un valore booleano che identifica se l'evento è un evento di gestione. `managementEvent` viene mostrato in un record di eventi se `eventVersion` è 1.06 o superiore e il tipo di evento è uno dei seguenti:
+ `AwsApiCall`
+ `AwsConsoleAction`
+ `AwsConsoleSignIn`
+ `AwsServiceEvent`
**Since:** 1.06
**Optional:** True
**`readOnly`**
Identifica se questa operazione è un'operazione di sola lettura. Può essere uno dei seguenti valori:
+ `true` - L'operazione è di sola lettura (ad esempio, `DescribeTrails`).
+ `false` - L'operazione è di sola scrittura (ad esempio, `DeleteTrail`).
**Since:** 1.01
**Optional:** True
**`resources`**
Elenco delle risorse a cui è stato eseguito l'accesso nell'evento. Il campo può contenere le informazioni seguenti:
+ Risorsa ARNs
+ ID account del proprietario delle risorse
+ Identificatore del tipo di risorsa nel formato: `AWS::{{aws-service-name}}::{{data-type-name}}`
Ad esempio, quando viene registrato un evento `AssumeRole`, il campo `resources` può avere il seguente aspetto:
+ ARN: `arn:aws:iam::123456789012:role/{{myRole}}`
+ ID account: `123456789012`
+ Identificatore del tipo di risorsa: `AWS::IAM::Role`
Ad esempio, i log con il `resources` campo, consulta [AWS STS API Event in CloudTrail Log File nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample) *IAM User Guide* o [Logging AWS KMS API Calls](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) nella *AWS Key Management Service Developer* Guide.
**Since:** 1.01
**Optional:** True
**`recipientAccountId`**
Rappresenta l'ID dell'account che ha ricevuto questo evento. `recipientAccountID` può essere diverso da [CloudTrail elemento userIdentity](cloudtrail-event-reference-user-identity.md) `accountId`. Questo può verificarsi nell'accesso alle risorse da più account. Ad esempio, se una chiave KMS, definita anche [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), è stata utilizzata da un account diverso per chiamare l'[API di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html), i valori `accountId` e `recipientAccountID` sono uguali per l'evento distribuito all'account che ha effettuato la chiamata, ma sono diversi per l'evento distribuito all'account proprietario della chiave KMS.
**Since:** 1.02
**Optional:** True
**`serviceEventDetails`**
Identifica l'evento del servizio, incluso l'elemento che ha attivato l'evento e il risultato. Per ulteriori informazioni, consulta [Servizio AWS eventi](non-api-aws-service-events.md). Questo campo ha una dimensione massima di 100 KB. Quando la dimensione del campo supera i 100 KB, il `serviceEventDetails` contenuto viene omesso. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene omesso solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
**Since:** 1.05
**Optional:** True
**`sharedEventID`**
GUID generato da CloudTrail per identificare in modo univoco CloudTrail gli eventi della stessa AWS azione che vengono inviati a diversi account. AWS
Ad esempio, quando un account utilizza un account [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)che appartiene a un altro account, l'account che ha utilizzato la chiave KMS e l'account che possiede la chiave KMS ricevono CloudTrail eventi separati per la stessa azione. Ogni CloudTrail evento fornito per questa AWS azione è lo stesso`sharedEventID`, ma ha anche un unico `eventID` e. `recipientAccountID`
Per ulteriori informazioni, consulta [Esempio di sharedEventID](#shared-event-ID).
Il `sharedEventID` campo è presente solo quando CloudTrail gli eventi vengono consegnati a più account. Se l'autore della chiamata e il proprietario sono lo stesso account AWS , CloudTrail invia solo un evento e il campo `sharedEventID` non è presente.
**Since:** 1.03
**Optional:** True
**`vpcEndpointId`**
Identifica l'endpoint VPC in cui sono state effettuate le richieste da un VPC a un altro AWS servizio, come Amazon. EC2
Per gli eventi generati da AWS e tramite il VPC Servizio AWS di un utente, questo campo è in `AWS Internal` genere o il nome del servizio.
**Since:** 1.04
**Optional:** True
**`vpcEndpointAccountId`**
Identifica l' Account AWS ID del proprietario dell'endpoint VPC per l'endpoint corrispondente per il quale è stata inoltrata una richiesta.
Per gli eventi generati da AWS e tramite il VPC Servizio AWS di un utente, questo campo è in `AWS Internal` genere o il nome del servizio.
**Dal**: 1.09
**Optional:** True
**`eventCategory`**
Mostra la categoria dell'evento. La categoria di eventi viene utilizzata nelle [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)chiamate per filtrare gli eventi di gestione.
+ Per gli eventi di gestione, il valore è `Management`.
+ Per gli eventi di dati, il valore è `Data`.
+ Per gli eventi di attività di rete, il valore è`NetworkActivity`.
**Since:** 1.07
**Optional:** False
**`addendum`**
Se la consegna di un evento ha subito un ritardo o se diventano disponibili ulteriori informazioni su un evento esistente dopo la registrazione dell'evento, un campo addendum mostra informazioni sul motivo per cui l'evento ha subito un ritardo. Se mancavano informazioni da un evento esistente, il campo addendum include le informazioni mancanti e un motivo per cui mancavano. Il contenuto include quanto segue.
+ **`reason`** - Il motivo per cui l'evento o alcuni dei suoi contenuti mancavano. I valori possono essere uno dei seguenti.
+ **`DELIVERY_DELAY`** - La consegna degli eventi ha subito un ritardo. Ciò potrebbe essere causato da un elevato traffico di rete, da problemi di connettività o da un problema CloudTrail di servizio.
+ **`UPDATED_DATA`** - Un campo nel record dell'evento mancava o aveva un valore non corretto.
+ **`SERVICE_OUTAGE`**— Un servizio che registra gli eventi CloudTrail ha subito un'interruzione e su cui non è possibile registrare gli eventi. CloudTrail Questo è eccezionalmente raro.
+ **`updatedFields`** - I campi record di evento aggiornati dall'addendum. Questo è fornito solo se il motivo è `UPDATED_DATA`.
+ **`originalRequestID`** - L'ID univoco originale della richiesta. Questo è fornito solo se il motivo è `UPDATED_DATA`.
+ **`originalEventID`** - L'ID evento originale. Questo è fornito solo se il motivo è `UPDATED_DATA`.
**Since:** 1.08
**Optional:** True
**`sessionCredentialFromConsole`**
Stringa con un valore di `true` o `false` che mostra se un evento ha avuto origine o meno da una sessione. Console di gestione AWS Questo campo non viene visualizzato a meno che il valore sia `true`, che indica che il client utilizzato per effettuare la chiamata API era un proxy o un client esterno. Se è stato utilizzato un client proxy, il campo dell'evento `tlsDetails` non viene visualizzato.
**Since:** 1.08
**Optional:** True
**`eventContext`**
Questo campo è presente negli eventi arricchiti registrati per gli archivi di dati di eventi che sono stati configurati per includere chiavi di tag di risorsa o chiavi di condizione globali IAM. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
I contenuti includono quanto segue:
+ `requestContext`— Include informazioni sulle chiavi delle condizioni globali IAM che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
+ `tagContext`— Include i tag associati alle risorse coinvolte nella chiamata API e i tag associati ai principali IAM come ruoli o utenti. Per ulteriori informazioni, consulta [Controlling access for IAM principals](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals).
Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa.
Il `eventContext` campo è presente solo negli eventi per gli archivi di dati di eventi configurati per includere chiavi di tag di risorsa e chiavi di condizione globali IAM. Gli eventi inviati a **Event history**, Amazon EventBridge, visualizzabili con il AWS CLI `lookup-events` comando e consegnati ai trail, non includeranno il `eventContext` campo.
**Dal: 1.11**
**Optional:** True
**`edgeDeviceDetails`**
Mostra informazioni sui dispositivi edge che sono destinazioni di una richiesta. Attualmente, gli eventi dei dispositivi [https://aws.amazon.com/s3/outposts/](https://aws.amazon.com/s3/outposts/) includono questo campo. Questo campo ha una dimensione massima di 28 KB. Il contenuto che supera tale limite viene troncato. Per gli archivi dati di eventi configurati per avere una dimensione massima di 1 MB, il contenuto del campo viene troncato solo se il payload dell'evento supera 1 MB e viene superata la dimensione massima del campo.
**Since:** 1.08
**Optional:** True
**`tlsDetails`**
Mostra informazioni sulla versione Transport Layer Security (TLS), sulle suite di crittografia e sul nome di dominio completo (FQDN) del nome host fornito dal client utilizzato nella chiamata all'API di servizio, che in genere è il nome di dominio completo dell'endpoint del servizio. CloudTrailregistra comunque i dettagli TLS parziali se le informazioni previste sono mancanti o vuote. Ad esempio, se la versione TLS e la suite di crittografia sono presenti, ma l'`HOST`intestazione è vuota, i dettagli TLS disponibili vengono comunque registrati nell'evento. CloudTrail
+ **`tlsVersion`** - La versione TLS di una richiesta.
+ **`cipherSuite`** - La suite di crittografia (combinazione di algoritmi di sicurezza utilizzati) di una richiesta.
+ **`clientProvidedHostHeader`**: il nome host fornito dal client utilizzato nella chiamata API del servizio, che in genere è il nome di dominio completo dell'endpoint del servizio.
+ **`keyExchange`**- Il metodo di scambio di chiavi utilizzato nell'handshake TLS. Questo campo indica se la connessione ha utilizzato la crittografia classica o la crittografia post-quantistica. I valori di `X25519MLKEM768` esempio includono TLS 1.3 post-quantistico, `x25519` TLS 1.3 classico e TLS 1.2. `secp256r1`
In alcuni casi il campo `tlsDetails` non è presente in un record di eventi.
+ Il `tlsDetails` campo non è presente se la chiamata API è stata effettuata da un utente per conto dell'utente. Servizio AWS Il campo `invokedBy` nell'elemento `userIdentity` identifica il Servizio AWS che ha effettuato la chiamata API.
+ Se `sessionCredentialFromConsole` è presente con un valore true, `tlsDetails` è presente in un record di eventi solo se per effettuare la chiamata API è stato utilizzato un client esterno.
**Since:** 1.08
**Optional:** True
## Ordine di troncamento dei campi per una dimensione massima dell'evento di 1 MB
È possibile espandere la dimensione massima dell'evento da 256 KB a 1 MB quando si crea o si aggiorna un archivio dati di eventi utilizzando la [CloudTrail console](query-event-data-store-cloudtrail.md) e. [AWS CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration) SDKs
L'espansione della dimensione dell'evento è utile per l'analisi e la risoluzione dei problemi degli eventi, poiché consente di visualizzare il contenuto completo dei campi che normalmente verrebbero troncati o omessi.
Quando il payload dell'evento supera 1 MB, CloudTrail tronca i campi nel seguente ordine:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `eventContext`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Se il payload di un evento non può essere ridotto a meno di 1 MB anche dopo il troncamento, si verificherà un errore.
## Esempio di sharedEventID
Di seguito è riportato un esempio che descrive come CloudTrail fornisce due eventi per la stessa azione:
1. Alice ha un AWS account (1111) e crea un AWS KMS key. È proprietaria di questa chiave KMS.
1. Bob ha un AWS account (222222222222). Alice concede a Bob l'autorizzazione per utilizzare la chiave KMS.
1. Ogni account dispone di un trail e di un bucket distinto.
1. Bob usa la chiave KMS per chiamare l'API `Encrypt`.
1. CloudTrail invia due eventi separati.
+ Un evento viene inviato a Bob. L'evento mostra che ha utilizzato la chiave KMS.
+ Un evento viene inviato ad Alice. L'evento mostra che Bob ha utilizzato la chiave KMS.
+ Gli eventi hanno lo stesso valore di `sharedEventID`, ma i valori `eventID` e `recipientAccountID` sono univoci.
