CloudTrail protokollieren Sie den Inhalt von Insights-Ereignissen für Trails - AWS CloudTrail
Beispiel-insightDetails-Block

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail protokollieren Sie den Inhalt von Insights-Ereignissen für Trails

AWS CloudTrail Insights-Ereignisdatensätze für Trails enthalten Felder, die sich von anderen CloudTrail Ereignissen in ihrer JSON-Struktur unterscheiden, diese werden manchmal Nutzlast genannt. CloudTrail Insights-Ereignisse für Trails enthalten die folgenden Felder:

  • eventVersion— Die Version des Ereignisses.

    Seit: 1.07

    Optional: False

  • eventType— Der Ereignistyp. Der Wert gilt immer AwsCloudTrailInsight für Insights-Ereignisse.

    Seit: 1.07

    Optional: False

  • eventID— Von generierte GUID CloudTrail zur eindeutigen Identifizierung jedes Ereignisses. Sie können diesen Wert verwenden, um ein einzelnes Ereignis zu identifizieren. Beispiel: Sie können die ID als Primärschlüssel zum Abrufen von Protokolldaten aus einer durchsuchbaren Datenbank verwenden.

    Seit: 1.07

    Optional: False

  • eventTime— Die Uhrzeit, zu der das Insights-Ereignis gestartet oder beendet wurde, in koordinierter Weltzeit (UTC).

    Seit: 1.07

    Optional: False

  • awsRegion— Der AWS-Region Ort, an dem das Insights-Ereignis eingetreten ist, z. us-east-2 B.

    Seit: 1.07

    Optional: False

  • recipientAccountId— Repräsentiert die Konto-ID des, das das das das das das das das Ereignis empfangen hat.

    Seit: 1.07

    Optional: Wahr

  • sharedEventID— Eine GUID, die von CloudTrail Insights generiert wird, um ein Insights-Ereignis eindeutig zu identifizieren. sharedEventIDwird häufig zwischen Insights-Start- und -Endereignissen verwendet und dient zum Verbinden der beiden Ereignisse, um ungewöhnliche Aktivitäten eindeutig identifizieren zu können. Sie können sich die sharedEventID als allgemeine ID für Insights-Ereignisse vorstellen.

    Seit: 1.07

    Optional: False

  • insightDetails— Ein CloudTrail Insights-Ereignisdatensatz für einen Trail enthält einen insightDetails Block, der Informationen zu den zugrunde liegenden Auslösern eines Insights-Ereignisses enthält, z. B. Ereignisquelle, Benutzeridentitäten, Benutzeragenten, historische Durchschnitte oder Baselines, Statistiken, API-Name und ob es sich bei dem Ereignis um den Beginn oder das Ende des Insights-Ereignisses handelt.

    Seit: 1.07

    Optional: False

    • state— Ob das Ereignis das Start- oder End-Insights-Ereignis ist. Dabei kann es sich um den Wert Start oder End handeln.

      Seit: 1.07

      Optional: False

    • eventSource— Der AWS Dienst, der die Quelle der ungewöhnlichen Aktivität war, wie ec2.amazonaws.com z.

      Seit: 1.07

      Optional: False

    • eventName— Der Name des Insights-Ereignisses, normalerweise der Name der API, die die Quelle der ungewöhnlichen Aktivität war.

      Seit: 1.07

      Optional: False

    • insightType— Der Typ des Insights-Ereignisses. Dabei kann es sich um den Wert ApiCallRateInsight oder ApiErrorRateInsight handeln.

      Seit: 1.07

      Optional: False

    • errorCode— Der Fehlercode der ungewöhnlichen Aktivität. Siehe auch errorCode in CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen.

      Seit: 1.07

      Optional: Wahr

    • insightContext— Informationen zu den AWS -Tools (Benutzeragenten), IAM-Benutzern und -Rollen (Benutzeridentitäten) und Fehlercodes im Zusammenhang mit den Ereignissen, die CloudTrail analysiert wurden, um das Insights-Ereignis zu generieren. Dieses Element enthält auch Statistiken, die zeigen, wie die ungewöhnliche Aktivität in einem Insights-Ereignis im Vergleich zum Ausgangswert oder der normalen Aktivität abschneidet.

      Seit: 1.07

      Optional: False

      • statistics— Enthält Daten über den Ausgangswert oder die typische durchschnittliche durchschnittliche durchschnittliche durchschnittliche Rate der Aufrufe oder Fehler der Subject-API durch ein Konto, gemessen während des Ausgangszeitraums, die durchschnittliche Rate der Aufrufe oder Fehler, die das Insights-Ereignis ausgelöst haben, die Dauer des Insights-Ereignisses in Minuten und die Dauer des Ausgangswert-Messzeitraums in Minuten.

        Seit: 1.07

        Optional: False

        • baseline— Die API-Aufrufe oder -Fehler pro Minute während der Ausgangswert-Dauer der Themen-API des Insights-Ereignisses für das Konto, berechnet über die sieben Tage vor dem Start des Insights-Ereignisses.

          Seit: 1.07

          Optional: False

          • average— Der historische Durchschnitt der API-Aufrufe oder -Fehler pro Minute während der sieben Tage vor der sieben Tage vor der Startzeit der Insights-Aktivität.

            Seit: 1.07

            Optional: False

        • insight— Für ein beginnendes Insights-Ereignis ist dieser Wert die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern pro Minute während des Starts der ungewöhnlichen Aktivität. Für ein endendes Insights-Ereignis ist dieser Wert die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern pro Minute über die Dauer der ungewöhnlichen Aktivität.

          Seit: 1.07

          Optional: False

          • average— Die durchschnittliche Anzahl der API-Aufrufe oder protokollierten Fehler pro Minute während des ungewöhnlichen Aktivitätszeitraums.

            Seit: 1.07

            Optional: False

        • insightDuration— Die Dauer eines Insights-Ereignisses in Minuten (der Zeitraum vom Beginn bis zum Ende einer ungewöhnlichen Aktivität in der betreffenden API). insightDurationtritt sowohl in beginnenden als auch in beendenden Insights-Ereignissen auf.

          Seit: 1.07

          Optional: False

        • baselineDuration— Die Dauer des Ausgangswert-Zeitraums (in Minuten) (der Zeitraum, in dem die normale Aktivität an der betreffenden API gemessen wird). baselineDurationentspricht mindestens den sieben Tagen (10080 Minuten) vor einem Insights-Ereignis. Dieses Feld kommt sowohl in beginnenden als auch in beendenden Insights-Ereignissen vor. Der Endzeitpunkt der baselineDuration-Messung ist immer der Beginn eines Insights-Ereignisses.

          Seit: 1.07

          Optional: False

      • attributions— Enthält Informationen zu den Benutzeridentitäten, Benutzeragenten und Fehlercodes, die mit ungewöhnlichen und grundlegenden Aktivitäten korreliert sind. In einem Insights-Ereignis-attributions-Block werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes erfasst, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert.

        Seit: 1.07

        Optional: Wahr

        • attribute— Enthält den Attributtyp. Werte können Folgende sein: userIdentityArn, userAgent oder errorCode. Falls vorhanden, werden diese Werte in einem einzelnen Attribut nur einmal vorkommen. Verschiedene Attributwerte können unterschiedlicheuserIdentityArn,userAgent, oder errorCode Werte haben, aber jede Attributinstanz enthält nur einen Wert für userIdentityArnuserAgent, odererrorCode.

          Seit: 1.07

          Optional: False

        • insight— Ein Block, der in absteigender Reihenfolge von der größten bis zur kleinsten Anzahl von API-Aufrufen oder -Fehlern bis zu den fünf häufigsten Attributwerten anzeigt, die zu den API-Aufrufen oder -Fehlern während des ungewöhnlichen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl der API-Aufrufe oder -Fehler an, die von den Attributwerten während des ungewöhnlichen Aktivitätszeitraums getätigt wurden.

          Seit: 1.07

          Optional: False

          • value— Das Attribut, das zu den API-Aufrufen oder -Fehlern während des ungewöhnlichen Aktivitätszeitraums beigetragen hat.

            Seit: 1.07

            Optional: Falsch Falsch

          • average— Die Anzahl der API-Aufrufe oder -Fehler pro Minute während des ungewöhnlichen Aktivitätszeitraums für das Attribut im value Feld.

            Seit: 1.07

            Optional: Falsch Falsch

        • baseline— Ein Block, der in absteigender Reihenfolge von der größten bis zur kleinsten Anzahl von API-Aufrufen oder -Fehlern bis zu den fünf häufigsten Attributwerten anzeigt, die am meisten zu den API-Aufrufen oder -Fehlern während des normalen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl der API-Aufrufe oder -Fehler an, die von den Attributwerten während des normalen Aktivitätszeitraums getätigt wurden.

          Seit: 1.07

          Optional: Falsch Falsch

          • value— Das Attribut, das zu den API-Aufrufen oder -Fehlern während des normalen Aktivitätszeitraums beigetragen hat.

            Seit: 1.07

            Optional: Falsch Falsch

          • average— Der historische Durchschnitt der API-Aufrufe oder -Fehler pro Minute während der sieben Tage vor der sieben Tage vor der Startzeit der Insights-Aktivität für das Attribut im value Feld.

            Seit: 1.07

            Optional: Falsch Falsch

  • eventCategory— Die Kategorie des Ereignisses. Der Wert gilt immer Insight für Insights-Ereignisse.

    Seit: 1.07

    Optional: False

Beispiel-insightDetails-Block

Im Folgenden finden Sie ein Beispiel für einen Insights-Ereignis-insightDetails-Block für ein Insights-Ereignis, das auftrat, wenn die Application-Auto-Scaling-API CompleteLifecycleAction ungewöhnlich oft aufgerufen wurde. Ein Beispiel für ein vollständiges Insights-Ereignis finden Sie unter Einblicke und Ereignisse.

Dieses Beispiel stammt aus einem beginnenden Insights-Ereignis, das durch "state": "Start" angezeigt wird. Die wichtigsten Benutzeridentitäten, die das mit dem Insights-Ereignis APIs verknüpfte Ereignis aufgerufen habenCodeDeployRole3,, und werden im attributions Block zusammen mit ihren durchschnittlichen API-Aufrufraten für dieses Insights-Ereignis und der Ausgangswert für die CodeDeployRole1 Rolle angezeigt. CodeDeployRole1 CodeDeployRole2 Der attributions Block zeigt auch, dass der Benutzeragent istcodedeploy.amazonaws.com, was bedeutet, dass die obersten Benutzeridentitäten die AWS CodeDeploy -Konsole verwendet haben, um die API-Aufrufe auszuführen.

Da den Ereignissen, die analysiert wurden, um das Insights-Ereignis zu generieren, keine Fehlercodes zugeordnet sind (der Wert ist null), entspricht der insight-Durchschnitt für den Fehlercode dem gesamten insight-Durchschnitt für das gesamte Insights-Ereignis, der im statistics-Block angezeigt wird.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }