Cómo visualizar eventos de Insights para registros de seguimiento con la consola - AWS CloudTrail
Filtrado de eventos de InsightsVisualice los detalles de eventos de InsightsAplicar zoom al gráfico, desplazarlo y descargarloCambiar la configuración del intervalo de tiempo del gráficoDescarga de eventos de Insights

Cómo visualizar eventos de Insights para registros de seguimiento con la consola

En esta sección se describe cómo ver, buscar y descargar los últimos 90 días de eventos de Insights para un registro de seguimiento desde la página Insights de la consola de CloudTrail. Para obtener información acerca de cómo ver Insights de CloudTrail para un almacén de datos de eventos, consulte Visualización del panel de Insights de un almacén de datos de eventos.

Una vez registrados los eventos de Insights para el registro de seguimiento, estos se muestran en la página Insights durante 90 días. No se pueden eliminar manualmente eventos de la página Insights . Como los eventos de Insights habilitados para un registro de seguimiento se almacenan en el bucket de Amazon S3 configurado para ese registro de seguimiento, al eliminar los eventos de Insights del bucket se eliminarán esos eventos.

Puede monitorear sus registros de seguimiento y recibir notificaciones cuando se produzcan eventos de Insights específicos al habilitar los registros de CloudWatch. Para obtener más información, consulte Monitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs.

nota

Los eventos de CloudTrail Insights deben habilitarse en su registro de seguimiento para ver los eventos de Insights en la consola. Espere hasta 36 horas para que CloudTrail pueda enviar los primeros eventos de Insights, si se detecta actividad inusual durante ese tiempo.

Para registrar los eventos de Insights sobre el volumen de llamadas a la API, el registro de seguimiento debe registrar los eventos de administración de write. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento debe registrar los eventos de administración de read o write.

Para ver eventos de Insights

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/.

  2. En el panel de navegación, elija Insights a fin de ver todos los eventos de Insights registrados en su cuenta en los últimos 90 días. También puede ver los cinco eventos más recientes de Insights en la página de Paneles.

  3. En la página de Insights, puede filtrar los eventos de Insights por origen, nombre o ID del evento. Para obtener más información sobre el filtrado de eventos de Insights, consulte Filtrado de eventos de Insights.

  4. Puede limitar aún más la lista a un Rango relativo o un Rango absoluto.

Filtrado de eventos de Insights

De manera predeterminada, los eventos de la página Insights se muestran en orden cronológico inverso según la hora de inicio del evento.

Puede filtrar la lista mediante el uso de uno de los siguientes tres atributos:

Nombre de evento

El nombre del evento, normalmente la API de AWS en la que se registraron niveles inusuales de actividad.

Origen del evento

El servicio de AWS para el que se ha realizado la solicitud, como iam.amazonaws.com o s3.amazonaws.com. Si elige filtrar por origen de evento, puede desplazarse por una lista de orígenes de eventos.

ID de evento

El ID del evento de Insights. Los ID de evento no se muestran en la tabla de la página de Insights, pero son un atributo por el que puede filtrar los eventos de Insights. Los ID de evento de los eventos de administración que se analizan para generar eventos de Insights son diferentes de los ID de evento de los eventos de Insights.

El filtro de lista de eventos de CloudTrail Insights.

En la siguiente lista se describen los atributos de un evento que no se pueden filtrar:

Tipo de información

El tipo de evento de Insights de CloudTrail, que es la tasa de llamadas a la API o la tasa de errores de la API. El tipo de información sobre la tasa de llamadas a la API analiza las llamadas a la API de administración de solo escritura que se agregan por minuto en comparación con un volumen de llamadas a la API de referencia. El tipo de información sobre la tasa de errores de la API analiza las llamadas a la API de administración que generan códigos de error. El error se muestra si la llamada a la API no se hace correctamente.

Hora de inicio del evento

Hora de inicio del evento de Insights, medido como el primer minuto en el que se registró actividad inusual. Este atributo se muestra en la tabla Insights, pero no puede filtrar la hora de inicio del evento en la consola.

Promedio de referencia

La referencia representa el patrón normal de actividad de tasa de error o de llamadas a la API, calculada de manera diaria. El promedio de referencia es el promedio de estas referencias diarias a lo largo de los siete días anteriores al inicio de un evento de Insights. Si bien este periodo suele ser de siete días, CloudTrail redondea el periodo de cálculo a un número entero de días, por lo que la duración exacta de referencia puede variar ligeramente.

Promedio de Insight

El número promedio de llamadas a una API, o el número promedio de un error específico que se devolvió en las llamadas a una API, que desencadenó el evento Insights. El promedio de CloudTrail Insights del evento de inicio es la tasa de ocurrencias que desencadenó el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights del evento de finalización es la tasa de ocurrencias durante la actividad inusual, entre el evento de Insights de inicio y el evento de Insights de finalización.

Cambio de tasa

La diferencia entre el valor de Promedio de referencia y Promedio de Insight, medido en porcentaje. Por ejemplo, si el promedio de referencia de un error AccessDenied que se produce es 1,0, y el promedio de Insight es 3,0, el cambio de tasa es del 300 %. Un cambio de tasa para un promedio de Insight que supera un promedio de referencia muestra una flecha hacia arriba junto al valor. Si el evento Insights se registró porque la actividad está por debajo del promedio de referencia, Cambio de tasa muestra una flecha hacia abajo junto al porcentaje.

Si no hay eventos registrados para el atributo o el tiempo elegidos, la lista de resultados estará vacía. Solo puede aplicar un filtro de atributo además del intervalo de tiempo. Si elige un atributo diferente, se mantiene el filtro de intervalo de tiempo especificado.

Los siguientes pasos describen cómo filtrar por atributo.

Para filtrar por atributo

  1. Para filtrar los resultados por atributo, elija un atributo de búsqueda en el menú desplegable y, luego, escriba o elija un valor en el cuadro Ingresar un valor de búsqueda.

  2. Para eliminar un filtro de atributo, elija la X situada a la derecha del cuadro de filtro de atributo.

Los siguientes pasos describen cómo filtrar por una fecha y una hora de inicio y finalización.

Para filtrar por una fecha y hora de inicio y finalización

  1. En Filtrar por fecha y hora, elija una de las siguientes opciones:

    • Rango absoluto: permite elegir una hora específica. Continúe con el paso siguiente.

    • Rango relativo: se selecciona de manera predeterminada. Permite elegir un periodo de tiempo relativo a la hora de inicio de un evento de Insights. Continúe con el paso 3.

  2. Para establecer un Rango absoluto, haga lo siguiente.

    1. Elija el día en el que desea que comience el rango de tiempo. Ingrese una hora de inicio en el día seleccionado. Para ingresar una fecha de forma manual, escriba la fecha con el formato yyyy/mm/dd. Las horas de inicio y finalización siguen el formato de 24 horas y los valores deben tener el formato hh:mm:ss. Por ejemplo, para que la hora de inicio sea a las 6:30 p. m., ingrese 18:30:00.

    2. Elija una fecha de finalización para el intervalo en el calendario o especifique una fecha y hora de finalización debajo del calendario. Seleccione Aplicar.

  3. Para establecer un Rango relativo, haga lo siguiente.

    1. Elija un periodo de tiempo predefinido relativo a la hora de inicio de los eventos de Insights. Los intervalos de tiempo preestablecidos incluyen 30 minutos, 1 hora, 12 horas o 1 día. Para especificar un intervalo de tiempo personalizado, elija Custom (Personalizado).

    2. Cuando haya establecido la hora relativa que desea, elija Apply (Aplicar).

  4. Para eliminar un filtro de rango de tiempo, elija el icono de calendario situado a la derecha del cuadro Filtrar por día y hora y, luego, elija Borrar y descartar.

Visualice los detalles de eventos de Insights

  1. Elija un evento de Insights de la lista de resultados para mostrar sus detalles. La página de detalles de un evento de Insights muestra un gráfico de la línea de tiempo de la actividad inusual.

    Página de detalles de CloudTrail Insights que muestra una actividad de API inusual.

  2. Coloque el cursor sobre las bandas resaltadas para mostrar la hora de inicio y duración de cada evento de Insights en el gráfico.

    Las estadísticas de eventos de Insights se muestran al colocar el cursor sobre un evento de Insights.

    La siguiente información se muestra en el área Información adicional del gráfico:

    • Insight type (Tipo de información. Puede ser la tasa de llamadas a la API o la tasa de error de la API.

    • Desencadenador. Este es un enlace a la pestaña Cloudtrail events (Eventos de Cloudtrail), que presenta los eventos de administración que se analizaron para determinar que se produjo una actividad inusual.

    • Llamadas a la API por minuto o Errores por minuto

      • Baseline average (Promedio de referencia): la tasa típica de ocurrencias por minuto a esta API en la que se registró el evento Insights, medido en aproximadamente los siete días anteriores, en una región específica de su cuenta.

      • Insights average (Promedio de Insights): la tasa de ocurrencias por minuto a esta API que desencadenaron el evento de Insights. El promedio de CloudTrail Insights del evento de inicio es la tasa de llamadas o errores por minuto a la API que desencadenó el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights del evento final es el porcentaje de llamadas o errores por minuto a la API durante la actividad inusual, entre el evento de Insights inicial y el evento de Insights final.

    • Origen del evento. El punto de conexión de servicio de AWS en el que se llevó a cabo el número inusual de llamadas a la API. En la imagen anterior, el origen es ec2.amazonaws.com, que es el punto de conexión de servicio de Amazon EC2.

    • Start event ID (ID de evento de inicio): el ID del evento de Insights que registró al principio de una actividad inusual.

    • End event ID (ID de evento de finalización): ID del evento Insights que se registró al final de una actividad inusual.

    • Shared event ID (ID de evento compartido): en los eventos de Insights, el ID de evento compartido es un GUID generado por CloudTrail Insights para identificar de forma exclusiva un par de eventos de Insights inicial y final. Shared event ID (ID de evento compartido) es igual en los eventos de inicio y finalización de Insights, y ayuda a relacionar ambos eventos para identificar de forma inequívoca la actividad inusual.

  3. Elija la pestaña Attributions (Atribuciones) para ver información sobre las identidades de usuario, los agentes de usuario y sobre eventos de Insight de la tasa de llamadas a la API, códigos de error correlacionados con la actividad inusual y de referencia. Se muestra un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error en las tablas de la pestaña Attributions (Atribuciones), ordenado por un promedio del recuento de la actividad, en orden descendente de mayor a menor.

  4. En la pestaña CloudTrail events (Eventos de CloudTrail), vea los eventos relacionados que CloudTrail analizó para determinar que se produjo una actividad inusual. De forma predeterminada, ya se aplica un filtro para el nombre del evento de Insights, que también es el nombre de la API relacionada. La pestaña CloudTrail events (Eventos de CloudTrail) muestra los eventos de administración de CloudTrail relacionados con la API en cuestión que se produjeron entre la hora de inicio (menos un minuto) y finalización (más un minuto) del evento de Insights.

    A medida que selecciona otros eventos de Insights en el gráfico, cambian los eventos que se muestran en la tabla CloudTrail events (Eventos de CloudTrail). Estos eventos le ayudan a realizar un análisis más detallado para determinar la causa probable de un evento de Insights y las razones de la actividad inusual de la API.

    Para mostrar todos los eventos de CloudTrail registrados durante la duración del evento Insights y no solo los de la API relacionada, desactive el filtro.

  5. Elija la pestaña Insights event record (Registro de eventos de Insights) para ver los eventos de inicio y finalización de Insights en formato JSON.

  6. Al elegir el enlace Event source (Origen de eventos), se lo redirige a la página Insights filtrada por ese origen de eventos.

Aplicar zoom al gráfico, desplazarlo y descargarlo

Puede acercar o alejar, desplazar y restablecer los ejes del gráfico en la página de detalles del evento de Insights mediante la barra de herramientas situada en la esquina superior derecha.

Barra de herramienta con los comandos para descargar como PNG, acercar, desplazar, alejar y restablecer los ejes.

De izquierda a derecha, los botones de la barra de herramientas de gráficos hacen lo siguiente:

  • Download plot as a PNG (Descargar gráfico como PNG): descarga la imagen del gráfico mostrada en la página de detalles y la guarda en formato PNG.

  • Zoom: arrastre para seleccionar el área del gráfico que desea ampliar y ver con mayor detalle.

  • Pan (Desplazamiento panorámico): desplace el gráfico para ver fechas u horas adyacentes.

  • Reset axes (Restablecer ejes): revierta los ejes del gráfico a los originales borrando los ajustes de zoom y desplazamiento panorámico.

Cambiar la configuración del intervalo de tiempo del gráfico

Puede cambiar el intervalo de tiempo (la duración seleccionada de los eventos que se muestran en el eje x) que se muestra en el gráfico al elegir una configuración en la esquina superior derecha del gráfico.

Control del intervalo de tiempo para un evento de Insights.

Descarga de eventos de Insights

Puede descargar el historial de eventos de Insights registrados como un archivo en formato JSON o CSV. Utilice filtros e intervalos de tiempo para reducir el tamaño del archivo que descargue.

nota

Los archivos de historial de eventos de CloudTrail son archivos de datos que contienen información (como nombres de recursos) que pueden configurar los usuarios. Algunos de estos datos podrían ser interpretados como comandos en los programas que se utilizan para leer y analizar esta información (inyección CSV). Por ejemplo, cuando se exportan eventos de CloudTrail a CSV y se importan a un programa de hoja de cálculo, este programa podría advertirle sobre problemas de seguridad. Como práctica recomendada de seguridad, deshabilite los enlaces o las macros de los archivos del historial de eventos descargados.

  1. Especifique el filtro y el intervalo de tiempo de los eventos que desee descargar. Por ejemplo, puede especificar el nombre del evento, StartInstances, y especificar un intervalo de tiempo de las últimas 12 horas de actividad.

  2. Elija Download events (Descargar eventos) y, a continuación, Download as CSV (Descargar como CSV) o Download as JSON (Descargar como JSON). Se le pedirá que elija una ubicación para guardar el archivo.

    nota

    La descarga podría tardar un tiempo en terminar. Antes de iniciar el proceso de descarga, y para obtener resultados más rápidos, utilice un filtro más específico o un intervalo de tiempo más breve para limitar los resultados.

  3. Cuando haya finalizado la descarga, abra el archivo para ver los eventos que ha especificado.

  4. Para cancelar la descarga, elija Cancelar. Si cancela una descarga antes de que termine, es posible que un archivo CSV o JSON de la computadora local solo contenga parte de sus eventos.