Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Affichage des événements Insights pour les journaux de suivi
Cette section explique comment vous pouvez rechercher un parcours au cours des 90 derniers jours d'événements Insights lorsque CloudTrail Insights est activé. Pour plus d'informations sur la façon d'afficher les CloudTrail informations relatives à une banque de données d'événements, consultez[Consulter le tableau de bord Insights d'une banque de données d'événements](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Vous pouvez consulter, filtrer et télécharger les 90 derniers jours d'événements Insights pour un suivi depuis la page **Insights** de la console.
Vous pouvez récupérer les événements Insights des 90 derniers jours par programmation :
+ Pour Trails, enregistrez les événements de gestion en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)commande ou en exécutant l'opération [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API.
+ Pour Trails, enregistrez des événements de données en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)commande ou en exécutant l'opération [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API.
Pour une description des champs d'enregistrement des événements Insights pour les sentiers, voir[CloudTrail enregistrer le contenu des événements Insights pour les sentiers](cloudtrail-insights-fields-trails.md).
**Note**
La page **et/ou la `list-insights-data` commande Insights** ne répertorient les événements Insights que si vous avez activé Insights sur une piste qui enregistre des événements de gestion ou de données. AWS CLI `lookup-events` Pour plus d'informations sur l'activation d'Insights sur un sentier, consultez [Activation d' CloudTrail Insights sur un parcours existant à l'aide de la console](insights-events-enable.md#insights-events-enable-trail) et[Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion ou de données. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer les événements `write` de gestion `read` ou de données.
**Topics**
+ [
# Afficher les événements Insights pour les sentiers avec la console
](view-insights-events-console.md)
+ [
# Visualisation des événements Insights pour les sentiers avec le AWS CLI
](view-insights-events-cli.md)
# Afficher les événements Insights pour les sentiers avec la console
Cette section explique comment consulter, rechercher et télécharger les événements Insights des 90 derniers jours pour un suivi depuis la page **Insights** de la CloudTrail console. Pour plus d'informations sur la façon d'afficher les CloudTrail informations relatives à une banque de données d'événements, consultez[Consulter le tableau de bord Insights d'une banque de données d'événements](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Une fois que les événements Insights sont enregistrés pour un suivi, ils sont affichés sur la page **Insights** pendant 90 jours. Vous ne pouvez pas supprimer manuellement des événements de la page **Insights**. Étant donné que les événements Insights activés pour un suivi sont stockés dans le compartiment Amazon S3 configuré pour ce suivi, la suppression des événements Insights du compartiment entraîne la suppression de ces événements.
Vous pouvez surveiller vos journaux de suivi et être averti lorsque des événements Insights spécifiques se produisent en activant CloudWatch les journaux. Pour de plus amples informations, veuillez consulter [Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**Note**
CloudTrail Les événements Insights doivent être activés sur votre parcours pour voir les événements Insights dans la console. Prévoyez jusqu'à 36 heures CloudTrail pour diffuser les premiers événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Pour les informations sur les événements de gestion : pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` de gestion.
Pour Data Events Insights : pour consigner les événements Insights sur le taux d'appels d'API ou le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` relatifs aux données.
**Pour afficher les événements Insights**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/cloudtrail/maison/](https://console.aws.amazon.com/cloudtrail/home/).
1. Dans le volet de navigation, choisissez **Insights** pour voir tous les événements Insights enregistrés sur votre compte au cours des 90 derniers jours. Vous pouvez également consulter les cinq événements Insights les plus récents sur la page **Tableaux** de bord.
1. Sur la page **Insights**, vous pouvez sélectionner l'onglet Insights (événements de gestion) ou Insights (événements de données).
1. Vous pouvez filtrer les événements Insights par source d'événement, nom d'événement ou ID d'événement. Pour plus d'informations sur le filtrage des événements Insights, consultez [Filtrage des événements Insights](#filtering-insights-events).
1. Vous pouvez également limiter la liste à une **plage relative** ou **absolue**.
**Contents**
+ [
## Filtrage des événements Insights
](#filtering-insights-events)
+ [
## Affichage des détails des événements Insights
](#viewing-details-for-an-event)
+ [
## Zoomer, panoramiquer et télécharger un graphique
](#viewing-insight-details-zoom)
+ [
## Modifier les paramètres de période du graphique
](#viewing-insight-details-timespan)
+ [
## Téléchargement d'événements Insights
](#downloading-insights-events)
## Filtrage des événements Insights
Par défaut, les événements de la page **Insights** sont affichés dans l'ordre chronologique inverse en fonction de l'heure de début de l'événement.
Vous pouvez filtrer la liste en choisissant l'un des trois attributs suivants :
**Nom de l’événement**
Le nom de l'événement, généralement l' AWS API sur laquelle des niveaux d'activité inhabituels ont été enregistrés.
**Source de l’événement**
Le AWS service auquel la demande a été adressée, tel que `iam.amazonaws.com` ou`s3.amazonaws.com`. Si vous choisissez de filtrer par source d'événement, vous pouvez faire défiler la liste des sources d'événements.
**ID de l’événement**
L'ID de l'événement Insights. IDs Les événements ne figurent pas dans le tableau de la page **Insights**, mais il s'agit d'un attribut sur lequel vous pouvez filtrer les événements Insights. Les événements IDs liés à la gestion ou aux données analysés pour générer des événements Insights sont différents de ceux IDs des événements Insights.
![\[Le filtre de liste d'événements CloudTrail Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_events_filter.png)
La liste suivante décrit les attributs d'un événement, qui ne sont pas filtrables :
**Type Insight**
Type d'événement CloudTrail Insights, qui est soit le taux d'**appels d'API, soit le taux** **d'erreur d'API**. Le type d'aperçu du **taux d'appels d'API** analyse la gestion en écriture seule ou les appels d'API de données agrégés par minute par rapport à un volume d'appels d'API de référence. Le type d'analyse du **taux d'erreur des API** analyse les appels d'API de gestion ou de données qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API.
**Heure de début de l'événement**
L'heure de début de l'événement Insights, mesuré sous la forme de la première minute au cours de laquelle une activité d'API inhabituelle a été enregistrée. Cet attribut est affiché dans la table **Insights**, mais vous ne pouvez pas filtrer l'heure de début de l'événement dans la console.
**Moyenne de référence**
La ligne de base représente le schéma normal du taux d'appel d'API ou de l'activité du taux d'erreur, calculé quotidiennement. La moyenne de référence est la moyenne de ces niveaux de référence quotidiens au cours des sept jours précédant le début d'un événement Insights. Bien que cette période soit généralement de sept jours, CloudTrail elle est arrondie à un nombre entier de jours, de sorte que la durée de référence exacte peut légèrement varier.
**Moyenne Insight**
Le nombre moyen d'appels vers une API, ou le nombre moyen d'une erreur spécifique renvoyée lors d'appels à une API, qui a déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'occurrences qui ont déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux des occurrences pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.
**Variation du taux**
Différence entre la valeur de **Moyenne de référence** et **Moyenne Insight**, mesurée en pourcentage. Par exemple, si la moyenne de référence d'une erreur `AccessDenied` est de 1,0, et la moyenne Insight est de 3,0, la variation du taux est de 300 %. Une variation du taux pour une moyenne Insight qui dépasse une moyenne de référence affiche une flèche vers le haut à côté de la valeur. Si l'événement Insights a été journalisé parce que l'activité est inférieure à la moyenne de référence, **Variation du taux** affiche une flèche vers le bas à côté du pourcentage.
Si aucun événement n’est journalisé pour l’attribut ou l’heure que vous avez choisi, la liste des résultats est vide. Vous pouvez appliquer un seul filtre d’attributs, en plus de la plage de temps. Si vous choisissez un autre filtre d’attribut, la plage de temps que vous avez spécifiée est conservée.
Les étapes suivantes expliquent comment filtrer sur les attributs.
**Pour filtrer par attribut**
1. Pour filtrer les résultats par attribut, choisissez un attribut de recherche dans le menu déroulant, puis tapez ou choisissez une valeur dans le champ **Entrez une valeur de recherche**.
1. Pour supprimer un filtre d'attributs, cliquez sur la **croix** à droite de la zone de filtre d'attributs.
Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.
**Pour filtrer selon une date et une heure de début et de fin**
1. Dans **Filtrer par date et heure**, sélectionnez l'une des options suivantes :
+ **Plage absolue** : vous permet de choisir une heure précise. Passez à l'étape suivante.
+ **Plage relative** : sélectionnée par défaut. Vous permet de choisir une période par rapport à l'heure de début d'un événement Insights. Passez à l'étape 3.
1. Pour définir une **plage absolue**, procédez comme suit.
1. Choisissez le jour où vous souhaitez que la plage horaire commence. Entrez une heure de début le jour sélectionné. Pour saisir une date manuellement, tapez la date dans le format `yyyy/mm/dd`. Les heures de début et de fin utilisent le format horaire de 24 heures, et les valeurs doivent être au format `hh:mm:ss`. Par exemple, pour indiquer que l'heure de début est 18 h 30, entrez **18:30:00**.
1. Choisissez une date de fin pour la plage sur le calendrier, ou spécifiez une date et une heure de fin sous le calendrier. Choisissez **Apply** (Appliquer).
1. Pour définir une **plage relative**, procédez comme suit.
1. Choisissez une période prédéfinie par rapport à l'heure de début des événements Insights. Les plages de temps prédéfinies incluent 30 minutes, 1 heure, 12 heures ou 1 jour. Pour spécifier une plage de temps personnalisée, choisissez **Personnaliser**.
1. Lorsque vous avez défini l'heure relative que vous souhaitez, choisissez **Apply** (Appliquer).
1. Pour supprimer un filtre de plage horaire, cliquez sur l'icône du calendrier à droite de la zone **Filtrer par date et heure**, puis choisissez **Effacer et ignorer**.
## Affichage des détails des événements Insights
1. Choisissez un événement Insights dans la liste des résultats pour en afficher les détails. La page des détails d'un événement Insights présente un graphique de la chronologie d'activité inhabituelle.
![\[Une page détaillée d' CloudTrail Insights présentant une activité d'API inhabituelle.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Passez la souris sur les bandes en surbrillance pour afficher l'heure de début et la durée de chaque événement Insights dans le graphique.
![\[Statistiques d'événement Insights affichées après le passage de la souris sur un événement Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
Les informations suivantes sont présentées dans les **Informations supplémentaires** zone du graphique :
+ **Insight type (Type Insight)**. Il peut s'agir du taux d'appel d'API ou du taux d'erreur de l'API.
+ **Déclencheur**. Il s'agit d'un lien vers l'onglet **des événements Cloudtrail**, qui répertorie les événements de gestion ou de données qui ont été analysés pour déterminer si une activité inhabituelle s'est produite.
+ **Appels d'API par minute** ou **erreurs par minute**
+ **Baseline average (Moyenne de référence)** : le taux typique d'occurrences par minute sur l'API sur laquelle l'événement Insights a été journalisé, tel que mesuré approximativement au cours des sept jours précédents, dans une région spécifique de votre compte.
+ **Insights average (Moyenne Insights)** : le taux des occurrences par minute à cette API ayant déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'appels ou d'erreurs par minute sur l'API qui a déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux d'appels d'API ou d’erreurs par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.
+ **Source de l'événement** Point de terminaison du AWS service sur lequel le nombre inhabituel d'appels ou d'erreurs d'API a été enregistré. Dans l'image précédente, la source est `ec2.amazonaws.com` le point de terminaison du service pour Amazon EC2.
+ **ID de l’événement de démarrage**- ID de l'événement Insights journalisé au début d'une activité inhabituelle.
+ **ID de l’événement de fin**- ID de l'événement Insights journalisé à la fin d'une activité inhabituelle.
+ **ID d'événement partagé** : dans les événements Insights, l'**ID d'événement partagé** est un GUID généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. **ID de l’événement partagé** est commun entre l'événement Insights de début et de fin, et aide à créer une corrélation entre les deux événements pour identifier de manière unique l'activité inhabituelle.
1. Choisir l'onglet **Attributions** pour afficher des informations sur les identités utilisateur, les agents utilisateur et les évènements Insights de taux d’appel API, des codes d'erreur en corrélation avec une activité inhabituelle et de base. Un maximum de cinq identités d'utilisateur, de cinq agents utilisateur et de cinq codes d'erreur sont affichés dans les tableaux de l'onglet **Attributions**, trié par une moyenne du nombre d'activités, dans l'ordre décroissant du plus haut au plus bas.
1. Dans l'onglet **CloudTrail events (Événements CloudTrail)**, affichez les événements associés analysés par CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjà appliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. L'onglet **CloudTrail événements** affiche les événements de CloudTrail gestion ou de données liés à l'API en question survenus entre l'heure de début (moins une minute) et l'heure de fin (plus une minute) de l'événement Insights.
Lorsque vous sélectionnez d'autres événements Insights dans le graphique, les événements affichés dans le tableau **CloudTrail events (Événements CloudTrail)** changent. Ces événements vous aident à effectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons de l'activité inhabituelle de l'API.
Pour afficher tous les CloudTrail événements enregistrés pendant la durée de l'événement Insights, et pas uniquement ceux relatifs à l'API associée, désactivez le filtre.
1. Cliquez sur l'onglet **Insights event record (Enregistrement d'événement Insights)** pour afficher les événements Insights de début et de fin au format JSON.
1. Le choix de la **Event source (Source d'événement)** liée vous renvoie à la page **Insights**, filtrée en fonction de cette source d'événement.
## Zoomer, panoramiquer et télécharger un graphique
Vous pouvez zoomer, panoramiquer et réinitialiser les axes du graphique sur la page de détails de l'événement Insights à l'aide d'une barre d'outils située dans le coin supérieur droit.
![\[Barres d'outils de commande pour télécharger au format PNG, zoomer en avant et en arrière, panoramiquer et réinitialiser des axes.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
De gauche à droite, les boutons de commande de la barre d'outils de graphique permettent d'effectuer les opérations suivantes :
+ **Download plot as a PNG (Télécharger un diagramme au format PNG)** - Téléchargez l'image graphique affichée sur la page des détails et enregistrez-la au format PNG.
+ **Zoom** - Faites glisser la souris pour sélectionner une zone du graphique que vous souhaitez agrandir et voir plus en détail.
+ **Pan (Panoramiquer)** - Déplacez le graphique pour voir les dates ou les heures adjacentes.
+ **Reset axes (Réinitialiser les axes)** - Replacez les axes du graphique dans leur position d'origine, en supprimant les paramètres de zoom et de panoramique.
## Modifier les paramètres de période du graphique
Vous pouvez modifier la période de temps, la durée sélectionnée des événements affichés dans l'axe *x*, qui s'affiche dans le graphique, en choisissant un paramètre dans le coin supérieur droit du graphique.
![\[Contrôle de la période de temps pour un événement Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Téléchargement d'événements Insights
Vous pouvez télécharger l'historique des événements Insights enregistrés en tant que fichier au format JSON ou CSV. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que vous téléchargez.
**Note**
CloudTrail les fichiers d'historique des événements sont des fichiers de données qui contiennent des informations (telles que les noms des ressources) qui peuvent être configurées par des utilisateurs individuels. Certaines données peuvent éventuellement être interprétées comme des commandes dans des programmes utilisés pour lire et analyser ces données (injection CSV). Par exemple, lorsque CloudTrail des événements sont exportés au format CSV et importés dans un tableur, ce programme peut vous avertir de problèmes de sécurité. Comme bonne pratique relative à la sécurité, désactivez les liens ou les macros des fichiers d'historique des événements téléchargés.
1. Spécifiez le filtre et la plage de temps pour les événements que vous souhaitez télécharger. Par exemple, vous pouvez spécifier le nom de l'événement et spécifier une plage horaire pour les 12 dernières heures d'activité. `StartInstances`
1. Choisissez **Téléchargez les événements**, puis **Télécharger au format CSV** ou **Télécharger au format JSON**. Vous êtes invité à choisir un emplacement pour enregistrer le fichier.
**Note**
Le téléchargement pourrait prendre un certain temps. Pour des résultats plus rapides, utilisez un filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant de commencer le processus de téléchargement.
1. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avez spécifiés.
1. Pour annuler votre téléchargement, choisissez **Annuler**. Si vous annulez un téléchargement avant qu'il ne soit terminé, un fichier CSV ou JSON se trouvant sur votre ordinateur local pourrait contenir seulement une partie de vos événements.
# Visualisation des événements Insights pour les sentiers avec le AWS CLI
Cette section explique comment utiliser la `list-insights-data` commande AWS CLI `lookup-events` and pour rechercher un suivi des événements Insights des 90 derniers jours pour trouver un historique avec les événements Insights activés. Pour plus d'informations sur la façon d'activer CloudTrail Insights on a trail, consultez[Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**Note**
Vous ne pouvez pas utiliser la `list-insights-data` commande `lookup-events` ou pour rechercher des événements Insights pour un magasin de données d'événements. Toutefois, CloudTrail Lake propose un certain nombre d'exemples de requêtes pour les magasins de données d'événements Insights. Pour de plus amples informations, veuillez consulter [Affichage d'exemples de requêtes pour les événements Insights](insights-events-view-lake.md#insights-events-lake-queries).
La commande `lookup-events` dispose des options suivantes :
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
La commande `list-insights-data` dispose des options suivantes :
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Pour obtenir des informations générales sur l'utilisation du AWS Command Line Interface, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [
## Conditions préalables
](#aws-cli-prerequisites-for-insights)
+ [
## Obtenir de l’aide de la ligne de commande
](#getting-command-line-help-insights)
+ [
## Rechercher des événements Insights pour des événements de gestion
](#looking-up-management-insights-with-the-aws-cli)
+ [
## Rechercher des événements Insights pour des événements liés aux données
](#looking-up-data-insights-with-the-aws-cli)
+ [
## Spécification du nombre d'événements Insights auxquels les événements de gestion doivent être renvoyés
](#specify-the-number-of-management-insights-to-return)
+ [
## Spécification du nombre d'événements Insights auxquels les événements de données doivent être renvoyés
](#specify-the-number-of-data-insights-to-return)
+ [
## Recherche d'événements Insights pour les événements de gestion par plage horaire
](#look-up-management-insights-by-time-range)
+ [
## Recherche d'événements Insights pour les événements liés aux données par plage horaire
](#look-up-data-insights-by-time-range)
+ [
## Recherche d'événements Insights pour les événements de gestion par attribut
](#look-up-management-insights-by-attributes)
+ [
### Exemples de recherche d’attribut
](#attribute-lookup-example-insights)
+ [
## Rechercher des événements Insights pour des événements liés aux données par dimension
](#look-up-data-insights-by-attributes)
+ [
### Exemples de recherche de dimensions
](#dimension-lookup-example-insights)
+ [
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
](#specify-next-page-of-management-results)
+ [
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
](#specify-next-page-of-data-results)
+ [
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de gestion
](#json-input-from-file-managemenet-insights)
+ [
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de données
](#json-input-from-file-data-insights)
+ [
## Champs de résultat de la recherche
](#view-insights-events-cli-output-fields)
## Conditions préalables
+ Pour exécuter AWS CLI des commandes, vous devez installer le AWS CLI. Pour plus d’informations, consultez la section [Démarrage avec l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assurez-vous que votre AWS CLI version est supérieure à 1.6.6. Pour vérifier la version de la CLI, exécutez **aws --version** sur la ligne de commande.
+ Pour définir le compte, la région et le format de sortie par défaut pour une AWS CLI session, utilisez la **aws configure** commande. Pour plus d’informations, consultez [Configuration de l’interface de ligne de commande AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` de gestion.
**Note**
Les CloudTrail AWS CLI commandes distinguent les majuscules et minuscules.
## Obtenir de l’aide de la ligne de commande
Pour voir l’aide de la ligne de commande pour `lookup-events`, tapez la commande suivante.
```
aws cloudtrail lookup-events help
```
## Rechercher des événements Insights pour des événements de gestion
Pour voir les 50 derniers événements Insights, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight
```
Un événement renvoyé ressemble à l’exemple suivant,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Pour une explication des champs liés à la recherche dans la sortie, consultez [Champs de résultat de la recherche](#view-insights-events-cli-output-fields) dans cette rubrique. Pour une explication sur les champs de l'événement Insights, consultez [CloudTrail enregistrer le contenu des événements Insights pour les sentiers](cloudtrail-insights-fields-trails.md).
## Rechercher des événements Insights pour des événements liés aux données
Pour voir les 50 derniers événements Insights, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Un événement renvoyé ressemble à l’exemple suivant,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Spécification du nombre d'événements Insights auxquels les événements de gestion doivent être renvoyés
Pour spécifier le nombre d'événements Insights que les événements de gestion doivent renvoyer, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
La valeur par défaut pour**, si elle n'est pas spécifiée, est 50. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Spécification du nombre d'événements Insights auxquels les événements de données doivent être renvoyés
Pour spécifier le nombre d'événements Insights que les événements de données doivent renvoyer, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
La valeur par défaut pour**, si elle n'est pas spécifiée, est 50. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Recherche d'événements Insights pour les événements de gestion par plage horaire
Les événements Insights relatifs aux événements de gestion des 90 derniers jours peuvent être consultés. Pour spécifier une plage de temps, saisissez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou après sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
`--end-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou avant sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés en UTC.
## Recherche d'événements Insights pour les événements liés aux données par plage horaire
Les événements Insights pour les événements de données des 90 derniers jours peuvent être consultés. Pour spécifier une plage de temps, saisissez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou après sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
`--end-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou avant sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés en UTC.
## Recherche d'événements Insights pour les événements de gestion par attribut
Pour filtrer selon un attribut, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
Vous ne pouvez spécifier qu’une seule paire clé-valeur d’attribut pour chaque commande **lookup-events**. Les valeurs d’événement Insights valides pour `AttributeKey` sont les suivants. Les noms de valeur sont sensibles à la casse.
+ `EventId`
+ `EventName`
+ `EventSource`
La longueur maximale du `AttributeValue` est de 2 000 caractères. Les caractères suivants (« `_` », « ` ` », « `,` », « `\\n` ») comptent pour deux caractères dans la limite de 2000 caractères.
### Exemples de recherche d’attribut
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventName` est `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventId` est `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventSource` est `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Rechercher des événements Insights pour des événements liés aux données par dimension
Pour filtrer par dimension, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
Vous ne pouvez spécifier qu'une seule paire clé-valeur de dimension pour chaque **list-insights-events** commande. Les valeurs d’événement Insights valides pour `DimensionKey` sont les suivants. Les noms de valeur sont sensibles à la casse.
+ `EventId`
+ `EventName`
+ `EventSource`
La longueur maximale du `DimensionValue` est de 2 000 caractères. Les caractères suivants (« `_` », « ` ` », « `,` », « `\\n` ») comptent pour deux caractères dans la limite de 2000 caractères.
### Exemples de recherche de dimensions
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventName` est `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventId` est `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventSource` est `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
Pour obtenir la page de résultats suivante à partir d’une commande `lookup-events`, saisissez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
Dans cette commande, la valeur pour ** est extraite du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez `--next-token` dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
Pour obtenir la page de résultats suivante à partir d’une commande `list-insights-data`, saisissez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
Dans cette commande, la valeur pour ** est extraite du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez `--next-token` dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de gestion
AWS CLI Pour certains AWS services, il existe deux paramètres, l'un `--generate-cli-skeleton` et l'autre`--cli-input-json`, que vous pouvez utiliser pour générer un modèle JSON, que vous pouvez modifier et utiliser comme entrée pour le `--cli-input-json` paramètre. Cette section décrit comment utiliser ces paramètres avec `aws cloudtrail lookup-events`. Pour plus d'informations, consultez les [AWS CLI squelettes et les fichiers d'entrée](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Pour rechercher des événements Insights en extrayant une entrée JSON d'un fichier**
1. Créer un modèle d’entrée à utiliser avec `lookup-events` en redirigeant la sortie de `--generate-cli-skeleton` vers un fichier, comme dans l’exemple suivant.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
Le fichier modèle généré (dans ce cas, LookupEvents .txt) ressemble à ce qui suit.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L’entrée JSON doit contenir uniquement des valeurs qui sont spécifiées.
**Important**
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Pour utiliser le fichier modifié en entrée, utilisez la syntaxe `--cli-input-json file://`**, comme dans l'exemple suivant.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**Note**
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que `--cli-input-json`.
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de données
AWS CLI Pour certains AWS services, il existe deux paramètres, l'un `--generate-cli-skeleton` et l'autre`--cli-input-json`, que vous pouvez utiliser pour générer un modèle JSON, que vous pouvez modifier et utiliser comme entrée pour le `--cli-input-json` paramètre. Cette section décrit comment utiliser ces paramètres avec `aws cloudtrail list-insights-data`. Pour plus d'informations, consultez les [AWS CLI squelettes et les fichiers d'entrée](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Pour rechercher des événements Insights en extrayant une entrée JSON d'un fichier**
1. Créer un modèle d’entrée à utiliser avec `list-insights-data` en redirigeant la sortie de `--generate-cli-skeleton` vers un fichier, comme dans l’exemple suivant.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
Le fichier modèle généré (dans ce cas, ListInsightsData .txt) ressemble à ce qui suit.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L’entrée JSON doit contenir uniquement des valeurs qui sont spécifiées.
**Important**
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Pour utiliser le fichier modifié en entrée, utilisez la syntaxe `--cli-input-json file://`**, comme dans l'exemple suivant.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**Note**
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que `--cli-input-json`.
## Champs de résultat de la recherche
**Événements**
Liste des événements de recherche basée sur l’attribut de recherche et la plage de temps qui ont été spécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque entrée contient des informations sur la demande de recherche et inclut une représentation sous forme de chaîne de l' CloudTrail événement récupéré.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.
**CloudTrailEvent**
Chaîne JSON qui contient une représentation d’objet de l’événement renvoyé. Pour plus d’informations sur chacun des éléments renvoyés, consultez [Contenu du corps d’un enregistrement](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Chaîne qui contient le GUID de l’événement retourné.
**EventName**
Chaîne qui contient le nom de l’événement renvoyé.
**EventSource**
Le AWS service auquel la demande a été adressée.
**EventTime**
Date et heure, au format de temps UNIX, de l’événement.
**Ressources**
Liste de ressources référencées par l’événement qui a été renvoyé. Chaque entrée de ressource spécifie un type de ressource et un nom de ressource.
**ResourceName**
Chaîne qui contient le nom de la ressource référencée par l’événement.
**ResourceType**
Chaîne qui contient le type d’une ressource référencée par l’événement. Lorsque le type de ressource ne peut pas être déterminé, la valeur null est renvoyée.
**Username**
Chaîne qui contient le nom d’utilisateur du compte pour l’événement renvoyé.
**NextToken**
Chaîne pour obtenir la page de résultats suivante d’une commande `lookup-events` précédente. Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d’origine. Si aucune entrée `NextToken` n’apparaît dans la sortie, cela signifie qu’il n’y a aucun résultat à renvoyer.
Pour plus d'informations sur CloudTrail les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md) ce guide.