Visualizzazione degli eventi Insights per i percorsi con la console - AWS CloudTrail
Filtro degli eventi InsightsVisualizzazione dei dettagli degli eventi InsightsZoom, panoramica e download del graficoModifica delle impostazioni dell'intervallo temporale del graficoDownload di eventi Insights

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione degli eventi Insights per i percorsi con la console

Questa sezione descrive come visualizzare, cercare e scaricare gli ultimi 90 giorni di eventi Insights per un percorso dalla pagina Insights sulla CloudTrail console. Per informazioni su come visualizzare CloudTrail Insights per un archivio dati di eventi, consultaVisualizzazione del dashboard di Insights per un data store di eventi.

Dopo aver registrato gli eventi di Insights per un percorso, gli eventi vengono visualizzati nella pagina Insights per 90 giorni. Non è possibile eliminare manualmente gli eventi dalla pagina Insights. Poiché gli eventi Insights abilitati per un trail sono archiviati nel bucket Amazon S3 configurato per quel trail, la rimozione degli eventi Insights dal bucket eliminerà tali eventi.

Puoi monitorare i log dei trail e ricevere notifiche quando si verificano eventi specifici di Insights abilitando i log. CloudWatch Per ulteriori informazioni, consulta Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs.

Nota

CloudTrail Gli eventi Insights devono essere abilitati sul percorso per visualizzare gli eventi Insights nella console. Attendi fino a 36 ore CloudTrail per la distribuzione dei primi eventi Insights, a condizione che venga rilevata un'attività insolita durante quel periodo.

Per registrare gli eventi di Insights sulla frequenza delle chiamate API, il trail deve registrare gli eventi di write gestione. Per registrare gli eventi di Insights in base al tasso di errore dell'API, il percorso deve registrare gli eventi read o gli eventi di write gestione.

Per visualizzare gli eventi Insights

  1. Accedi a AWS Management Console e apri la CloudTrail console a https://console.aws.amazon.com/cloudtrail/casa/.

  2. Nel riquadro di navigazione, scegli Insights per visualizzare tutti gli eventi Insights registrati nel tuo account negli ultimi 90 giorni. Puoi anche visualizzare i cinque eventi Insights più recenti dalla pagina Dashboards.

  3. Nella pagina Insights, puoi filtrare gli eventi di Insights in base all'origine dell'evento, al nome dell'evento o all'ID dell'evento. Per ulteriori informazioni sul filtro degli eventi Insights, consulta Filtro degli eventi Insights.

  4. È possibile limitare ulteriormente l'elenco a un intervallo relativo o un intervallo assoluto.

Filtro degli eventi Insights

Per impostazione predefinita, gli eventi nella pagina Insights vengono visualizzati in ordine cronologico inverso in base all'ora di inizio dell'evento.

È possibile filtrare l'elenco scegliendo uno dei tre attributi seguenti:

Nome evento

Il nome dell'evento, in genere l' AWS API su cui sono stati registrati livelli di attività insoliti.

Origine eventi

Il AWS servizio a cui è stata effettuata la richiesta, ad esempio iam.amazonaws.com os3.amazonaws.com. Se scegli di filtrare in base all'origine degli eventi, puoi scorrere un elenco di fonti di eventi.

ID evento

L'ID dell'evento Insights. IDs Gli eventi non vengono visualizzati nella tabella delle pagine di Insights, ma sono un attributo in base al quale è possibile filtrare gli eventi di Insights. L'evento IDs degli eventi di gestione che vengono analizzati per generare eventi Insights è diverso dall'evento IDs degli eventi Insights.

Il filtro dell'elenco degli eventi di CloudTrail Insights.

L'elenco seguente descrive gli attributi di un evento, che non sono filtrabili:

Tipo di informazioni

Il tipo di evento CloudTrail Insights, che corrisponde alla frequenza delle chiamate API o al tasso di errore dell'API. Il tipo di approfondimento sulla frequenza delle chiamate API analizza le chiamate API di gestione in sola scrittura aggregate al minuto rispetto a un volume di chiamate API di base. Il tipo di approfondimento sul tasso di errore delle API analizza le chiamate API di gestione che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo.

Ora di inizio dell'evento

L'ora di inizio dell'evento Insights, misurata come il primo minuto in cui è stata registrata un'attività insolita. Questo attributo è mostrato nella tabella Insights, ma non puoi filtrare l'ora di inizio dell'evento nella console.

Media di base

La baseline rappresenta il modello normale di attività della frequenza delle chiamate o del tasso di errore delle API, calcolato giornalmente. La media di base è la media di queste linee di base giornaliere nei sette giorni precedenti l'inizio di un evento Insights. Sebbene questo periodo sia generalmente di sette giorni, CloudTrail arrotonda il periodo di calcolo a un numero intero di giorni, in modo che la durata di base esatta possa variare leggermente.

Media di informazioni

Il numero medio di chiamate a un'API o il numero medio di un errore specifico restituito nelle chiamate a un'API, che ha attivato l'evento Insights. La media di CloudTrail Insights per l'evento iniziale è la frequenza di occorrenze che hanno attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media di informazione per l'evento finale è la frequenza di chiamate API al minuto per la durata dell'attività insolita, tra l'evento Insights di inizio e di fine.

Cambio del tasso

La differenza tra il valore di Media di base e Media dell'informazione misurato come percentuale. Ad esempio, se la media di base di un errore AccessDenied che si verifica è 1,0 e la media di informazione è 3,0, la variazione del tasso è del 300%. Una variazione del tasso per una media di informazione che supera la media di base mostra una freccia superiore accanto al valore. Se l'evento Insights è stato registrato perché l'attività è inferiore alla media di base, Cambio di tasso mostra una freccia verso il basso accanto alla percentuale.

Se non sono presenti eventi registrati per l'attributo o l'intervallo di tempo scelto, l'elenco dei risultati è vuoto. È possibile applicare solo un filtro attributo oltre all'intervallo di tempo. Se si scegli un filtro attributo diverso, l'intervallo di tempo specificato viene conservato.

La procedura riportata di seguito illustra come filtrare i dati in base a un attributo.

Per filtrare in base un attributo

  1. Per filtrare i risultati in base a un attributo, scegliete un attributo di ricerca dal menu a discesa, quindi digitate o scegliete un valore nella casella Inserisci un valore di ricerca.

  2. Per rimuovere un filtro attributo, scegliere X a destra della casella del filtro attributo.

La procedura riportata di seguito illustra come filtrare in base alla data e all'ora di inizio e fine.

Per filtrare in base a una data e ora di inizio e fine

  1. Da Filtra per data e ora, scegli una delle seguenti opzioni:

    • Intervallo assoluto: consente di scegliere un orario specifico. Passa alla fase successiva.

    • Intervallo relativo: selezionato per impostazione predefinita. Consente di scegliere un periodo di tempo relativo all'ora di inizio di un evento Insights. Proseguire con il passaggio 3.

  2. Per impostare un intervallo assoluto, procedi come segue.

    1. Scegli il giorno in cui desideri che inizi l'intervallo di tempo. Inserisci un'ora di inizio nel giorno selezionato. Per inserire manualmente una data, digita la data nel formato yyyy/mm/dd. L'ora di inizio e di fine utilizzano un orologio di 24 ore e i valori devono essere nel formato hh:mm:ss. Ad esempio, per indicare un'ora di inizio alle 18:30, inserisci 18:30:00.

    2. Scegli una data di fine per l'intervallo nel calendario oppure specifica una data e un'ora di fine al di sotto del calendario. Scegli Applica.

  3. Per impostare un intervallo relativo, procedi come segue.

    1. Scegli un periodo di tempo preimpostato relativo all'ora di inizio di eventi Insights. Gli intervalli di tempo preimpostati includono 30 minuti, 1 ora, 12 ore o 1 giorno. Per specificare un intervallo di tempo personalizzato, scegli Custom (Personalizzato).

    2. Dopo aver impostato l'ora relativa che desideri, scegli Apply (Applica).

  4. Per rimuovere un filtro per intervallo di tempo, scegli l'icona del calendario a destra della casella Filtra per data e ora, quindi scegli Cancella e ignora.

Visualizzazione dei dettagli degli eventi Insights

  1. Scegliere un evento Insights nell'elenco dei risultati per visualizzare i relativi dettagli. La pagina dei dettagli di un evento Insights mostra un grafico della sequenza temporale dell'attività insolita.

    Una pagina di dettaglio di CloudTrail Insights che mostra attività insolite delle API.

  2. Passa il puntatore del mouse sulle bande evidenziate per visualizzare l'ora di inizio e la durata di ogni evento Insights nel grafico.

    Statistiche di un evento Insights che compaiono dopo aver passato il mouse su un evento Insights.

    La seguente informazione è mostrata nell'area del grafico Informazioni aggiuntive:

    • Insight type (Tipo di informazioni). Può trattarsi di una frequenza di chiamata API o di un tasso di errore API.

    • Trigger. Questo è un collegamento alla scheda Cloudtrail events (Eventi Cloudtrail), che elenca gli eventi di gestione analizzati per determinare che si è verificata un'attività insolita.

    • Chiamate API al minuto o errori al minuto

      • Baseline average (Media di base) - La frequenza tipica di occorrenze al minuto su questa API, in cui l'evento Insight è stato registrato, misurata nei sette giorni precedenti circa, in una regione specifica dell'account.

      • Media Insights - La frequenza di occorrenze al minuto su questa API che hanno attivato l'evento Insights. La media CloudTrail Insights per l'evento di avvio è la frequenza di chiamate o errori al minuto sull'API che ha attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media Insights per l'evento di fine è la frequenza di chiamate API o errori al minuto per tutta la durata dell'attività insolita, tra l'evento Insights di inizio e l'evento Insights di fine.

    • Event source (Origine eventi). L'endpoint del AWS servizio su cui è stato registrato il numero insolito di chiamate o errori dell'API. Nell'immagine precedente, l'origine èec2.amazonaws.com, che è l'endpoint del servizio per Amazon. EC2

    • ID evento di inizio - L'ID dell'evento Insights registrato all'inizio di attività insolita.

    • ID evento di fine - L'ID dell'evento Insights registrato al termine di attività insolita.

    • ID evento condiviso: negli eventi Insights, l'ID evento condiviso è un GUID generato da CloudTrail Insights per identificare in modo univoco una coppia di eventi Insights di inizio e fine. ID evento condiviso è comune tra gli eventi Insights di inizio e di fine e consente di creare una correlazione tra entrambi gli eventi per identificare in modo univoco l'attività insolita.

  3. Seleziona la scheda Attributions (Attribuzioni) per visualizzare informazioni sulle identità utente, sugli agenti dell'utente, sugli eventi Insight del tasso di chiamate API e sui codici di errore correlati all'attività insolita e di riferimento. Sono visualizzati un massimo di cinque identità utente, cinque agenti dell'utente e cinque codici di errore nelle tabelle nella scheda Attributions (Attribuzioni), ordinati in base alla media del conteggio delle attività, in ordine decrescente dalla più alta alla più bassa.

  4. Nella scheda CloudTrail eventi, visualizza gli eventi correlati CloudTrail analizzati per determinare che si è verificata un'attività insolita. Per impostazione predefinita, un filtro è già applicato per il nome dell'evento Insights, che è anche il nome dell'API correlata. La scheda CloudTrail eventi mostra gli eventi di CloudTrail gestione relativi all'API dell'oggetto che si sono verificati tra l'ora di inizio (meno un minuto) e l'ora di fine (più un minuto) dell'evento Insights.

    Quando si selezionano altri eventi di Insights nel grafico, gli eventi mostrati nella tabella degli CloudTrail eventi cambiano. Questi eventi ti permettono di eseguire analisi più approfondite per determinare la probabile causa di un evento Insights e i motivi di un'attività API insolita.

    Per mostrare tutti CloudTrail gli eventi che sono stati registrati durante la durata dell'evento Insights, e non solo quelli per l'API correlata, disattiva il filtro.

  5. Seleziona la scheda Insights event record (Record di eventi Insights) per visualizzare gli eventi di inizio e di fine Insights in formato JSON.

  6. Selezionando l'Event source (Origine eventi) collegata, puoi tornare alla pagina Insights, filtrata in base all'origine eventi.

Zoom, panoramica e download del grafico

È possibile eseguire lo zoom, la panoramica e il ripristino degli assi del grafico nella pagina dei dettagli dell'evento Insights utilizzando una barra degli strumenti nell'angolo in alto a destra.

Barra degli strumenti di comando per scaricare come PNG, eseguire lo zoom e la panoramica, ingrandire e ridurre.

Da sinistra a destra, i pulsanti di comando sulla barra degli strumenti del grafico effettuano le seguenti operazioni:

  • Download plot as a PNG (Scarica grafico come PNG) – Carica l'immagine del grafico mostrata nella pagina dei dettagli e salvala in formato PNG.

  • Zoom – Trascina per selezionare un'area del grafico da ingrandire e visualizzare nei minimi dettagli.

  • Pan (Panoramica) – Sposta il grafico per visualizzare le date o le ore adiacenti.

  • Reset axes (Ripristina assi) – Modifica gli assi del grafico ai valori originari, eliminando le impostazioni dello zoom e della panoramica.

Modifica delle impostazioni dell'intervallo temporale del grafico

Puoi modificare l'intervallo di tempo, ovvero la durata selezionata degli eventi visualizzati sull'asse x, mostrato nel grafico scegliendo un'impostazione nell'angolo superiore destro del grafico.

Controllo dell'intervallo di tempo per un evento Insights.

Download di eventi Insights

È possibile eseguire il download della cronologia degli eventi registrati come file in formato CSV o JSON. Utilizzare i filtri e gli intervalli di tempo per ridurre le dimensioni del file scaricato.

Nota

CloudTrail i file di cronologia degli eventi sono file di dati che contengono informazioni (come i nomi delle risorse) che possono essere configurate dai singoli utenti. Alcuni dati potrebbero essere interpretati come comandi nei programmi utilizzati per leggere e analizzare questo tipo di informazioni (rischio di attacco di tipo CSV Injection o Formula Injection). Ad esempio, quando CloudTrail gli eventi vengono esportati in formato CSV e importati in un programma per fogli di calcolo, tale programma potrebbe avvisare l'utente in merito a problemi di sicurezza. Come best practice di sicurezza, è consigliabile disabilitare i collegamenti o le macro dai file scaricati della cronologia degli eventi.

  1. Specificare il filtro e l'intervallo di tempo per gli eventi che si desidera scaricare. Ad esempio, è possibile specificare il nome dell'evento e specificare un intervallo di tempo per le ultime 12 ore di attività. StartInstances

  2. Seleziona Download events (Download di eventi), quindi Download as CSV (Scarica in formato CSV) o Download as JSON (Scarica in formato JSON). Viene richiesto di scegliere una posizione in cui salvare il file.

    Nota

    Il download potrebbe richiedere alcuni minuti per essere completato. Per ottenere più rapidamente i risultati, prima di avviare il processo di download, utilizzare un filtro più specifico o un intervallo di tempo più breve per limitare i risultati.

  3. Al termine del download, aprire il file per visualizzare gli eventi specificati.

  4. Per annullare il download, scegli Annulla. Se annulli un download prima che sia terminato, un file CSV o JSON nel computer locale potrebbe contenere solo una parte degli eventi.