추적의 Insights 이벤트에 대한 CloudTrail 레코드 콘텐츠 - AWS CloudTrail
insightDetails 블록 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

추적의 Insights 이벤트에 대한 CloudTrail 레코드 콘텐츠

추적에 대한AWS CloudTrail Insights 이벤트 레코드에는 페이로드라고도 하는 JSON 구조의 다른 CloudTrail 이벤트와 다른 필드가 포함됩니다. 추적을 위한 CloudTrail Insights 이벤트에는 다음 필드가 포함됩니다.

  • eventVersion - 이벤트 버전입니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • eventType - 이벤트 유형입니다. Insights 이벤트의 경우 값은 항상 AwsCloudTrailInsight입니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • eventID - 각 이벤트를 고유하게 식별하기 위해 CloudTrail이 생성한 GUID입니다. 이 값을 사용하여 단일 이벤트를 식별할 수 있습니다. 예를 들어, 검색 가능한 데이터베이스에서 로그 데이터를 검색하기 위해 기본 키로 ID를 사용할 수 있습니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • eventTime - 협정 세계시(UTC)로 Insights 이벤트가 시작되거나 중지된 시간입니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • awsRegion -와 같이 Insights 이벤트 AWS 리전 가 발생한 입니다us-east-2.

    다음 버전 이후: 1.07

    선택 사항: False

  • recipientAccountId - 이 이벤트를 수신하는 계정 ID를 나타냅니다.

    다음 버전 이후: 1.07

    선택 사항: True

  • sharedEventID – Insights 이벤트를 고유하게 식별하기 위해 CloudTrail Insights에서 생성하는 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통이며 두 이벤트를 연결하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다. sharedEventID를 전체 인사이트 이벤트 ID로 간주할 수 있습니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • insightDetails – 추적에 대한 CloudTrail Insights 이벤트 레코드에는 이벤트 소스, 사용자 자격 증명, 사용자 에이전트, 과거 평균 또는 기준, 통계, API 이름, 이벤트가 Insights 이벤트의 시작인지 끝인지 여부와 같은 Insights 이벤트의 기본 트리거에 대한 정보가 들어 있는 insightDetails 블록이 포함됩니다.

    다음 버전 이후: 1.07

    선택 사항: False

    • state - 이벤트가 시작 또는 종료 Insights 이벤트인지 여부입니다. Start 또는 End 값을 가질 수 있습니다.

      다음 버전 이후: 1.07

      선택 사항: False

    • eventSource -와 같이 비정상적인 활동의 소스였던 AWS 서비스입니다ec2.amazonaws.com.

      다음 버전 이후: 1.07

      선택 사항: False

    • eventName - Insights 이벤트의 이름으로, 일반적으로 비정상적인 활동의 소스인 API의 이름입니다.

      다음 버전 이후: 1.07

      선택 사항: False

    • insightType - Insights 이벤트 유형입니다. 이 값은 ApiCallRateInsight 또는 ApiErrorRateInsight일 수 있습니다.

      다음 버전 이후: 1.07

      선택 사항: False

    • errorCode - 비정상적인 활동의 오류 코드입니다. 관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠errorCode도 참조하세요.

      다음 버전 이후: 1.07

      선택 사항: True

    • insightContext - AWS 도구(사용자 에이전트라고 함), IAM 사용자 및 역할(사용자 자격 증명이라고 함), CloudTrail이 Insights 이벤트를 생성하기 위해 분석한 이벤트와 관련된 오류 코드에 대한 정보입니다. 이 요소에는 Insights 이벤트의 비정상적인 활동이 기준 또는 정상, 활동과 비교되는 방식을 보여 주는 통계도 포함됩니다.

      다음 버전 이후: 1.07

      선택 사항: False

      • statistics - 기준 기간 동안 측정된 계정에 의한 주제 API에 대한 호출 또는 오류의 일반적인 평균 속도인 기준, Insights 이벤트를 트리거한 평균 호출 또는 오류 속도, Insights 이벤트의 지속 시간(분), 기준 측정 기간의 지속 시간(분)에 대한 데이터를 포함합니다.

        다음 버전 이후: 1.07

        선택 사항: False

        • baseline - 계정의 Insights 이벤트 주제 API에 대한 기준 기간 동안 분당 API 직접 호출 또는 오류로, Insights 이벤트 시작 전 7일 동안 계산됩니다.

          다음 버전 이후: 1.07

          선택 사항: False

          • average - Insights 활동 시작 시간 이전 7일 동안의 분당 API 직접 호출 또는 오류의 과거 평균입니다.

            다음 버전 이후: 1.07

            선택 사항: False

        • insight - 시작 Insights 이벤트의 경우 이 값은 비정상적인 활동이 시작되는 동안 분당 평균 API 직접 호출 또는 오류 수입니다. 종료 Insights 이벤트의 경우 이 값은 비정상적인 활동 기간 동안 분당 평균 API 호출 또는 오류 수입니다.

          다음 버전 이후: 1.07

          선택 사항: False

          • average - 비정상적인 활동 기간 동안 분당 로깅된 평균 API 직접 호출 또는 오류 수입니다.

            다음 버전 이후: 1.07

            선택 사항: False

        • insightDuration - Insights 이벤트의 분 단위 지속 시간(주제 API에서 비정상적인 활동의 시작부터 종료까지의 기간)입니다. insightDuration은 시작 및 종료 Insights 이벤트 모두에서 발생합니다.

          다음 버전 이후: 1.07

          선택 사항: False

        • baselineDuration - 기준 기간(주제 API에서 정상 활동이 측정되는 기간)의 지속 시간(분)입니다. baselineDuration은 Insights 이벤트 이전 최소 7일(10,080분)입니다. 이 필드는 시작 및 종료 Insights 이벤트 모두에서 발생합니다. baselineDuration 측정 종료 시간은 항상 Insights 이벤트의 시작입니다.

          다음 버전 이후: 1.07

          선택 사항: False

      • attributions - 비정상적인 활동 및 기준 활동과 관련된 사용자 자격 증명, 사용자 에이전트 및 오류 코드에 대한 정보를 포함합니다. 최대 5개의 사용자 자격 증명, 5개의 사용자 에이전트 및 5개의 오류 코드가 Insights 이벤트 attributions 블록에 캡처되며, 활동 수의 평균을 기준으로 가장 높은 것에서 가장 낮은 것까지 내림차순으로 정렬됩니다.

        다음 버전 이후: 1.07

        선택 사항: True

        • attribute - 속성 유형을 포함합니다. 값은 userIdentityArn, userAgent 또는 errorCode일 수 있습니다. 이 값이 있는 경우 개별 속성에 한 번만 표시됩니다. 속성 값마다 userIdentityArn, userAgent 또는 errorCode 값이 다를 수 있지만 각 속성 인스턴스에는 userIdentityArn, userAgent 또는 errorCode 값이 하나만 포함됩니다.

          다음 버전 이후: 1.07

          선택 사항: False

        • insight - 비정상적인 활동 기간 동안 발생한 API 직접 호출 또는 오류에 기여한 상위 5개 속성 값을 API 직접 호출 또는 오류 수가 많은 것부터 적은 것 순으로 내림차순으로 보여주는 블록입니다. 또한 비정상적인 활동 기간 동안 속성 값이 수행한 평균 API 직접 호출 또는 오류 수도 표시합니다.

          다음 버전 이후: 1.07

          선택 사항: False

          • value - 비정상적인 활동 기간 동안 발생한 API 직접 호출 또는 오류에 기여한 속성입니다.

            다음 버전 이후: 1.07

            선택 사항: False False

          • average - value 필드의 속성에 대한 비정상적인 활동 기간 동안의 분당 API 직접 호출 또는 오류 수입니다.

            다음 버전 이후: 1.07

            선택 사항: False False

        • baseline - 정상적인 활동 기간 동안 발생한 API 직접 호출 또는 오류에 가장 많이 기여한 상위 5개 속성 값을 API 직접 호출 또는 오류 수가 많은 것부터 적은 것 순으로 내림차순으로 보여주는 블록입니다. 또한 정상적인 활동 기간 동안 속성 값이 수행한 평균 API 직접 호출 또는 오류 수도 표시합니다.

          다음 버전 이후: 1.07

          선택 사항: False False

          • value - 정상적인 활동 기간 동안 API 직접 호출 또는 오류에 기여한 속성입니다.

            다음 버전 이후: 1.07

            선택 사항: False False

          • average - value 필드의 속성에 대한 Insights 활동 시작 시간 이전 7일 동안의 분당 API 직접 호출 또는 오류의 과거 평균입니다.

            다음 버전 이후: 1.07

            선택 사항: False False

  • eventCategory – 이벤트의 카테고리입니다. Insights 이벤트의 경우 값은 항상 Insight입니다.

    다음 버전 이후: 1.07

    선택 사항: False

insightDetails 블록 예

다음은 Application Auto Scaling API CompleteLifecycleAction이 비정상적인 횟수로 호출되었을 때 발생한 Insights 이벤트의 Insights 이벤트 insightDetails 블록의 예입니다. 전체 Insights 이벤트의 예는 Insights 이벤트 단원을 참조하세요.

이 예는 "state": "Start"로 표시된 시작 Insights 이벤트에서 가져온 것입니다. Insights 이벤트와 연결된 API를 호출한 상위 사용자 자격 증명인 CodeDeployRole1, CodeDeployRole2CodeDeployRole3가 이 Insights 이벤트의 평균 API 호출 비율 및 CodeDeployRole1 역할의 기준과 함께 attributions 블록에 표시됩니다. 또한이 attributions 블록은 사용자 에이전트가 임을 보여줍니다. 즉codedeploy.amazonaws.com, 상위 사용자 자격 증명이 AWS CodeDeploy 콘솔을 사용하여 API 호출을 실행했습니다.

Insights 이벤트를 생성하기 위해 분석된 이벤트와 관련된 오류 코드가 없기 때문에(값이 null임) 오류 코드에 대한 insight 평균은 statistics 블록에 표시된 전체 Insights 이벤트에 대한 전체 insight 평균과 동일합니다.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }