CloudTrail gravar conteúdo para eventos do Insights para trilhas - AWS CloudTrail
Exemplo do bloco insightDetails

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail gravar conteúdo para eventos do Insights para trilhas

AWS CloudTrail Os registros de eventos do Insights para trilhas incluem campos que são diferentes de outros CloudTrail eventos em sua estrutura JSON, às vezes chamados de carga útil. CloudTrail Os eventos do Insights para trilhas contêm os seguintes campos:

  • eventVersion: a versão do evento.

    Desde: 1.07

    Opcional: False

  • eventType: o tipo de evento. Para eventos do Insights, o valor é sempre AwsCloudTrailInsight.

    Desde: 1.07

    Opcional: False

  • eventID— GUID gerado por CloudTrail para identificar de forma exclusiva cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

    Desde: 1.07

    Opcional: False

  • eventTime: a hora em que o evento do Insights começou ou parou, no horário do tempo universal coordenado (UTC).

    Desde: 1.07

    Opcional: False

  • awsRegion— O Região da AWS local em que o evento Insights ocorreu, comous-east-2.

    Desde: 1.07

    Opcional: False

  • recipientAccountId: representa o ID da conta que recebeu esse evento.

    Desde: 1.07

    Opcional: True

  • sharedEventID— Um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um evento do Insights. sharedEventIDé comum entre o início e o fim dos eventos do Insights e ajuda a conectar os dois eventos para identificar de forma exclusiva atividades incomuns. É possível pensar no sharedEventID como o ID de evento do Insights geral.

    Desde: 1.07

    Opcional: False

  • insightDetails— Um registro de evento do CloudTrail Insights para uma trilha inclui um insightDetails bloco que contém informações sobre os gatilhos subjacentes de um evento do Insights, como fonte do evento, identidades do usuário, agentes do usuário, médias históricas ou linhas de base, estatísticas, nome da API e se o evento é o início ou o fim do evento do Insights.

    Desde: 1.07

    Opcional: False

    • state— Se o evento é o evento inicial ou final do Insights. O valor pode ser Start ou End.

      Desde: 1.07

      Opcional: False

    • eventSource— O AWS serviço que foi a fonte da atividade incomum, comoec2.amazonaws.com.

      Desde: 1.07

      Opcional: False

    • eventName— O nome do evento Insights, normalmente o nome da API que foi a fonte da atividade incomum.

      Desde: 1.07

      Opcional: False

    • insightType— O tipo de evento do Insights. Esse valor pode ser ApiCallRateInsight ou ApiErrorRateInsight.

      Desde: 1.07

      Opcional: False

    • errorCode: o código de erro da atividade pouco usual. Veja também errorCode em CloudTrail registrar conteúdo para eventos de gerenciamento, dados e atividades de rede.

      Desde: 1.07

      Opcional: True

    • insightContext— Informações sobre as AWS ferramentas (chamadas de agentes de usuário), usuários e funções do IAM (chamados de identidades de usuário) e códigos de erro associados aos eventos CloudTrail analisados para gerar o evento Insights. Este elemento também inclui estatísticas que mostram como a atividade incomum em um evento do Insights se compara às atividades de linha de base, ou normais.

      Desde: 1.07

      Opcional: False

      • statistics: inclui dados sobre a linha de base ou taxa média típica de chamadas ou erros de API em questão por uma conta conforme medido durante o período de linha de base, a taxa média de chamadas ou erros que acionaram o evento do Insights, a duração, em minutos, do evento de Insights e a duração, em minutos, do período de medição da linha de base.

        Desde: 1.07

        Opcional: False

        • baseline: as chamadas de API ou erros de API por minuto ao longo da duração da linha de base na API em questão do evento do Insights para a conta, calculados durante os sete dias anteriores ao início do evento do Insights.

          Desde: 1.07

          Opcional: False

          • average: a média histórica de chamadas de API ou erros de API por minuto durante os sete dias anteriores à hora de início da atividade do Insights.

            Desde: 1.07

            Opcional: False

        • insight: para um evento de início do Insights, esse valor é o número médio de chamadas de API por minuto durante o início da atividade pouco usual. Para um evento de término do Insights, esse valor é o número médio de chamadas de API por minuto sobre a duração da atividade incomum.

          Desde: 1.07

          Opcional: False

          • average: o número de chamadas de API ou erros de API registrados em log por minuto durante o período de atividade pouco usual.

            Desde: 1.07

            Opcional: False

        • insightDuration: a duração, em minutos, de um evento do Insights (o período do início ao fim da atividade pouco usual da API em questão). O insightDuration apenas ocorre em eventos do Insights de término.

          Desde: 1.07

          Opcional: False

        • baselineDuration: a duração, em minutos, do período da linha de base (o período em que a atividade normal é medida na API em questão). baselineDuration é, no mínimo, sete dias (10.080 minutos) antes de um evento do Insights. Esse campo ocorre em eventos de início e término do Insights. A hora de término do baselineDuration é sempre o início de um evento do Insights.

          Desde: 1.07

          Opcional: False

      • attributions: inclui informações sobre as identidades de usuários, os agentes de usuários e os códigos de erro correlacionados com a atividade pouco e a atividade de linha de base. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são capturados em um bloco attributions de evento do Insights, ordenados por uma média da contagem de atividade, em ordem decrescente do mais alto para o mais baixo.

        Desde: 1.07

        Opcional: True

        • attribute— Contém o tipo de atributo. Os valores podem ser userIdentityArn, userAgent ou errorCode. Se presentes, esses valores aparecerão apenas uma vez em um atributo individual. Valores de atributos diferentes podem ter valores de userIdentityArn, userAgent ou errorCode diferentes, mas cada instância de atributo conterá apenas um valor para userIdentityArn, userAgent ou errorCode.

          Desde: 1.07

          Opcional: False

        • insight: um bloco que mostra até os cinco principais valores de atributos que contribuíram para as chamadas de API ou erros de API ocorridos durante o período de atividade pouco usual, em ordem decrescente, do maior número de chamadas de API ou erros de API para o menor. Também mostra o número médio de chamadas de API ou erros de API feitos pelos valores de atributos durante o período de atividade pouco usual.

          Desde: 1.07

          Opcional: False

          • value: o atributo que contribuiu para as chamadas de API ou erros de API feitos durante o período de atividade pouco usual.

            Desde: 1.07

            Opcional: falso Falso

          • average: o número de chamadas de API por minuto durante o período de atividade pouco usual para o atributo no campo value.

            Desde: 1.07

            Opcional: falso Falso

        • baseline: um bloco que mostra até os cinco principais valores de atributos que mais contribuíram para as chamadas de API ou erros de API ocorridos durante o período de atividade normal, em ordem decrescente, do maior número de chamadas de API ou erros de API para o menor. Também mostra o número médio de chamadas de API ou erros de API feitos pelos valores de atributos durante o período de atividade normal.

          Desde: 1.07

          Opcional: falso Falso

          • value: o atributo que contribuiu para as chamadas de API ou erros de API durante o período de atividade normal.

            Desde: 1.07

            Opcional: falso Falso

          • average: a média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o atributo no campo value.

            Desde: 1.07

            Opcional: falso Falso

  • eventCategory: a categoria do evento. Para eventos do Insights, o valor é sempre Insight.

    Desde: 1.07

    Opcional: False

Exemplo do bloco insightDetails

O exemplo a seguir mostra um bloco insightDetails de evento do Insights que ocorreu quando a API do Application Auto Scaling CompleteLifecycleAction foi chamada um número incomum de vezes. Para obter um exemplo de um evento completo do Insights, consulte Eventos do Insights.

Este é um exemplo de um evento inicial do Insights, indicado por "state": "Start". As principais identidades de usuário que ligaram para o APIs associado ao evento do InsightsCodeDeployRole1,CodeDeployRole2,, eCodeDeployRole3, são mostradas no attributions bloco, junto com suas taxas médias de chamadas de API para esse evento do Insights e a linha de base da CodeDeployRole1 função. O attributions bloco também mostra que o agente do usuário écodedeploy.amazonaws.com, o que significa que as principais identidades de usuário usaram o AWS CodeDeploy console para executar as chamadas de API.

Como não há códigos de erro associados aos eventos que foram analisados para gerar o evento do Insights (o valor é null), a média insight para o código de erro é a mesma que a média geral do insight para todo o evento do Insights, mostrado no bloco statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }