Visualizando eventos do Insights para trilhas com o AWS CLI

Esta seção descreve como usar o list-insights-data comando AWS CLI lookup-events and para pesquisar os últimos 90 dias de eventos do Insights em busca de uma trilha com eventos do Insights ativados. Para obter informações sobre como ativar o CloudTrail Insights em uma trilha, consulteRegistrando eventos do Insights para uma trilha usando o AWS CLI.

nota

Você não pode usar o list-insights-data comando lookup-events ou para pesquisar eventos do Insights para um armazenamento de dados de eventos, no entanto, o CloudTrail Lake oferece vários exemplos de consultas para armazenamentos de dados de eventos do Insights. Para obter mais informações, consulte Visualizar exemplos de consultas para eventos do Insights.

O comando lookup-events apresenta as seguintes opções:

--end-time
--event-category
--max-results
--start-time
--lookup-attributes
--next-token
--generate-cli-skeleton
--cli-input-json

O comando list-insights-data apresenta as seguintes opções:

--end-time
--data-type
--max-results
--start-time
--dimensions
--next-token
--generate-cli-skeleton
--cli-input-json

Para obter informações gerais sobre como usar o AWS Command Line Interface, consulte o Guia AWS Command Line Interface do usuário.

Sumário

Pré-requisitos

Para executar AWS CLI comandos, você deve instalar AWS CLI o. Para obter mais informações, consulte Conceitos básicos do AWS CLI.
Certifique-se de que sua AWS CLI versão seja maior que 1.6.6. Para verificar a versão da CLI, execute aws --version na linha de comando.
Para definir a conta, a região e o formato de saída padrão para uma AWS CLI sessão, use o aws configure comando. Para obter mais informações, consulte Configurar a interface de linha de comando da AWS.
Para registrar em log eventos do Insights relativos à taxa de chamadas de API, a trilha deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de read ou write.

nota

Os CloudTrail AWS CLI comandos diferenciam maiúsculas de minúsculas.

Receber ajuda da linha de comando

Para ver a ajuda da linha de comando para lookup-events, digite o comando a seguir.


aws cloudtrail lookup-events help

Procurando eventos do Insights para eventos de gerenciamento

Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.


aws cloudtrail lookup-events --event-category insight

Um evento retornado tem aparência semelhante ao seguinte exemplo:


{
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", 
    "Events": [
        {
            "eventVersion": "1.09",
            "eventTime": "2024-12-11T16:52:00Z",
            "awsRegion": "us-east-1",
            "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
            "eventType": "AwsCloudTrailInsight",
            "recipientAccountId": "888888888888",
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
            "insightDetails": {
                "state": "Start",
                "eventSource": "cloudtrail.amazonaws.com",
                "eventName": "DescribeQuery",
                "insightType": "ApiErrorRateInsight",
                "errorCode": "QueryIdNotFoundException",
                "sourceEventCategory": "Management",
                "insightContext": {
                    "statistics": {
                        "baseline": {
                            "average": 0
                        },
                        "insight": {
                            "average": 1.2
                        },
                        "insightDuration": 5,
                        "baselineDuration": 11092
                    },
                    "attributions": [
                        {
                            "attribute": "userIdentityArn",
                            "insight": [
                                {
                                    "value": "arn:aws:sts::888888888888:assumed-role/Admin",
                                    "average": 1.2
                                }
                            ],
                            "baseline": []
                        },
                        {
                            "attribute": "userAgent",
                            "insight": [
                                {
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
                                    "average": 1.2
                                }
                            ],
                            "baseline": []
                        }
                    ]
                }
            },
            "eventCategory": "Insight"
        },
        {
            "eventVersion": "1.09",
            "eventTime": "2024-12-11T16:53:00Z",
            "awsRegion": "us-east-1",
            "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
            "eventType": "AwsCloudTrailInsight",
            "recipientAccountId": "888888888888",
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
            "insightDetails": {
                "state": "End",
                "eventSource": "cloudtrail.amazonaws.com",
                "eventName": "DescribeQuery",
                "insightType": "ApiErrorRateInsight",
                "errorCode": "QueryIdNotFoundException",
                "sourceEventCategory": "Management",
                "insightContext": {
                    "statistics": {
                        "baseline": {
                            "average": 0
                        },
                        "insight": {
                            "average": 6
                        },
                        "insightDuration": 1,
                        "baselineDuration": 11092
                    },
                    "attributions": [
                        {
                            "attribute": "userIdentityArn",
                            "insight": [
                                {
                                    "value": "arn:aws:sts::888888888888:assumed-role/Admin",
                                    "average": 6
                                }
                            ],
                            "baseline": []
                        },
                        {
                            "attribute": "userAgent",
                            "insight": [
                                {
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
                                    "average": 6
                                }
                            ],
                            "baseline": []
                        }
                    ]
                }
            },
            "eventCategory": "Insight"
        }
    ]
}

Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte Pesquisar campos de resultados neste tópico. Para ver uma explicação sobre os eventos do Insights, consulte CloudTrail gravar conteúdo para eventos do Insights para trilhas.

Procurando eventos do Insights para eventos de dados

Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName

Um evento retornado tem aparência semelhante ao seguinte exemplo:



    {  
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",   
    "Events": [  
        {  
            "eventVersion": "1.09",  
            "eventTime": "2024-12-11T16:52:00Z",  
            "awsRegion": "us-east-2",  
            "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",  
            "eventType": "AwsCloudTrailInsight",  
            "recipientAccountId": "123456789012",  
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",  
            "insightDetails": {  
                "state": "Start",  
                "eventSource": "s3.amazonaws.com",  
                "eventName": "PutObject",  
                "insightType": "ApiErrorRateInsight",  
                "errorCode": "InvalidRequest",
                "sourceEventCategory": "Data",
                "insightContext": {  
                    "statistics": {  
                        "baseline": {  
                            "average": 0  
                        },  
                        "insight": {  
                            "average": 1.2  
                        },  
                        "insightDuration": 5,  
                        "baselineDuration": 11092  
                    },  
                    "attributions": [  
                        {  
                            "attribute": "userIdentityArn",  
                            "insight": [  
                                {  
                                    "value": "arn:aws:sts::123456789012:assumed-role/Admin",  
                                    "average": 1.2  
                                }  
                            ],  
                            "baseline": []  
                        },  
                        {  
                            "attribute": "userAgent",  
                            "insight": [  
                                {  
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",  
                                    "average": 1.2  
                                }  
                            ],  
                            "baseline": []  
                        }  
                    ]  
                },  

                "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"  
            },  
            "eventCategory": "Insight"  
        },  
        {  
            "eventVersion": "1.09",  
            "eventTime": "2024-12-11T16:53:00Z",  
            "awsRegion": "us-east-1",  
            "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",  
            "eventType": "AwsCloudTrailInsight",  
            "recipientAccountId": "123456789012",  
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",  
            "insightDetails": {  
                "state": "End",  
                "eventSource": "s3.amazonaws.com",  
                "eventName": "PutObject",  
                "insightType": "ApiErrorRateInsight",  
                "errorCode": "InvalidRequest",  
                "sourceEventCategory": "Data",  
                "insightContext": {  
                    "statistics": {  
                        "baseline": {  
                            "average": 0  
                        },  
                        "insight": {  
                            "average": 6  
                        },  
                        "insightDuration": 1,  
                        "baselineDuration": 11092  
                    },  
                    "attributions": [  
                        {  
                            "attribute": "userIdentityArn",  
                            "insight": [  
                                {  
                                    "value": "arn:aws:sts::123456789012:assumed-role/Admin",  
                                    "average": 6  
                                }  
                            ],  
                            "baseline": []  
                        },  
                        {  
                            "attribute": "userAgent",  
                            "insight": [  
                                {  
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",  
                                    "average": 6  
                                }  
                            ],  
                            "baseline": []  
                        }  
                    ]  
                }, 

                "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"    
            },  
            "eventCategory": "Insight"  
        }  
    ]  
}

Especificando o número de eventos do Insights para que os eventos de gerenciamento retornem

Para especificar o número de eventos do Insights para que os eventos de gerenciamento retornem, digite o comando a seguir.


aws cloudtrail lookup-events --event-category insight --max-results <integer>

O valor padrão para<integer>, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.


aws cloudtrail lookup-events --event-category insight --max-results 1

Especificando o número de eventos do Insights para que os eventos de dados retornem

Para especificar o número de eventos do Insights para que os eventos de dados retornem, digite o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results <integer>

O valor padrão para<integer>, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1

Pesquisar eventos do Insights para eventos de gerenciamento por intervalo de tempo

Os eventos do Insights para eventos de gerenciamento dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.


aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp> especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.

--end-time <timestamp> especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.

O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.

Todos os carimbos de data/hora são exibidos em UTC.

Procurando eventos do Insights para eventos de dados por intervalo de tempo

Os eventos do Insights para eventos de dados dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time <timestamp> --end-time <timestamp>

Todos os carimbos de data/hora são exibidos em UTC.

Pesquisar eventos do Insights para eventos de gerenciamento por atributo

Para filtrar por um atributo, digite o comando a seguir.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

É possível especificar somente um par de chave-valor do atributo para cada comando lookup-events. Veja a seguir os valores de evento do Insights válidos para AttributeKey. Os nomes dos valores diferenciam maiúsculas de minúsculas.

EventId
EventName
EventSource

O tamanho máximo para AttributeValue é de 2.000 caracteres. Os seguintes caracteres ("_", " ", ",", "\\n") contam como dois caracteres até o limite de 2.000 caracteres.

Exemplos de consulta de atributo

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventName é PutRule.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventId é b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventSource é iam.amazonaws.com.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com

Pesquisando eventos do Insights para eventos de dados por dimensão

Para filtrar por uma dimensão, digite o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName 
        --dimensions <DimensionKey>=<DimensionValue>

Você pode especificar somente um par de valores-chave de dimensão para cada list-insights-events comando. Veja a seguir os valores de evento do Insights válidos para DimensionKey. Os nomes dos valores diferenciam maiúsculas de minúsculas.

EventId
EventName
EventSource

O tamanho máximo para DimensionValue é de 2.000 caracteres. Os seguintes caracteres ("_", " ", ",", "\\n") contam como dois caracteres até o limite de 2.000 caracteres.

Exemplos de pesquisa de dimensões

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventName é PutObject.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventId é b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventSource é s3.amazonaws.com.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com

Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento

Para obter a próxima página de resultados de um comando lookup-events, digite o comando a seguir.


aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>

Nesse comando, o valor para <token> é obtido do primeiro campo da saída do comando anterior.

Quando você usa --next-token em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.


aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=

Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento

Para obter a próxima página de resultados de um comando list-insights-data, digite o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName<same parameters as previous command> --next-token=<token>

Nesse comando, o valor para <token> é obtido do primeiro campo da saída do comando anterior.

Quando você usa --next-token em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject

Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=

Obter entrada JSON de um arquivo para eventos do Insights para eventos de gerenciamento

O AWS CLI para alguns AWS serviços tem dois parâmetros --generate-cli-skeleton e--cli-input-json, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o --cli-input-json parâmetro. Esta seção descreve como usar esses parâmetros com aws cloudtrail lookup-events. Para obter mais informações, consulte Esqueletos e arquivos de entrada da AWS CLI.

Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo

Crie um modelo de entrada para uso com lookup-events redirecionando os resultados --generate-cli-skeleton para um arquivo, como no exemplo a seguir.


aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt

O arquivo de modelo gerado (nesse caso, LookupEvents .txt) tem a seguinte aparência.



{
    "LookupAttributes": [
        {
            "AttributeKey": "",
            "AttributeValue": ""
        }
    ],
    "StartTime": null,
    "EndTime": null,
    "MaxResults": 0,
    "NextToken": ""
}

Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.

Importante
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.

O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
```
{
    "StartTime": "2023-11-01",
    "EndTime": "2023-12-12",
    "MaxResults": 10
}                         
```
Para usar o arquivo editado como entrada, use a sintaxe --cli-input-json file://<filename>, como no exemplo a seguir.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```

nota

É possível usar outros argumentos na mesma linha de comando como --cli-input-json.

Obter entrada JSON de um arquivo para eventos do Insights para eventos de dados

O AWS CLI para alguns AWS serviços tem dois parâmetros --generate-cli-skeleton e--cli-input-json, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o --cli-input-json parâmetro. Esta seção descreve como usar esses parâmetros com aws cloudtrail list-insights-data. Para obter mais informações, consulte Esqueletos e arquivos de entrada da AWS CLI.

Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo

Crie um modelo de entrada para uso com list-insights-data redirecionando os resultados --generate-cli-skeleton para um arquivo, como no exemplo a seguir.


aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt

O arquivo de modelo gerado (nesse caso, ListInsightsData .txt) tem a seguinte aparência.


{  
   "InsightSource": "",
    "DataType": "InsightsEvents", 
    "Dimensions":
    {
        "KeyName": ""
    },
    "StartTime": null,
    "EndTime": null,
    "MaxResults": 0,
    "NextToken": ""
}

Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.

Importante

Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.

O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.



{
    
   "InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", 
    "DataType": "InsightsEvents", 
    "Dimensions":
    {
        "EventName": "PutObject"
    },
    "StartTime": "2025-11-01",
    "EndTime": "2025-11-05",
    "MaxResults": 1
}

Para usar o arquivo editado como entrada, use a sintaxe --cli-input-json file://<filename>, como no exemplo a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```

nota

É possível usar outros argumentos na mesma linha de comando como --cli-input-json.

Pesquisar campos de resultados

Eventos

Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foram especificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cada entrada contém informações sobre a solicitação de pesquisa e inclui uma representação em cadeia de caracteres do CloudTrail evento que foi recuperado.

As seguintes entradas descrevem os campos de cada evento de pesquisa.

CloudTrailEvent

Uma string JSON que contém uma representação do objeto do evento retornado. Para obter informações sobre cada um dos elementos retornados, consulte Conteúdo do corpo do registro.

EventId

Uma string que contém a GUID do evento retornado.

EventName

Uma string que contém o nome do evento retornado.

EventSource

O AWS serviço para o qual a solicitação foi feita.

EventTime

A data e a hora, em formato de horário do UNIX, do evento.

Recursos

Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especifica um tipo e um nome do recurso.

ResourceName

Uma string que contém o nome do recurso referenciado pelo evento.

ResourceType

Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso não pode ser determinado, null é retornado.

Nome de usuário

Uma string que contém o nome do usuário da conta do evento retornado.

NextToken

Uma string para obter a próxima página de resultados de um comando lookup-events anterior. Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entrada NextToken aparecer nos resultados, significa que não há mais resultados a serem retornados.

Para obter mais informações sobre os eventos do CloudTrail Insights, consulte Trabalhando com CloudTrail Insights este guia.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualizar eventos do Insights para trilhas com o console

Visualizar eventos do Insights para armazenamentos de dados de eventos