Visualizar eventos do Insights para trilhas com o console - AWS CloudTrail
Filtrar eventos do InsightsVisualizar detalhes de eventos do InsightsAproximar, inclinar e baixar o gráficoAlterar as configurações de intervalo de tempo do gráficoFazer download de eventos do Insights

Visualizar eventos do Insights para trilhas com o console

Esta seção descreve como exibir, pesquisar e baixar eventos do Insights dos últimos 90 dias da trilha da página Insights no console do CloudTrail. Para obter informações sobre como visualizar o CloudTrail Insights para um datastore de eventos, consulte Visualizar o painel do Insights de um datastore de eventos.

Depois que os eventos do Insights são registrados em log, eles são exibidos na página Insights por 90 dias. Não é possível excluir manualmente os eventos na página Insights. Como os eventos do Insights habilitados para uma trilha são armazenados no bucket do Amazon S3 configurado para essa trilha, a remoção dos eventos do Insights do bucket excluirá esses eventos.

Você pode monitorar os logs da trilha e receber notificações quando determinados eventos do Insights ocorrem, habilitando o Amazon CloudWatch Logs. Para obter mais informações, consulte Monitorar arquivos de log do CloudTrail com o Amazon CloudWatch Logs.

nota

Os eventos do CloudTrail Insights devem estar habilitados na trilha para ver eventos do Insights no console. Espere até 36 horas para o CloudTrail entregar os primeiros eventos do Insights, caso seja detectada atividade pouco usual durante esse período.

Para registrar em log eventos do Insights relativos à taxa de chamadas de API, a trilha deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de read ou write.

Para visualizar eventos do Insights

  1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/home/.

  2. No painel de navegação, escolha Painel para ver todos os eventos do Insights registrados em log na sua conta nos últimos 90 dias. Você também pode visualizar os cinco eventos do Insights mais recentes na página Painéis.

  3. Na página Insights, você pode filtrar os eventos do Insights por origem do evento, nome do evento ou ID do evento. Para obter mais informações sobre a filtragem de eventos do Insights, consulte Filtrar eventos do Insights.

  4. Você pode limitar ainda mais a lista a um intervalo relativo ou absoluto.

Filtrar eventos do Insights

Por padrão, os eventos na página Insights são exibidos em ordem cronológica inversa pela hora de início do evento.

Você pode filtrar a lista escolhendo um dos seguintes três atributos:

Nome do evento

O nome do evento, normalmente a API da AWS em que níveis incomuns de atividade foram registrados.

Origem do evento

O serviço AWS para o qual a solicitação foi feita, como iam.amazonaws.com ou s3.amazonaws.com. Se escolher filtrar por origem do evento, você poderá percorrer uma lista de origens de eventos.

ID do evento

O ID de evento do Insights. Os IDs de evento não são mostrados na tabela da página Insights, mas estão em um atributo no qual é possível filtrar eventos do Insights. Os IDs de eventos de gerenciamento que são analisados para gerar eventos do Insights são diferente dos IDs de eventos do Insights.

O filtro da lista de eventos do CloudTrail Insights.

A seguinte lista descreve os atributos de um evento, que não podem ser filtrados:

Tipo de insight

O tipo de evento do CloudTrail Insights, que é a taxa de chamadas à API ou a taxa de erros da API. O tipo de insight Taxa de chamadas à API analisa as chamadas à API de gerenciamento somente de gravação que são agregadas por minuto em relação a um volume de chamadas à API de linha de base. O tipo de insight Taxa de erros da API analisa as chamadas à API de gerenciamento que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida.

Hora de início do evento

A hora de início do evento do Insights, medida como o primeiro minuto em que a atividade de API incomum foi registrada. Este atributo é mostrado na tabela do Insights, mas não é possível filtrar a hora de início do evento no console.

Linha de base

A linha de base representa o padrão normal de taxa de chamadas de API ou de taxa de erros, calculada diariamente. A média da linha de base é a média desses valores diários de linha de base nos sete dias que antecedem o início de um evento do Insights. Embora esse período geralmente seja de sete dias, o CloudTrail arredonda o período de cálculo para um número inteiro de dias, portanto, a duração exata da linha de base pode variar um pouco.

Média do Insight

O número médio de chamadas para uma API ou o número médio de um erro específico que foi retornado em chamadas para uma API, que acionou o evento Insights. A média do CloudTrail Insights para o evento de início é a taxa de chamadas por minuto para a API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.

Mudança de taxa

A diferença entre o valor de Linha de base e média do Insight, medido em porcentagem. Por exemplo, se a média da linha de base de um AccessDenied erro ocorrido é 1,0, e a média do Insight é 3,0, a variação da taxa é de 300%. Uma mudança de taxa para uma média do Insight que excede uma média de linha de base mostra uma seta para cima ao lado do valor. Se o evento Insights foi registrado porque a atividade está abaixo da média da linha de base, Mudança de taxa mostra uma seta para baixo ao lado da porcentagem.

Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultados estará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro de atributo diferente, o intervalo de tempo especificado será preservado.

As etapas a seguir descrevem como filtrar por atributo.

Para filtrar por atributo

  1. Para filtrar os resultados por um atributo, escolha um atributo de pesquisa do menu suspenso e digite ou escolha um valor na caixa Inserir um valor de pesquisa.

  2. Para remover um filtro de atributo, selecione o X à direita da caixa de filtros de atributos.

As etapas a seguir descrevem como filtrar por data e hora de início e de término.

Para filtrar por data e hora de início e de término

  1. Em Filtrar por data e hora, escolha uma das seguintes opções:

    • Absoluto: permite escolher uma hora específica. Prossiga para a próxima etapa.

    • Intervalo relativo: selecionado por padrão. Permite escolher um período relativo à hora de início de um evento do Insights. Prossiga para a etapa 3.

  2. Para definir um intervalo Absoluto, faça o seguinte.

    1. Escolha o dia em que você deseja que o intervalo de tempo comece. Insira uma hora de início no dia selecionado. Para inserir uma data manualmente, digite a data no formato yyyy/mm/dd. As horas de início e término usam um relógio de 24 horas e os valores devem estar no formato hh:mm:ss. Por exemplo, para indicar uma hora de início de 18h30, digite 18:30:00.

    2. Escolha uma data de término para o intervalo no calendário ou especifique uma data e hora finais abaixo do calendário. Escolha Aplicar.

  3. Para definir um Intervalo relativo, faça o seguinte.

    1. Escolha um período predefinido relativo à hora de início dos eventos do Insights. Os intervalos de tempo são de 30 minutos, 1 hora, 12 horas ou 1 dia. Para especificar um período personalizado, escolha Custom (Personalizado).

    2. Quando definir a hora relativa que você deseja, escolha Apply (Aplicar).

  4. Para remover um filtro de intervalo de tempo, selecione o ícone de calendário à direita da caixa Filtrar por data e hora e escolha Limpar e dispensar.

Visualizar detalhes de eventos do Insights

  1. Escolha um evento do Insights na lista de resultados para mostrar os detalhes dele. A página de detalhes de um evento do Insights mostra um gráfico da linha do tempo da atividade incomum.

    Uma página de detalhes do CloudTrail Insights mostrando uma atividade incomum da API.

  2. Passe o mouse sobre as faixas destacadas para mostrar a hora inicial e a duração de cada evento do Insights no gráfico.

    Estatísticas de evento do Insights mostradas após passar o mouse sobre um evento do Insights.

    As informações a seguir são mostradas na área do gráfico Informações adicionais:

    • Insight type (Tipo de insight. Isso pode ser taxa de chamada de API ou taxa de erros da API.

    • Acionador. Este é um link para a guia Cloudtrail events (Eventos do Cloudtrail), que lista os eventos de gerenciamento que foram analisados para determinar se ocorreu atividade incomum.

    • Chamadas de API por minuto ou Erros por minuto

      • Baseline average (Média da linha de base) – A taxa típica de chamadas por minuto para essa API, conforme medida aproximadamente nos sete dias anteriores em uma região específica da sua conta.

      • Média do Insights – a taxa de chamadas por minuto para essa API que acionou o evento do Insights. A média do CloudTrail Insights para o evento de início é a taxa de chamadas por minuto para a API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.

    • Origem do evento. O endpoint de serviço AWS no qual o número incomum de chamadas de API ou erros foram registrados. Na imagem anterior, a fonte é ec2.amazonaws.com, que é o endpoint de serviço do Amazon EC2.

    • ID do evento de início - O ID do evento do Insights que foi registrado em log no início da atividade incomum.

    • ID do evento do fim - O ID do evento Insights que foi registrado no final de uma atividade incomum.

    • ID do evento compartilhado - Em eventos do Insights, o ID do evento compartilhado é um GUID gerado pelo CloudTrail Insights para identificar exclusivamente um par inicial e final de eventos do Insights. ID do evento compartilhado é comum entre o evento do Insights de início e de término e ajuda a criar uma correlação entre ambos os eventos para identificar exclusivamente a atividade incomum.

  3. Selecione a guia Attributions (Atribuições) para exibir informações sobre as identidades de usuário, agentes de usuário e em eventos de inishgts de taxa de chamada de API, os códigos de erro são correlacionados com atividade incomum e base de referência. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são mostrados nas tabelas da guia Attributions (Atribuições), ordenadas por uma média da contagem de atividade, em ordem decrescente da mais alta para a mais baixa.

  4. Na guia CloudTrail events (Eventos do CloudTrail), exiba eventos relacionados que o CloudTrail analisou para determinar que ocorreu atividade incomum. Por padrão, um filtro já está aplicado ao nome do evento do Insights, que também é o nome da API relacionada. A guia CloudTrail events (Eventos do CloudTrail) mostra eventos de gerenciamento do CloudTrail relacionados à API do assunto que ocorreu entre a hora de início (menos 1 minuto) e fim do evento (mais 1 minuto) do evento do Insights.

    À medida que você seleciona outros eventos do Insights no gráfico, os eventos mostrados na tabela CloudTrail events (Eventos do CloudTrail) mudam. Esses eventos ajudam a executar uma análise mais profunda para determinar a provável causa de um evento do Insights e os motivos da atividade de API incomum.

    Para mostrar todos os eventos do CloudTrail registrados durante o evento do Insights, e não apenas aqueles da API relacionada, desative o filtro.

  5. Selecione a guia Insights event record (Registro de eventos do Insights) para exibir os eventos de início e término do Insights no formato JSON.

  6. No painel da esquerda da página de detalhes, selecionar a Event source (Fonte do evento) vinculada retorna à página do Insights filtrada por essa fonte do evento.

Aproximar, inclinar e baixar o gráfico

É possível aplicar zoom, panorâmica e reiniciar os eixos do gráfico na página de detalhes do evento do Insights usando uma barra de ferramentas no canto direito superior.

Barra de ferramentas de comando de fazer download como PNG, aplicar zoom, panorâmica, aumentar o zoom, diminuir o zoom e reiniciar os eixos.

Da esquerda para a direita, os botões de comando na barra de ferramentas do gráfico fazem o seguinte:

  • Download plot as a PNG (Fazer download do gráfico como PNG) – faça download da imagem do gráfico mostrada na página de detalhes, e salve-a no formato PNG.

  • Zoom – arraste para selecionar uma área no gráfico que você deseja ampliar e ver com mais detalhes.

  • Pan (Panorâmica) – desloque o gráfico para ver datas ou horas adjacentes.

  • Reset axes (Redefinir eixos) – altere os eixos do gráfico de volta aos originais, limpando as configurações de zoom e panorâmica.

Alterar as configurações de intervalo de tempo do gráfico

É possível alterar o intervalo de tempo (a duração selecionada dos eventos mostrada no eixo x) que é exibido no gráfico escolhendo uma configuração no canto superior direito do gráfico.

Controle de intervalo de tempo para um evento do Insights.

Fazer download de eventos do Insights

É possível fazer download do histórico de eventos registrados do Insights como um arquivo no formato CSV ou JSON. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.

nota

Os arquivos de histórico de eventos do CloudTrail são arquivos de dados contendo informações (como nomes de recursos) que podem ser configurados por usuários específicos. Alguns dados podem ser interpretados como comandos em programas usados para ler e analisar esses dados (injeção de CSV). Por exemplo, quando os eventos do CloudTrail são exportados para CSV e importados para um programa de planilha, esse programa pode avisá-lo sobre problemas de segurança. Como melhor prática de segurança, desative links ou macros de arquivos do histórico de eventos obtidos por download.

  1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download. Por exemplo, você pode especificar o nome do evento, StartInstances, e especificar um intervalo para os últimos 12 horas de atividade.

  2. Escolha Download events (Baixar eventos) e, em seguida, Download as CSV (Baixar como CSV) ou Download as JSON (Baixar como JSON). Você será solicitado a escolher um local para salvar o arquivo.

    nota

    O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos, antes de iniciar o processo de download, use um filtro específico ou um período mais curto para restringir os resultados.

  3. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.

  4. Para cancelar o download, escolha Cancelar. Se você cancelar um download antes que ele seja concluído, um arquivo CSV ou JSON em seu computador local pode conter apenas parte de seus eventos.