As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visualizar eventos do Insights para trilhas
Esta seção descreve como você pode pesquisar os últimos 90 dias de eventos do Insights para uma trilha com o CloudTrail Insights ativado. Para obter informações sobre como visualizar o CloudTrail Insights para um armazenamento de dados de eventos, consulte[Visualizar o painel do Insights de um datastore de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Você pode visualizar, filtrar e baixar os eventos do Insights nos últimos 90 dias para uma trilha na página **Insights** no console.
Você pode buscar os últimos 90 dias de eventos do Insights de forma programática:
+ Para trilhas, registre eventos de gerenciamento por meio da execução do AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)comando ou da operação [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)da API.
+ Para trilhas, registre eventos de dados executando o AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)comando ou a operação [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)da API.
Para obter descrições dos campos de registro de eventos do Insights para trilhas, consulte [CloudTrail gravar conteúdo para eventos do Insights para trilhas](cloudtrail-insights-fields-trails.md).
**nota**
A página do **Insights** AWS CLI `lookup-events` e/ou o `list-insights-data` comando listam somente os eventos do Insights se você tiver ativado o Insights em uma trilha que registra eventos de gerenciamento ou de dados. Para obter informações sobre como habilitar o Insights em uma trilha, consulte [Habilitando o CloudTrail Insights em uma trilha existente com o console](insights-events-enable.md#insights-events-enable-trail) e [Registrando eventos do Insights para uma trilha usando o AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Para registrar eventos do Insights sobre a taxa de chamadas da API, a trilha deve registrar eventos `write` de gerenciamento ou dados. Para registrar eventos do Insights sobre a taxa de erro da API, a trilha deve registrar os eventos `write` de gerenciamento `read` ou dados.
**Topics**
+ [Visualizar eventos do Insights para trilhas com o console](view-insights-events-console.md)
+ [Visualizando eventos do Insights para trilhas com o AWS CLI](view-insights-events-cli.md)
# Visualizar eventos do Insights para trilhas com o console
Esta seção descreve como visualizar, pesquisar e baixar os últimos 90 dias de eventos do Insights para uma trilha na página do **Insights** no CloudTrail console. Para obter informações sobre como visualizar o CloudTrail Insights para um armazenamento de dados de eventos, consulte[Visualizar o painel do Insights de um datastore de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Depois que os eventos do Insights são registrados em log, eles são exibidos na página **Insights** por 90 dias. Não é possível excluir manualmente os eventos na página **Insights**. Como os eventos do Insights habilitados para uma trilha são armazenados no bucket do Amazon S3 configurado para essa trilha, a remoção dos eventos do Insights do bucket excluirá esses eventos.
Você pode monitorar seus registros de trilhas e ser notificado quando eventos específicos do Insights ocorrerem ativando CloudWatch os Registros. Para obter mais informações, consulte [Monitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**nota**
CloudTrail Os eventos do Insights devem estar habilitados em sua trilha para ver os eventos do Insights no console. Aguarde até 36 horas CloudTrail para entregar os primeiros eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
Para insights de eventos de gerenciamento: para registrar eventos do Insights na taxa de chamadas da API, a trilha deve registrar eventos `write` de gerenciamento. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de `read` ou `write`.
Para insights de eventos de dados: para registrar eventos do Insights sobre a taxa de chamadas da API ou a taxa de erro da API, a trilha deve registrar `read` eventos de `write` dados.
**Para visualizar eventos do Insights**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/casa/](https://console.aws.amazon.com/cloudtrail/home/).
1. No painel de navegação, escolha **Painel** para ver todos os eventos do Insights registrados em log na sua conta nos últimos 90 dias. Você também pode visualizar os cinco eventos do Insights mais recentes na página **Painéis**.
1. Na página **Insights**, você pode selecionar a guia Insights de eventos de gerenciamento ou Insights de eventos de dados
1. Você pode filtrar eventos do Insights por fonte do evento, nome do evento ou ID do evento. Para obter mais informações sobre a filtragem de eventos do Insights, consulte [Filtrar eventos do Insights](#filtering-insights-events).
1. É possível limitar ainda mais a lista a um **intervalo relativo** ou **absoluto**.
**Contents**
+ [Filtrar eventos do Insights](#filtering-insights-events)
+ [Visualizar detalhes de eventos do Insights](#viewing-details-for-an-event)
+ [Aproximar, inclinar e baixar o gráfico](#viewing-insight-details-zoom)
+ [Alterar as configurações de intervalo de tempo do gráfico](#viewing-insight-details-timespan)
+ [Fazer download de eventos do Insights](#downloading-insights-events)
## Filtrar eventos do Insights
Por padrão, os eventos na página **Insights** são exibidos em ordem cronológica inversa pela hora de início do evento.
Você pode filtrar a lista escolhendo um dos seguintes três atributos:
**Nome do evento**
O nome do evento, normalmente a AWS API na qual níveis incomuns de atividade foram registrados.
**Origem do evento.**
O AWS serviço para o qual a solicitação foi feita, como `iam.amazonaws.com` ou`s3.amazonaws.com`. Se escolher filtrar por origem do evento, você poderá percorrer uma lista de origens de eventos.
**ID do evento**
O ID de evento do Insights. IDs Os eventos não são mostrados na tabela da página do **Insights**, mas são um atributo no qual você pode filtrar os eventos do Insights. O evento IDs de gerenciamento ou eventos de dados que são analisados para gerar eventos do Insights é diferente do evento IDs dos eventos do Insights.
![\[O filtro da lista de eventos do CloudTrail Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_events_filter.png)
A seguinte lista descreve os atributos de um evento, que não podem ser filtrados:
**Tipo de insight**
O tipo de evento do CloudTrail Insights, que é a taxa de **chamadas da API ou a taxa** **de erro da API**. O tipo **de insight de taxa de chamadas de API** analisa o gerenciamento somente de gravação ou as chamadas de API de dados que são agregadas por minuto em relação a um volume básico de chamadas de API. O tipo **de insight da taxa de erro da API** analisa as chamadas de API de gerenciamento ou de dados que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida.
**Hora de início do evento**
A hora de início do evento do Insights, medida como o primeiro minuto em que a atividade de API incomum foi registrada. Este atributo é mostrado na tabela do **Insights**, mas não é possível filtrar a hora de início do evento no console.
**Linha de base**
A linha de base representa o padrão normal de taxa de chamadas de API ou de taxa de erros, calculada diariamente. A média da linha de base é a média desses valores diários de linha de base nos sete dias que antecedem o início de um evento do Insights. Embora esse período geralmente seja de sete dias, CloudTrail arredonda o período de cálculo para um número inteiro de dias, portanto, a duração exata da linha de base pode variar um pouco.
**Média do Insight**
O número médio de chamadas para uma API ou o número médio de um erro específico que foi retornado em chamadas para uma API, que acionou o evento Insights. A média do CloudTrail Insights para o evento inicial é a taxa de ocorrências que acionaram o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.
**Mudança de taxa**
A diferença entre o valor de **Linha de base** e **média do Insight**, medido em porcentagem. Por exemplo, se a média da linha de base de um `AccessDenied` erro ocorrido é 1,0, e a média do Insight é 3,0, a variação da taxa é de 300%. Uma mudança de taxa para uma média do Insight que excede uma média de linha de base mostra uma seta para cima ao lado do valor. Se o evento Insights foi registrado porque a atividade está abaixo da média da linha de base, **Mudança de taxa** mostra uma seta para baixo ao lado da porcentagem.
Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultados estará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro de atributo diferente, o intervalo de tempo especificado será preservado.
As etapas a seguir descrevem como filtrar por atributo.
**Para filtrar por atributo**
1. Para filtrar os resultados por um atributo, escolha um atributo de pesquisa do menu suspenso e digite ou escolha um valor na caixa **Inserir um valor de pesquisa**.
1. Para remover um filtro de atributo, selecione o **X** à direita da caixa de filtros de atributos.
As etapas a seguir descrevem como filtrar por data e hora de início e de término.
**Para filtrar por data e hora de início e de término**
1. Em **Filtrar por data e hora**, escolha uma das seguintes opções:
+ **Absoluto**: permite escolher uma hora específica. Prossiga para a próxima etapa.
+ **Intervalo relativo**: selecionado por padrão. Permite escolher um período relativo à hora de início de um evento do Insights. Vá para a etapa 3.
1. Para definir um intervalo **Absoluto**, faça o seguinte.
1. Escolha o dia em que você deseja que o intervalo de tempo comece. Insira uma hora de início no dia selecionado. Para inserir uma data manualmente, digite a data no formato `yyyy/mm/dd`. As horas de início e término usam um relógio de 24 horas e os valores devem estar no formato `hh:mm:ss`. Por exemplo, para indicar uma hora de início de 18h30, digite **18:30:00**.
1. Escolha uma data de término para o intervalo no calendário ou especifique uma data e hora finais abaixo do calendário. Escolha **Aplicar**.
1. Para definir um **Intervalo relativo**, faça o seguinte.
1. Escolha um período predefinido relativo à hora de início dos eventos do Insights. Os intervalos de tempo são de 30 minutos, 1 hora, 12 horas ou 1 dia. Para especificar um período personalizado, escolha **Custom** (Personalizado).
1. Quando definir a hora relativa que você deseja, escolha **Apply** (Aplicar).
1. Para remover um filtro de intervalo de tempo, selecione o ícone de calendário à direita da caixa **Filtrar por data e hora** e escolha **Limpar e dispensar**.
## Visualizar detalhes de eventos do Insights
1. Escolha um evento do Insights na lista de resultados para mostrar os detalhes dele. A página de detalhes de um evento do Insights mostra um gráfico da linha do tempo da atividade incomum.
![\[Uma página de detalhes do CloudTrail Insights mostrando atividades incomuns da API.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Passe o mouse sobre as faixas destacadas para mostrar a hora inicial e a duração de cada evento do Insights no gráfico.
![\[Estatísticas de evento do Insights mostradas após passar o mouse sobre um evento do Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
As informações a seguir são mostradas na área do gráfico **Informações adicionais**:
+ **Insight type** (Tipo de insight). Isso pode ser taxa de chamada de API ou taxa de erros da API.
+ **Acionador**. Esse é um link para a guia **Eventos do Cloudtrail, que lista os eventos** de gerenciamento ou de dados que foram analisados para determinar a ocorrência de uma atividade incomum.
+ **Chamadas de API por minuto** ou **Erros por minuto**
+ **Baseline average** (Média da linha de base) – A taxa típica de chamadas por minuto para essa API, conforme medida aproximadamente nos sete dias anteriores em uma região específica da sua conta.
+ **Média do Insights** – a taxa de chamadas por minuto para essa API que acionou o evento do Insights. A média do CloudTrail Insights para o evento inicial é a taxa de chamadas ou erros por minuto na API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.
+ **Event source** (Fonte do evento). O endpoint do AWS serviço no qual o número incomum de chamadas ou erros de API foram registrados. Na imagem anterior, a origem é`ec2.amazonaws.com`, que é o endpoint do serviço da Amazon. EC2
+ **ID do evento de início** - O ID do evento do Insights que foi registrado em log no início da atividade incomum.
+ **ID do evento do fim** - O ID do evento Insights que foi registrado no final de uma atividade incomum.
+ **ID de evento compartilhado** - Em eventos do Insights, o **ID do evento compartilhado** é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. **ID do evento compartilhado** é comum entre o evento do Insights de início e de término e ajuda a criar uma correlação entre ambos os eventos para identificar exclusivamente a atividade incomum.
1. Selecione a guia **Attributions** (Atribuições) para exibir informações sobre as identidades de usuário, agentes de usuário e em eventos de inishgts de taxa de chamada de API, os códigos de erro são correlacionados com atividade incomum e base de referência. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são mostrados nas tabelas da guia **Attributions** (Atribuições), ordenadas por uma média da contagem de atividade, em ordem decrescente da mais alta para a mais baixa.
1. Na guia **CloudTrail Eventos**, visualize os eventos relacionados que CloudTrail foram analisados para determinar a ocorrência de uma atividade incomum. Por padrão, um filtro já está aplicado ao nome do evento do Insights, que também é o nome da API relacionada. A guia de **CloudTrail eventos** mostra eventos CloudTrail de gerenciamento ou de dados relacionados à API em questão que ocorreram entre a hora de início (menos um minuto) e a hora de término (mais um minuto) do evento do Insights.
Conforme você seleciona outros eventos do Insights no gráfico, os eventos mostrados na tabela de **CloudTrail eventos** mudam. Esses eventos ajudam a executar uma análise mais profunda para determinar a provável causa de um evento do Insights e os motivos da atividade de API incomum.
Para mostrar todos os CloudTrail eventos que foram registrados durante a duração do evento do Insights, e não apenas aqueles da API relacionada, desative o filtro.
1. Selecione a guia **Insights event record** (Registro de eventos do Insights) para exibir os eventos de início e término do Insights no formato JSON.
1. No painel da esquerda da página de detalhes, selecionar a **Event source** (Fonte do evento) vinculada retorna à página do **Insights** filtrada por essa fonte do evento.
## Aproximar, inclinar e baixar o gráfico
É possível aplicar zoom, panorâmica e reiniciar os eixos do gráfico na página de detalhes do evento do Insights usando uma barra de ferramentas no canto direito superior.
![\[Barra de ferramentas de comando de fazer download como PNG, aplicar zoom, panorâmica, aumentar o zoom, diminuir o zoom e reiniciar os eixos.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
Da esquerda para a direita, os botões de comando na barra de ferramentas do gráfico fazem o seguinte:
+ **Download plot as a PNG (Fazer download do gráfico como PNG)** – faça download da imagem do gráfico mostrada na página de detalhes, e salve-a no formato PNG.
+ **Zoom** – arraste para selecionar uma área no gráfico que você deseja ampliar e ver com mais detalhes.
+ **Pan (Panorâmica)** – desloque o gráfico para ver datas ou horas adjacentes.
+ **Reset axes (Redefinir eixos)** – altere os eixos do gráfico de volta aos originais, limpando as configurações de zoom e panorâmica.
## Alterar as configurações de intervalo de tempo do gráfico
É possível alterar o intervalo de tempo (a duração selecionada dos eventos mostrada no eixo *x*) que é exibido no gráfico escolhendo uma configuração no canto superior direito do gráfico.
![\[Controle de intervalo de tempo para um evento do Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Fazer download de eventos do Insights
É possível fazer download do histórico de eventos registrados do Insights como um arquivo no formato CSV ou JSON. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.
**nota**
CloudTrail arquivos de histórico de eventos são arquivos de dados que contêm informações (como nomes de recursos) que podem ser configuradas por usuários individuais. Alguns dados podem ser interpretados como comandos em programas usados para ler e analisar esses dados (injeção de CSV). Por exemplo, quando CloudTrail os eventos são exportados para CSV e importados para um programa de planilhas, esse programa pode alertá-lo sobre questões de segurança. Como melhor prática de segurança, desative links ou macros de arquivos do histórico de eventos obtidos por download.
1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download. Por exemplo, você pode especificar o nome do evento, `StartInstances`, e especificar um intervalo para os últimos 12 horas de atividade.
1. Escolha **Download events** (Baixar eventos) e, em seguida, **Download as CSV** (Baixar como CSV) ou **Download as JSON** (Baixar como JSON). Você será solicitado a escolher um local para salvar o arquivo.
**nota**
O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos, antes de iniciar o processo de download, use um filtro específico ou um período mais curto para restringir os resultados.
1. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.
1. Para cancelar o download, escolha **Cancelar**. Se você cancelar um download antes que ele seja concluído, um arquivo CSV ou JSON em seu computador local pode conter apenas parte de seus eventos.
# Visualizando eventos do Insights para trilhas com o AWS CLI
Esta seção descreve como usar o `list-insights-data` comando AWS CLI `lookup-events` and para pesquisar os últimos 90 dias de eventos do Insights em busca de uma trilha com eventos do Insights ativados. Para obter informações sobre como ativar o CloudTrail Insights em uma trilha, consulte[Registrando eventos do Insights para uma trilha usando o AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**nota**
Você não pode usar o `list-insights-data` comando `lookup-events` ou para pesquisar eventos do Insights para um armazenamento de dados de eventos, no entanto, o CloudTrail Lake oferece vários exemplos de consultas para armazenamentos de dados de eventos do Insights. Para obter mais informações, consulte [Visualizar exemplos de consultas para eventos do Insights](insights-events-view-lake.md#insights-events-lake-queries).
O comando `lookup-events` apresenta as seguintes opções:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
O comando `list-insights-data` apresenta as seguintes opções:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Para obter informações gerais sobre como usar o AWS Command Line Interface, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Pré-requisitos](#aws-cli-prerequisites-for-insights)
+ [Receber ajuda da linha de comando](#getting-command-line-help-insights)
+ [Procurando eventos do Insights para eventos de gerenciamento](#looking-up-management-insights-with-the-aws-cli)
+ [Procurando eventos do Insights para eventos de dados](#looking-up-data-insights-with-the-aws-cli)
+ [Especificando o número de eventos do Insights para que os eventos de gerenciamento retornem](#specify-the-number-of-management-insights-to-return)
+ [Especificando o número de eventos do Insights para que os eventos de dados retornem](#specify-the-number-of-data-insights-to-return)
+ [Pesquisar eventos do Insights para eventos de gerenciamento por intervalo de tempo](#look-up-management-insights-by-time-range)
+ [Procurando eventos do Insights para eventos de dados por intervalo de tempo](#look-up-data-insights-by-time-range)
+ [Pesquisar eventos do Insights para eventos de gerenciamento por atributo](#look-up-management-insights-by-attributes)
+ [Exemplos de consulta de atributo](#attribute-lookup-example-insights)
+ [Pesquisando eventos do Insights para eventos de dados por dimensão](#look-up-data-insights-by-attributes)
+ [Exemplos de pesquisa de dimensões](#dimension-lookup-example-insights)
+ [Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento](#specify-next-page-of-management-results)
+ [Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento](#specify-next-page-of-data-results)
+ [Obter entrada JSON de um arquivo para eventos do Insights para eventos de gerenciamento](#json-input-from-file-managemenet-insights)
+ [Obter entrada JSON de um arquivo para eventos do Insights para eventos de dados](#json-input-from-file-data-insights)
+ [Pesquisar campos de resultados](#view-insights-events-cli-output-fields)
## Pré-requisitos
+ Para executar AWS CLI comandos, você deve instalar AWS CLI o. Para obter mais informações, consulte [Conceitos básicos do AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Certifique-se de que sua AWS CLI versão seja maior que 1.6.6. Para verificar a versão da CLI, execute **aws --version** na linha de comando.
+ Para definir a conta, a região e o formato de saída padrão para uma AWS CLI sessão, use o **aws configure** comando. Para obter mais informações, consulte [Configurar a interface de linha de comando da AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Para registrar em log eventos do Insights relativos à taxa de chamadas de API, a trilha deve registrar em log os eventos de gerenciamento de `write`. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de `read` ou `write`.
**nota**
Os CloudTrail AWS CLI comandos diferenciam maiúsculas de minúsculas.
## Receber ajuda da linha de comando
Para ver a ajuda da linha de comando para `lookup-events`, digite o comando a seguir.
```
aws cloudtrail lookup-events help
```
## Procurando eventos do Insights para eventos de gerenciamento
Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight
```
Um evento retornado tem aparência semelhante ao seguinte exemplo:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte [Pesquisar campos de resultados](#view-insights-events-cli-output-fields) neste tópico. Para ver uma explicação sobre os eventos do Insights, consulte [CloudTrail gravar conteúdo para eventos do Insights para trilhas](cloudtrail-insights-fields-trails.md).
## Procurando eventos do Insights para eventos de dados
Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Um evento retornado tem aparência semelhante ao seguinte exemplo:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Especificando o número de eventos do Insights para que os eventos de gerenciamento retornem
Para especificar o número de eventos do Insights para que os eventos de gerenciamento retornem, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
O valor padrão para**, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Especificando o número de eventos do Insights para que os eventos de dados retornem
Para especificar o número de eventos do Insights para que os eventos de dados retornem, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
O valor padrão para**, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Pesquisar eventos do Insights para eventos de gerenciamento por intervalo de tempo
Os eventos do Insights para eventos de gerenciamento dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.
`--end-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.
O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.
Todos os carimbos de data/hora são exibidos em UTC.
## Procurando eventos do Insights para eventos de dados por intervalo de tempo
Os eventos do Insights para eventos de dados dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.
`--end-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.
O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.
Todos os carimbos de data/hora são exibidos em UTC.
## Pesquisar eventos do Insights para eventos de gerenciamento por atributo
Para filtrar por um atributo, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
É possível especificar somente um par de chave-valor do atributo para cada comando **lookup-events**. Veja a seguir os valores de evento do Insights válidos para `AttributeKey`. Os nomes dos valores diferenciam maiúsculas de minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
O tamanho máximo para `AttributeValue` é de 2.000 caracteres. Os seguintes caracteres ("`_`", "` `", "`,`", "`\\n`") contam como dois caracteres até o limite de 2.000 caracteres.
### Exemplos de consulta de atributo
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventName` é `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventId` é `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventSource` é `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Pesquisando eventos do Insights para eventos de dados por dimensão
Para filtrar por uma dimensão, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
Você pode especificar somente um par de valores-chave de dimensão para cada **list-insights-events** comando. Veja a seguir os valores de evento do Insights válidos para `DimensionKey`. Os nomes dos valores diferenciam maiúsculas de minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
O tamanho máximo para `DimensionValue` é de 2.000 caracteres. Os seguintes caracteres ("`_`", "` `", "`,`", "`\\n`") contam como dois caracteres até o limite de 2.000 caracteres.
### Exemplos de pesquisa de dimensões
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventName` é `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventId` é `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventSource` é `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento
Para obter a próxima página de resultados de um comando `lookup-events`, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
Nesse comando, o valor para ** é obtido do primeiro campo da saída do comando anterior.
Quando você usa `--next-token` em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento
Para obter a próxima página de resultados de um comando `list-insights-data`, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
Nesse comando, o valor para ** é obtido do primeiro campo da saída do comando anterior.
Quando você usa `--next-token` em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Obter entrada JSON de um arquivo para eventos do Insights para eventos de gerenciamento
O AWS CLI para alguns AWS serviços tem dois parâmetros `--generate-cli-skeleton` e`--cli-input-json`, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o `--cli-input-json` parâmetro. Esta seção descreve como usar esses parâmetros com `aws cloudtrail lookup-events`. Para obter mais informações, consulte [Esqueletos e arquivos de entrada da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo**
1. Crie um modelo de entrada para uso com `lookup-events` redirecionando os resultados `--generate-cli-skeleton` para um arquivo, como no exemplo a seguir.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
O arquivo de modelo gerado (nesse caso, LookupEvents .txt) tem a seguinte aparência.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.
**Importante**
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.
O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Para usar o arquivo editado como entrada, use a sintaxe `--cli-input-json file://`**, como no exemplo a seguir.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**nota**
É possível usar outros argumentos na mesma linha de comando como `--cli-input-json`.
## Obter entrada JSON de um arquivo para eventos do Insights para eventos de dados
O AWS CLI para alguns AWS serviços tem dois parâmetros `--generate-cli-skeleton` e`--cli-input-json`, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o `--cli-input-json` parâmetro. Esta seção descreve como usar esses parâmetros com `aws cloudtrail list-insights-data`. Para obter mais informações, consulte [Esqueletos e arquivos de entrada da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo**
1. Crie um modelo de entrada para uso com `list-insights-data` redirecionando os resultados `--generate-cli-skeleton` para um arquivo, como no exemplo a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
O arquivo de modelo gerado (nesse caso, ListInsightsData .txt) tem a seguinte aparência.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.
**Importante**
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.
O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Para usar o arquivo editado como entrada, use a sintaxe `--cli-input-json file://`**, como no exemplo a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**nota**
É possível usar outros argumentos na mesma linha de comando como `--cli-input-json`.
## Pesquisar campos de resultados
**Eventos**
Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foram especificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cada entrada contém informações sobre a solicitação de pesquisa e inclui uma representação em cadeia de caracteres do CloudTrail evento que foi recuperado.
As seguintes entradas descrevem os campos de cada evento de pesquisa.
**CloudTrailEvent**
Uma string JSON que contém uma representação do objeto do evento retornado. Para obter informações sobre cada um dos elementos retornados, consulte [Conteúdo do corpo do registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Uma string que contém a GUID do evento retornado.
**EventName**
Uma string que contém o nome do evento retornado.
**EventSource**
O AWS serviço para o qual a solicitação foi feita.
**EventTime**
A data e a hora, em formato de horário do UNIX, do evento.
**Recursos**
Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especifica um tipo e um nome do recurso.
**ResourceName**
Uma string que contém o nome do recurso referenciado pelo evento.
**ResourceType**
Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso não pode ser determinado, null é retornado.
**Nome de usuário**
Uma string que contém o nome do usuário da conta do evento retornado.
**NextToken**
Uma string para obter a próxima página de resultados de um comando `lookup-events` anterior. Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entrada `NextToken` aparecer nos resultados, significa que não há mais resultados a serem retornados.
Para obter mais informações sobre os eventos do CloudTrail Insights, consulte [Trabalhando com CloudTrail Insights](logging-insights-events-with-cloudtrail.md) este guia.