本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudTrail 为事件数据存储记录 Insights 事件的内容 AWS CloudTrail 事件数据存储的 Insights 事件记录包括与 JSON 结构中其他CloudTrail 事件不同的字段,有时称为*负载*。事件数据存储的 CloudTrail Insights 事件记录包括以下字段: **注意** `insightContext` 的 `attributions` 字段中的 `insightValue`、`insightAverage`、`baselineValue` 和 `baselineAverage` 字段将于 2025 年 6 月 23 日开始弃用。 + **`eventVersion`**:日志事件格式的版本。 **可选**:False + **`eventCategory`**:事件的类别。对于 Insights 事件,值始终为 `Insight`。 **可选**:False + **`eventType`**:事件类型。对于 Insights 事件,值始终为 `AwsCloudTrailInsight`。 **可选**:False + **`eventID`**— 由生成的 GUID CloudTrail ,用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。 **可选**:False + **`eventTime`**:Insights 事件开始或停止的时间,以协调世界时(UTC)表示。 **可选**:False + **`awsRegion`**— Insights 事件发生 AWS 区域 的地点,例如`us-east-2`。 **可选**:False + **`recipientAccountId`**:表示已收到此事件的账户 ID。 **可选**:True + **`sharedEventID`**— 由 CloudTrail Insights 生成的 GUID,用于唯一标识 Insights 事件。 `sharedEventID`在 Insights 事件开始和结束 Insights 事件之间很常见,它有助于将两个事件联系起来,以唯一的方式识别异常活动。您可以将 `sharedEventID` 视为整体 Insights 事件 ID。 **可选**:False + **`addendum`**:如果事件传递延迟,或者在记录事件后获得了有关现有事件的其他信息,则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息,则附录字段将包含缺失的信息以及缺失信息的原因。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `addendum`。 **可选**:True + **`insightSource`**:用于收集所分析的管理事件的源事件数据存储。 **可选**:False + **`insightState`**:事件是开始还是结束 Insights 事件。该值可以是 `Start` 或 `End`。 **可选**:False + **`insightEventSource`**— AWS 服务 那是异常活动的来源,例如`ec2.amazonaws.com`。 **可选**:False + **`insightEventName`**:Insights 事件的名称,通常是作为异常活动的源的 API 的名称。 **可选**:False + **`insightErrorCode`**:异常活动的错误代码。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `errorCode`。 **可选**:True + **`insightType`**:Insights 事件的类型。该值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。 **可选**:False + **`insightContext`**:包含有关 Insights 事件底层触发器的信息,例如用户身份、用户代理、历史平均值或*基准*以及 Insights 持续时间和平均值。 **可选**:False + **`baselineAverage`**:在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。 **可选**:False + **`insightAverage`**:对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。 **可选**:False + **`baselineDuration`**:基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。`baselineDuration` 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。`baselineDuration` 测量的结束时间始终是见解事件的开始。 **可选**:False + **`insightDuration`**:Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 `insightDuration`。 **可选**:False + **`attributions`**:包含有关与异常活动和基准活动相关的用户身份、用户代理或错误代码的信息。 **可选**:True **注意** `insightContext` 的 `attributions` 字段中的 `insightValue`、`insightAverage`、`baselineValue` 和 `baselineAverage` 字段将于 2025 年 6 月 23 日开始弃用。 + **`attribute`**:包含属性类型。值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 `userIdentityArn`、`userAgent` 或 `errorCode` 值,但是每个属性实例只会包含 `userIdentityArn`、`userAgent` 或 `errorCode` 的一个值。 **可选**:False + **`insightValue`**:异常活动期间进行的 API 调用或发生的错误的顶级属性值。 **可选**:False + **`insightAverage`**:`insightValue`字段中的属性在异常活动期间每分钟的 API 调用或错误数。 **可选**:False + **`baselineValue`**:对正常活动期间记录的 API 调用或错误有贡献的顶级属性值。 **可选**:False + **`baselineAverage`**:在 Insights 活动开始时间之前的七天内,`baselineValue` 字段中的属性的每分钟 API 调用或错误的历史平均值。 **可选**:False + **`insight`**:对异常活动期间进行的 API 调用或错误有贡献的前五个属性值。它还显示异常活动期间属性进行的 API 调用或发生的错误的平均数量。 **可选**:False + **`value`**:对异常活动期间进行的 API 调用或错误有贡献的属性。 **可选**:False + **`average`**:`value`字段中的属性在异常活动期间每分钟 API 调用或错误的平均数量。 **可选**:False + **`baseline`**:对正常活动期间的 API 调用或错误最有贡献的前五个属性值。它还显示属性值在正常活动期间记录的 API 调用或错误的平均数量。 **可选**:False + **`value`**:对正常活动期间的 API 调用或错误有贡献的属性。 **可选**:False + **`average`**:在 Insights 活动开始时间之前的七天内,`value` 字段中的属性的每分钟 API 调用或错误的历史平均值。 **可选**:False