本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CloudTrail 记录路径的 Insights 事件的内容
AWS CloudTrail 跟踪的 Insights 事件记录包括与 JSON 结构中其他 CloudTrail 事件不同的字段,有时称为*有效负载*。 CloudTrail 跟踪的 Insights 事件包含以下字段:
+ **`eventVersion`**:事件的版本。
**从:**1.07
**可选**:False
+ **`eventType`**:事件类型。对于 Insights 事件,值始终为 `AwsCloudTrailInsight`。
**从:**1.07
**可选**:False
+ **`eventID`**— 由生成的 GUID CloudTrail ,用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
**从:**1.07
**可选**:False
+ **`eventTime`**:Insights 事件开始或停止的时间,以协调世界时(UTC)表示。
**从:**1.07
**可选**:False
+ **`awsRegion`**— Insights 事件发生 AWS 区域 的地点,例如`us-east-2`。
**从:**1.07
**可选**:False
+ **`recipientAccountId`**:表示已收到此事件的账户 ID。
**从:**1.07
**可选**:True
+ **`sharedEventID`**— 由 CloudTrail Insights 生成的 GUID,用于唯一标识 Insights 事件。 `sharedEventID`在 Insights 事件开始和结束 Insights 事件之间很常见,它有助于将两个事件联系起来,以唯一的方式识别异常活动。您可以将 `sharedEventID` 视为整体 Insights 事件 ID。
**从:**1.07
**可选**:False
+ **`insightDetails`**— 跟踪的 CloudTrail Insights 事件记录包括一个`insightDetails`块,其中包含有关 Insights 事件底层触发器的信息,例如事件源、用户身份、用户代理、历史平均值或*基线*、统计数据、API 名称以及该事件是 Insights 事件的开始还是结束。
**从:**1.07
**可选**:False
+ **`state`**:事件是开始还是结束 Insights 事件。该值可以是 `Start` 或 `End`。
**从:**1.07
**可选**:False
+ **`eventSource`**— 作为异常活动来源的 AWS 服务,例如`ec2.amazonaws.com`。
**从:**1.07
**可选**:False
+ **`eventName`**:Insights 事件的名称,通常是作为异常活动的源的 API 的名称。
**从:**1.07
**可选**:False
+ **`insightType`**:Insights 事件的类型。该值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。
**从:**1.07
**可选**:False
+ **`errorCode`**:异常活动的错误代码。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `errorCode`。
**从:**1.07
**可选**:True
+ **`insightContext`**— 有关 AWS 工具(称为*用户代理*)、IAM 用户和角色(称为*用户身份*)的信息,以及与为生成 Insights 事件而 CloudTrail 分析的事件关联的错误代码。此元素还包括统计信息,显示了 Insights 事件中的异常活动与*基准*或正常活动对比的情况。
**从:**1.07
**可选**:False
+ **`statistics`**:包括有关*基准*的数据,或者在基准期内账户对主题 API 的典型平均调用或错误速率、触发 Insights 事件的调用或错误率、Insights 事件的持续时间(以分钟为单位)以及基准测量周期的持续时间(以分钟为单位)。
**从:**1.07
**可选**:False
+ **`baseline`**:基准持续时间内关于账户的 Insights 事件主题 API 的每分钟 API 调用或错误数,计算 Insights 事件开始之前七天内的值。
**从:**1.07
**可选**:False
+ **`average`**:Insights 活动开始时间之前的七天内每分钟 API 调用或错误数的历史平均值。
**从:**1.07
**可选**:False
+ **`insight`**:对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。
**从:**1.07
**可选**:False
+ **`average`**:异常活动期间每分钟记录的平均 API 调用或错误数。
**从:**1.07
**可选**:False
+ **`insightDuration`**:Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 `insightDuration`。
**从:**1.07
**可选**:False
+ **`baselineDuration`**:基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。`baselineDuration` 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。`baselineDuration` 测量的结束时间始终是见解事件的开始。
**从:**1.07
**可选**:False
+ **`attributions`**:包含有关与异常活动和基准活动相关的用户身份、用户代理和错误代码的信息。在见解事件 `attributions` 数据块中捕获最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。
**从:**1.07
**可选**:True
+ **`attribute`**:包含属性类型。值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 `userIdentityArn`、`userAgent` 或 `errorCode` 值,但是每个属性实例只会包含 `userIdentityArn`、`userAgent` 或 `errorCode` 的一个值。
**从:**1.07
**可选**:False
+ **`insight`**:此数据块显示对异常活动期间进行的 API 调用或错误有贡献的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示异常活动期间属性值进行的 API 调用或发生的错误的平均数量。
**从:**1.07
**可选**:False
+ **`value`**:对异常活动期间进行的 API 调用或错误有贡献的属性。
**从:**1.07
**可选:False** False
+ **`average`**:`value`字段中的属性在异常活动期间每分钟的 API 调用或错误数。
**从:**1.07
**可选:False** False
+ **`baseline`**:此数据块显示对正常活动期间进行的 API 调用或错误贡献最多的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示正常活动期间属性值进行的 API 调用或发生的错误的平均数量。
**从:**1.07
**可选:False** False
+ **`value`**:对正常活动期间的 API 调用或错误有贡献的属性。
**从:**1.07
**可选:False** False
+ **`average`**:在 Insights 活动开始时间之前的七天内,`value` 字段中的属性的每分钟 API 调用或错误的历史平均值。
**从:**1.07
**可选:False** False
+ **`eventCategory`**:事件的类别。对于 Insights 事件,值始终为 `Insight`。
**从:**1.07
**可选**:False
## 示例 `insightDetails` 数据块
下面是在不寻常地多次调用 Application Auto Scaling API `CompleteLifecycleAction` 时发生的见解事件的见解事件 `insightDetails` 数据块示例。有关完整见解事件的示例,请参阅 [Insights 事件](cloudtrail-events.md#cloudtrail-insights-events)。
此示例来自开始见解事件,通过 `"state": "Start"` 表示。`attributions`区块中显示了调用与 Insights 事件 APIs 关联的排名靠前的用户身份`CodeDeployRole3`、、和,以及他们对此 Insights 事件的平均 API 调用率以及该`CodeDeployRole1`角色的基准。`CodeDeployRole1` `CodeDeployRole2`该`attributions`区块还显示用户代理是`codedeploy.amazonaws.com`,这意味着顶级用户身份使用 AWS CodeDeploy 控制台运行 API 调用。
因为没有与为了生成见解事件而分析的事件相关的错误代码(值为 `null`),错误代码的 `insight` 平均值与整个见解事件的总体 `insight` 平均值相同,显示在 `statistics` 数据块中。
```
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 0.0000882145
},
"insight": {
"average": 0.6
},
"insightDuration": 5,
"baselineDuration": 11336
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
"average": 0.2
}
],
"baseline": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.0000882145
}
]
},
{
"attribute": "userAgent",
"insight": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.6
}
],
"baseline": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.0000882145
}
]
},
{
"attribute": "errorCode",
"insight": [
{
"value": "null",
"average": 0.6
}
],
"baseline": [
{
"value": "null",
"average": 0.0000882145
}
]
}
]
}
}
```