查看事件数据存储的 Insights 事件
本节介绍如何通过查看 Insights 事件控制面板和运行示例查询来查看 Insights 事件数据存储的 Insights 事件。有关如何在事件数据存储上启用 CloudTrail Insights 的信息,请参阅使用控制台在现有事件数据存储上启用 CloudTrail Insights。
您需按所扫描的数据量为 CloudTrail 查询付费。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail 定价
有关事件数据存储的 Insights 事件记录字段的描述,请参阅面向事件数据存储的 Insights 事件的 CloudTrail 记录内容。
查看事件数据存储的 Insights 控制面板
Insights 事件控制面板按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户和服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。
注意
-
首次在源事件数据存储上启用 CloudTrail Insights 后,CloudTrail 最多可能需要 7 天,才能开始交付 Insights 事件,前提是在此期间检测到异常活动。有关更多信息,请参阅 Insights 事件传送。
-
Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在
ApiCallRateInsight上启用 Insights 事件,而不是ApiErrorRateInsight,则您将不会看到有关ApiErrorRateInsight上的 Insights 事件的信息。
查看 Insights 事件控制面板
-
登录到 AWS 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail
。 -
在左侧导航窗格中,在 Lake 下,选择控制面板。
-
选择托管和自定义控制面板选项卡。
-
从 AWS 托管式控制面板中,选择 Insights 事件控制面板。
-
选择您的 Insights 事件数据存储。
-
选择按绝对范围或相对范围筛选控制面板数据。选择绝对范围,以选择特定的日期和时间范围。选择相对范围,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。
注意
您需按所扫描的数据量为 CloudTrail Lake 查询付费。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail 定价
。 -
选择刷新图标以填充控制面板小组件的图形。每个小组件都指明刷新的状态。
有关 Lake 控制面板的更多信息,请参阅CloudTrail Lake 控制面板。
查看 Insights 事件的示例查询
CloudTrail 控制台提供了 Insights 事件的许多示例查询,可以帮助您开始编写自己的查询。
查看 Insights 事件的示例查询
-
登录到 AWS 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail
。 -
在导航窗格中,在 Lake 下,选择查询。
-
在 Query(查询)页面上,选择 Sample queries(示例查询)选项卡。
-
搜索 Insights 事件的查询。选择查询名称以在编辑器选项卡中打开查询。
-
在编辑器选项卡上,选择 Insights 事件数据存储。当从列表中选择事件数据存储时,CloudTrail 会自动在查询编辑器的
FROM行中填充事件数据存储 ID。 -
选择运行以运行查询。在查询完成后,您可以查看命令输出和查询结果。
命令输出选项卡显示有关查询的元数据,例如查询是否成功、匹配的记录数量以及查询的运行时间。
查询结果选项卡显示选定事件数据存储中与查询匹配的事件数据。
有关编辑查询的更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询。有关运行查询和保存查询结果的更多信息,请参阅 使用控制台运行查询并保存查询结果。
