使用控制台查看跟踪的 Insights 事件 - AWS CloudTrail
筛选 Insights 事件查看 Insights 事件详细信息缩放、平移和下载图表更改图表时间跨度设置下载 Insights 事件

使用控制台查看跟踪的 Insights 事件

本节介绍了如何从 CloudTrail 控制台上的 Insights 页面查看、查找和下载跟踪的过去 90 天的 Insights 事件。有关如何查看事件数据存储的 CloudTrail Insights 的信息,请参阅 查看事件数据存储的 Insights 控制面板

记录跟踪的 Insights 事件后,事件将显示在 Insights页面上 90 天。您不能从 Insights (Insights) 页面上手动删除事件。由于为某个跟踪启用的 Insights 事件存储在为该跟踪配置的 Amazon S3 存储桶中,因此从存储桶中移除 Insights 事件将删除这些事件。

启用 CloudWatch Logs 后,您可以监控您的跟踪日志,并在特定 Insights 事件发生时收到通知。有关更多信息,请参阅 使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件

注意

CloudTrail Insights 事件必须已在跟踪记录中启用,才能在控制台中看到 Insights 事件。请留出长达 36 小时供 CloudTrail 传递第一个 Insights 事件,前提是在该时间内检测到异常活动。

要针对 API 调用率记录 Insights 事件,跟踪必须记录 write 管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 readwrite 管理事件。

查看 Insights 事件

  1. 登录到 AWS 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail/home

  2. 在导航窗格中,选择 Insights 以查看过去 90 天内在您的账户中记录的所有 Insights 事件。您还可以从控制面板页面查看五个最新的 Insights 事件。

  3. Insights 页面上,您可以按事件源、事件名称或事件 ID 筛选 Insights 事件。有关筛选 Insights 事件的更多信息,请参阅筛选 Insights 事件

  4. 您可以进一步将列表限制为相对范围绝对范围

筛选 Insights 事件

默认情况下,Insights 页面上的事件按事件开始时间倒序显示。

您可以通过选择以下三个属性之一来筛选列表:

事件名称

事件的名称,通常是记录异常活动级别的 AWS API。

事件源

将请求发送到的 AWS 服务,例如 iam.amazonaws.com.rproxy.govskope.cas3.amazonaws.com。如果您选择按事件源筛选,则可以滚动浏览事件源列表。

事件 ID

Insights 事件的 ID。事件 ID 未显示在 Insights(见解)页表格中,但它们是您可用来筛选 Insights 事件的属性。为了生成 Insights 事件而分析的管理事件的事件 ID 与 Insights 事件的事件 ID 不同。

CloudTrail Insights 事件列表筛选器。

以下列表介绍了事件的属性,这些属性不可筛选:

Insights 类型

CloudTrail Insights 事件的见解类型可以是 API 调用率,也可以是 API 错误率API 调用率见解类型根据基准 API 调用量分析每分钟汇总的只写管理 API 调用。API 错误率见解类型分析生成错误代码的管理 API 调用。如果 API 调用不成功,就会显示错误。

事件开始时间

Insights 事件的开始时间,测量方式为记录异常活动的第一分钟。此属性显示在 Insights(见解)表中,但无法在控制台中通过事件开始时间筛选。

基线平均值

基准表示 API 调用率或错误率活动的正常模式(每天计算)。基准平均值是指 Insights 事件开始前七天内这些每日基准的平均值。虽然此周期通常为七天,但 CloudTrail 会将计算周期四舍五入到整数天数,因此确切的基准持续时间可能会略有不同。

Insight 平均值

触发 Insights 事件的 API 的平均调用次数,或调用 API 时返回的特定错误的平均数。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的发生速率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内发生的速率。

速率变更

以百分比表示 Baseline average(基线平均值)和 Insight average(Insight 平均值)的区别。例如,如果 AccessDenied 发生错误的基线平均值为 1.0,并且 Insight 平均值为 3.0,那么速率变更为 300%。超过基线平均值的 Insight 平均值的速率变更在该值旁边显示向上箭头。如果因活动低于基线平均值而记录了 Insights 事件,Rate change(速率变更)在百分比旁边显示向下箭头。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请从下拉菜单中选择查找属性,然后在输入查找值框中键入或选择值。

  2. 要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 X

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 按日期和时间筛选中,选择以下选项之一:

    • 绝对 - 供您选择具体的时间。继续执行下一步。

    • 相对范围 - 默认选中。让您选择相对于 Insights 事件开始时间的时间段。继续执行步骤 3。

  2. 要设置绝对范围,请执行以下操作。

    1. 选择希望时间范围开始的日期。输入所选日期的开始时间。要手动输入日期,请使用 yyyy/mm/dd 格式键入日期。开始时间和结束时间使用 24 小时制,且值必须采用 hh:mm:ss 格式。例如,要指示开始时间为下午 6:30,请输入 18:30:00

    2. 在日历上选择范围的结束日期,或在日历下方指定结束日期和时间。选择应用

  3. 要设置相对范围,请执行以下操作。

    1. 选择相对于 Insights 事件开始时间的预设时间段。预设时间范围包括 30 分钟、1 小时、12 小时或 1 天。要指定自定义时间范围,请选择 Custom(自定义)。

    2. 设置了所需的相对时间后,请选择 Apply(应用)。

  4. 要删除时间范围筛选条件,请选择按日期和时间筛选框右侧的日历图标,然后选择清除并关闭

查看 Insights 事件详细信息

  1. 选择 Insights 列表中的事件以显示其详细信息。Insights 事件的详细信息页面显示异常活动时间表的图表。

    显示异常 API 活动的 CloudTrail Insights 详细信息页面。

  2. 将鼠标悬停在突出显示的带上,以显示图表中的每个 Insights 事件的开始时间和持续时间。

    将鼠标悬停在 Insights 事件上后显示的见解事件统计信息。

    Additional information(其他信息)图表区域显示以下信息:

    • 见解类型:该类型可以是 API 调用率或 API 错误率。

    • 触发器:这是指向 Cloudtrail events(CloudTrail 事件)选项卡的链接,该选项卡列出了为确定发生了异常活动而分析的管理事件。

    • 每分钟 API 调用数每分钟错误数

      • Baseline average(基线平均值)– 在您账户中特定区域内,大约前七天内测量的每分钟对记录 Insights 事件的 API 的典型调用速率。

      • Insights average(Insights 平均值)– 触发 Insights 事件的此 API 的每分钟调用速率。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的 API 的每分钟调用或错误率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内,每分钟 API 调用的速率。

    • 事件源:记录异常数量的 API 调用或错误的 AWS 服务终端节点。在前面的图像中,源是 ec2.amazonaws.com,它是 Amazon EC2 的服务终端节点。

    • Start event ID(开始事件 ID)– 异常活动开始时记录的 Insights 事件 ID。

    • End event ID(结束事件 ID)– 异常活动结束时记录的 Insights 事件 ID。

    • Shared event ID(共享事件 ID)– 在 Insights 事件中,Shared event ID(共享事件 ID)是由 CloudTrail Insights 生成的 GUID,用于唯一标识开始和结束 Insights 事件对。Shared event ID(共享事件 ID)在开始和结束 Insights 事件之间是通用的,并且有助于在这两个事件建立关联以唯一地标识异常活动。

  3. 选择 Attributions(归因)选项卡,可查看有关与异常活动和基准活动相关的用户身份、用户代理、API 调用率 Insights 事件和错误代码的信息。在 Attributions(归因)选项卡上的表格中显示最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。

  4. CloudTrail events(CloudTrail 事件)选项卡上,查看 CloudTrail 用来分析以确定发生异常活动的相关事件。默认情况下,已对 Insights 事件名称应用了筛选条件,该名称也是相关 API 的名称。CloudTrail events(CloudTrail 事件)选项卡显示与 Insights 事件的开始时间(减一分钟)和结束时间(加一分钟)之间发生的主题 API 相关的 CloudTrail 管理事件。

    在图表中选择其他 Insights 事件时,CloudTrail events(CloudTrail 事件)表中显示的事件相应地更改。这些事件可帮助您执行更深入的分析,以确定 Insights 事件的可能原因以及异常 API 活动的原因。

    要显示在 Insights 事件持续时间内记录的所有 CloudTrail 事件,而不仅仅显示相关 API 的事件,请关闭筛选条件。

  5. 选择 Insights event record(Insights 事件记录)选项卡以查看 JSON 格式的 Insights 开始和结束事件。

  6. 选择链接的 Event source(事件源)将返回由该事件源筛选的 Insights(见解)页面。

缩放、平移和下载图表

您可以使用右上角的工具栏缩放、平移和重置 Insights 事件详细信息页面上图表的轴。

以 PNG 格式下载、缩放、平移、放大、缩小和重置轴命令工具栏。

从左到右,图表工具栏上的命令按钮执行以下操作:

  • Download plot as a PNG (以 PNG 格式下载图表) - 下载详细信息页面上显示的图表图像,并将其保存为 PNG 格式。

  • Zoom (缩放) - 拖动以选择图表上要放大的区域并更详细地查看。

  • Pan (平移) - 移动图表以查看相邻的日期或时间。

  • Reset axes (重置轴) - 将图表轴更改回原始状态,同时清除缩放和平移设置。

更改图表时间跨度设置

您可以更改时间跨度 - 事件显示在 x 轴上的所选持续时间 - 通过选择图表右上角的设置显示在图表中。

Insights 事件的时间跨度控制。

下载 Insights 事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的 Insights 事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史记录文件为数据文件,其中包含了可以被单个用户配置的信息(如资源名称)。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出到 CSV 并导入到某个电子表格程序时,该程序可能警告您注意安全风险。作为安全最佳实践,请禁用来自下载的事件历史记录文件中的链接或宏。

  1. 指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称 StartInstances,并指定过去 12 小时的活动的时间范围。

  2. 选择 Download events(下载事件),然后选择 Download as CSV(下载为 CSV)或 Download as JSON(下载为 JSON)。系统会提示您选择保存文件的位置。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择取消。如果在下载完成之前取消下载,则本地计算机上的 CSV 或 JSON 文件可能只包含部分事件。