本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
API 调用总量的活动详细信息
API 调用总量的活动详细信息显示了在选定时间范围内发出的 API 调用。
要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。
要显示当前范围时间的活动详细信息,请选择显示范围时间的详细信息。
请注意,Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。该日期会在配置文件面板时间轴上突出显示。对于在该日期之前发生的活动,服务名称为未知服务。
活动详细信息的内容(用户、角色、账户、角色会话、 EC2 实例、S3 存储桶)
对于 IAM 用户、IAM 角色、账户、角色会话、 EC2 实例和 S3 存储桶,活动详细信息包含以下信息:
-
每个选项卡都提供所选时间范围内发出的 API 调用集的信息。
对于 S3 存储桶,该信息反映了对 S3 存储桶进行的 API 调用。
API 调用按调用它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
-
对于每个条目,活动详细信息显示成功和失败的调用次数。观察到的 IP 地址选项卡还显示每个 IP 地址的位置。
-
每个条目都显示进行调用者的信息。对于账户,活动详细信息可用于确定用户或角色。对于角色而言,活动详细信息可用于确定角色会话。对于用户和角色会话,活动详细信息标识了访问密钥标识符 (AKIDs)。
请注意,自 2021 年 7 月 14 日起,对于账户资料,活动详情显示的是用户或角色,而不是 AKIDs。对于角色配置文件,活动详细信息显示的是角色会话,而不是 AKIDs。对于 2021 年 7 月 14 日之前发生的活动,调用者被列为未知资源。
活动详细信息包含以下选项卡:
- 观察到的 IP 地址
-
最初显示用于发出 API 调用的 IP 地址列表。
您可以展开每个 IP 地址,显示从该 IP 地址发出的 API 调用列表。API 调用按调用它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
然后,您可以展开每个 API 调用,显示来自该 IP 地址的调用者列表。根据不同的配置文件,调用者可能是用户、角色、角色会话或 AKID。
- 按服务划分的 API 方法
-
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
您可以扩展每个 API 方法,显示发出调用的 IP 地址列表。
然后,您可以展开每个 IP 地址以显示从该 IP 地址发出该 API 调用的列表。 AKIDs
- 资源或访问密钥 ID
-
最初显示用户、角色、角色会话或用于发 AKIDs 出 API 调用的用户列表。
您可以展开每个调用者,显示调用者发出 API 调用的 IP 地址列表。
然后,您可以展开每个 IP 地址,显示该调用者从该 IP 地址发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
活动详细信息的内容(IP 地址)
对于 IP 地址,活动详细信息包含以下信息:
-
每个选项卡都提供所选时间范围内发出的 API 调用集的信息。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
-
对于每个条目,活动详细信息显示成功和失败的调用次数。
活动详细信息包含以下选项卡:
- 资源
-
最初显示从 IP 地址发出 API 调用的资源列表。
对于每种资源,列表都包括资源名称、类型和 AWS 账户。
您可以展开每种资源,显示该资源从 IP 地址发出的 API 调用列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
- 按服务划分的 API 方法
-
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。
您可以展开每个 API 调用,显示在所选时间段内从 IP 地址发出 API 调用的资源列表。
对活动详细信息进行排序
您可以按列表中的任何一列对活动详细信息进行排序。
使用第一列进行排序时,只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。
筛选活动详细信息
您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。
在所有选项卡上都可以根据第一列中的任何值筛选列表。
添加筛选器
-
选择筛选器框。
-
从属性中,选择要用于筛选的属性。
-
提供用于筛选的值。筛选器支持部分值。例如,按 API 方法进行筛选时,如果按
Instance进行筛选,则结果就会包括名称中包含Instance的任何 API 操作。因此,ListInstanceAssociations和UpdateInstanceInformation都能匹配。对于服务名称、API 方法和 IP 地址,您可以指定一个值或选择一个内置筛选器。
对于常用 API 子字符串,请选择表示操作类型的子字符串,例如
List、Create或Delete。每个 API 方法名称都以操作类型开头。对于 CIDR 模式,您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。
-
选择布尔值选项
Resource或Service:包含或! : 不包含;或API method或IP address= 等于或! : 不等于设置过滤器。
要删除筛选器,请选择标签右上角的 x 标记。
要清除所有筛选器,请选择清除筛选器。
为活动详细信息选择时间范围
首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。
要更改活动详细信息的时间范围
-
选择编辑。
-
在编辑时间窗口上,选择要使用的开始和结束时间。
要将时间窗口设置为配置文件的默认范围时间,请选择设置为默认范围时间。
-
选择更新时间窗口。
活动详细信息的时间范围在配置文件面板图表上突出显示。
查询原始日志
Amazon Detective 与 Amazon Security Lake 集成,这意味着您可以查询和检索 Security Lake 存储的原始日志数据。有关此集成的更多信息,请参阅Amazon Detective 与亚马逊安全湖集成。
使用此集成,您可以从 Security Lake 原生支持的以下来源收集和查询日志与事件。
-
AWS CloudTrail 管理事件版本 1.0 及更高版本
-
亚马逊 Virtual Private Cloud(亚马逊 VPC)流日志 1.0 及更高版本
-
亚马逊 Elastic Kubernetes Service(亚马逊 EKS)审核日志版本 2.0
注意
在 Detective 中查询原始数据日志不会产生额外费用。包括亚马逊 Athena 在内的其他 AWS 服务的使用费仍按公布费率收取。
查询原始日志
-
选择显示时间范围的详细信息。
-
在此处,您可以开始查询原始日志。
-
在原始日志预览表中,您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息,您可以查看 Amazon Athena 中显示的数据。
在查询原始日志表中,您可以取消查询请求,在 Amazon Athena 中查看结果,并下载结果 [下载为逗号分隔值(.csv)文件]。
如果您在 Detective 中看到日志,但查询未返回任何结果,则可能是由于以下原因而引起的。
-
原始日志可能会先在 Detective 中可用,然后才显示在 Security Lake 日志表中。请稍后重试。
-
Security Lake 中可能缺少日志。如果您等待了很长时间,则表示 Security Lake 中缺少日志。要解决该问题,请联系您的 Security Lake 管理员。
