本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# API 调用总量的活动详细信息
<a name="profile-panel-drilldown-overall-api-volume"></a>

**API 调用总量**的活动详细信息显示了在选定时间范围内发出的 API 调用。

要显示单个时间间隔的活动详细信息，请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息，请选择**显示范围时间的详细信息**。

请注意，Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。该日期会在配置文件面板时间轴上突出显示。对于在该日期之前发生的活动，服务名称为**未知服务**。

## 活动详细信息的内容（用户、角色、账户、角色会话、EC2 实例、S3 存储桶）
<a name="drilldown-api-volume-content"></a>

对于 IAM 用户、IAM 角色、账户、角色会话、EC2 实例和 S3 存储桶，活动详细信息包含以下信息：
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。

  对于 S3 存储桶，该信息反映了对 S3 存储桶进行的 API 调用。

  API 调用按调用它们的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。
+ 对于每个条目，活动详细信息显示成功和失败的调用次数。**观察到的 IP 地址**选项卡还显示每个 IP 地址的位置。
+ 每个条目都显示进行调用者的信息。对于账户，活动详细信息可用于确定用户或角色。对于角色而言，活动详细信息可用于确定角色会话。对于用户和角色会话，活动详细信息标识了访问密钥标识符 (AKIDs)。

  请注意，自 2021 年 7 月 14 日起，对于账户资料，活动详情显示的是用户或角色，而不是 AKIDs。对于角色配置文件，活动详细信息显示的是角色会话，而不是 AKIDs。对于 2021 年 7 月 14 日之前发生的活动，调用者被列为**未知资源**。

活动详细信息包含以下选项卡：

**观察到的 IP 地址**  
最初显示用于发出 API 调用的 IP 地址列表。  
您可以展开每个 IP 地址，显示从该 IP 地址发出的 API 调用列表。API 调用按调用它们的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
然后，您可以展开每个 API 调用，显示来自该 IP 地址的调用者列表。根据不同的配置文件，调用者可能是用户、角色、角色会话或 AKID。  

![\[“整体 API 调用量” 面板的 “观察到的 IP 地址” 选项卡的视图，条目展开后显示了 IP 地址、API 调用和的层次结构 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**按服务划分的 API 方法**  
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
您可以扩展每个 API 方法，显示发出调用的 IP 地址列表。  
然后，您可以展开每个 IP 地址以显示从该 IP 地址发出该 API 调用的列表。 AKIDs   

![\[“整体 API 调用量” 面板的 “按服务划分的 API 方法” 选项卡的视图，其中一个条目展开后显示了 API 调用的层次结构、IP 地址和 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**资源或访问密钥 ID**  
最初显示用户、角色、角色会话或用于发 AKIDs 出 API 调用的用户列表。  
您可以展开每个调用者，显示调用者发出 API 调用的 IP 地址列表。  
然后，您可以展开每个 IP 地址，显示该调用者从该 IP 地址发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  

![\[“整体 API 调用量” 面板的 “资源” 选项卡视图，条目展开后显示按服务分组的 IP 地址和 API 调用的层次结构。 AKIDs\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## 活动详细信息的内容（IP 地址）
<a name="drilldown-api-volume-content-ip"></a>

对于 IP 地址，活动详细信息包含以下信息：
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。
+ 对于每个条目，活动详细信息显示成功和失败的调用次数。

活动详细信息包含以下选项卡：

**资源**  
最初显示从 IP 地址发出 API 调用的资源列表。  
对于每种资源，列表都包括资源名称、类型和 AWS 账户。  
您可以展开每种资源，显示该资源从 IP 地址发出的 API 调用列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  

![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的资源选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**按服务划分的 API 方法**  
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
您可以展开每个 API 调用，显示在所选时间段内从 IP 地址发出 API 调用的资源列表。  

![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的按服务划分的 API 方法选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## 对活动详细信息进行排序
<a name="drilldown-api-volume-sort"></a>

您可以按列表中的任何一列对活动详细信息进行排序。

使用第一列进行排序时，只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。

## 筛选活动详细信息
<a name="drilldown-api-volume-filter"></a>

您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。

在所有选项卡上都可以根据第一列中的任何值筛选列表。

**添加筛选器**

1. 选择筛选器框。

1. 从**属性**中，选择要用于筛选的属性。

1. 提供用于筛选的值。筛选器支持部分值。例如，按 API 方法进行筛选时，如果按 **Instance** 进行筛选，则结果就会包括名称中包含 `Instance` 的任何 API 操作。因此，`ListInstanceAssociations` 和 `UpdateInstanceInformation` 都能匹配。

   对于服务名称、API 方法和 IP 地址，您可以指定一个值或选择一个内置筛选器。

   对于**常用 API 子字符串**，请选择表示操作类型的子字符串，例如 `List`、`Create` 或 `Delete`。每个 API 方法名称都以操作类型开头。

   对于 **CIDR 模式**，您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。

1. 选择布尔值选项*Resource*或 *Service***：包含**或**！ ****: 不包含；或*API method*或 *IP address* **= 等于**或！ : 不等于**设置过滤器。  
![\[活动详情筛选器的可用筛选器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/api-volume-search.png)

要删除筛选器，请选择标签右上角的 **x** 标记。

要清除所有筛选器，请选择**清除筛选器**。

## 为活动详细信息选择时间范围
<a name="drilldown-api-volume-time-range"></a>

 首次显示活动详细信息时，时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

**要更改活动详细信息的时间范围**

1. 选择**编辑**。

1. 在**编辑时间窗口**上，选择要使用的开始和结束时间。

   要将时间窗口设置为配置文件的默认范围时间，请选择**设置为默认范围时间**。

1. 选择**更新时间窗口**。

活动详细信息的时间范围在配置文件面板图表上突出显示。

![\[API 调用总量配置文件面板的突出显示时间窗口\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 查询原始日志
<a name="query-raw-logs"></a>

Amazon Detective 与 Amazon Security Lake 集成，这意味着您可以查询和检索 Security Lake 存储的原始日志数据。有关此集成的更多信息，请参阅[Amazon Detective 与亚马逊安全湖集成](securitylake-integration.md)。

使用此集成，您可以从 Security Lake 原生支持的以下来源收集和查询日志与事件。
+ AWS CloudTrail 管理事件版本 1.0 及更高版本
+ 亚马逊 Virtual Private Cloud（亚马逊 VPC）流日志 1.0 及更高版本
+ 亚马逊 Elastic Kubernetes Service（亚马逊 EKS）审核日志版本 2.0

**注意**  
在 Detective 中查询原始数据日志不会产生额外费用。其他 AWS 服务（包括 Amazon Athena）的使用费仍按公布的费率收取。

**查询原始日志**

1. 选择**显示时间范围的详细信息**。

1. 在此处，您可以开始**查询原始日志**。

1. 在**原始日志预览**表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。

   在查询原始日志表中，您可以**取消查询请求**，**在 Amazon Athena 中查看结果**，并**下载结果** [下载为逗号分隔值（.csv）文件]。

如果您在 Detective 中看到日志，但查询未返回任何结果，则可能是由于以下原因而引起的。
+ 原始日志可能会先在 Detective 中可用，然后才显示在 Security Lake 日志表中。请稍后重试。
+ Security Lake 中可能缺少日志。如果您等待了很长时间，则表示 Security Lake 中缺少日志。要解决该问题，请联系您的 Security Lake 管理员。