本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 追蹤的 Insights 事件 CloudTrail 記錄內容
線索的AWS CloudTrail Insights 事件記錄包括與其 JSON 結構中其他 CloudTrail 事件不同的欄位,有時稱為*承載*。追蹤的 CloudTrail Insights 事件包含下列欄位:
+ **`eventVersion`** – 事件的版本。
**自:**1.07
**選用:**False
+ **`eventType`** – 事件類型。值一律`AwsCloudTrailInsight`適用於 Insights 事件。
**自:**1.07
**選用:**False
+ **`eventID`** – CloudTrail 產生的 GUID,以唯一識別每個事件。您可以使用這個值來識別單一事件。例如,您可以使用此 ID 做為主索引鍵,從可搜尋的資料庫中擷取日誌資料。
**自:**1.07
**選用:**False
+ **`eventTime`** – Insights 事件開始或停止的時間,以國際標準時間 (UTC) 表示。
**自:**1.07
**選用:**False
+ **`awsRegion`** – 發生 Insights 事件 AWS 區域 的 ,例如 `us-east-2`。
**自:**1.07
**選用:**False
+ **`recipientAccountId`** – 代表收到此事件的帳戶 ID。
**自:**1.07
**選用:**True
+ **`sharedEventID`** – CloudTrail Insights 產生的 GUID,用於唯一識別 Insights 事件。 在起始和結束 Insights 事件之間`sharedEventID`很常見,有助於連接這兩個事件以唯一識別異常活動。您可以將 `sharedEventID` 視為整體 Insights 事件 ID。
**自:**1.07
**選用:**False
+ **`insightDetails`** – 線索的 CloudTrail Insights 事件記錄包含一個`insightDetails`區塊,其中包含 Insights 事件的基礎觸發條件的相關資訊,例如事件來源、使用者身分、使用者代理程式、歷史平均值或*基準*、統計資料、API 名稱,以及事件是 Insights 事件的開始還是結束。
**自:**1.07
**選用:**False
+ **`state`** – 事件是開始或結束 Insights 事件。此值可以為 `Start` 或 `End`。
**自:**1.07
**選用:**False
+ **`eventSource`** – 做為異常活動來源 AWS 的服務,例如 `ec2.amazonaws.com`。
**自:**1.07
**選用:**False
+ **`eventName`** – Insights 事件的名稱,通常是異常活動來源的 API 名稱。
**自:**1.07
**選用:**False
+ **`insightType`** – Insights 事件的類型。此值可以為 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。
**自:**1.07
**選用:**False
+ **`errorCode`** – 異常活動的錯誤代碼。另請參閱 `errorCode` 中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
**自:**1.07
**選用:**True
+ **`insightContext`** – AWS 工具 (稱為*使用者代理*程式)、IAM 使用者和角色 (稱為*使用者身分) *的相關資訊,以及與 CloudTrail 分析以產生 Insights 事件之事件相關聯的錯誤代碼。此元素也包含統計資料,顯示 Insights 事件中的異常活動與*基準*或正常活動的比較。
**自:**1.07
**選用:**False
+ **`statistics`** – 包括有關*基準*的資料,或帳戶在基準期間測量的對主體 API 的呼叫或錯誤的典型平均速率、觸發 Insights 事件的呼叫或錯誤的平均速率、以分鐘為單位的 Insights 事件持續時間,以及基準測量期間的持續時間,以分鐘為單位。
**自:**1.07
**選用:**False
+ **`baseline`** – 在 Insights 事件之帳戶主體 API 的基準期間,每分鐘 API 呼叫或錯誤,計算時間是 Insights 事件開始之前的七天。
**自:**1.07
**選用:**False
+ **`average`** – 在 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。
**自:**1.07
**選用:**False
+ **`insight`** – 對於開始的 Insights 事件,此值是異常活動開始期間每分鐘 API 呼叫或錯誤的平均數量。針對結束 Insights 事件,此值是異常活動期間每分鐘平均 API 呼叫或錯誤次數。
**自:**1.07
**選用:**False
+ **`average`** – 在異常活動期間每分鐘記錄的平均 API 呼叫或錯誤次數。
**自:**1.07
**選用:**False
+ **`insightDuration`** – Insights 事件的持續時間,以分鐘為單位 (主體 API 上異常活動的開始到結束期間)。 `insightDuration`同時發生在開始和結束 Insights 事件中。
**自:**1.07
**選用:**False
+ **`baselineDuration`** – 基準期間 (在主體 API 上測量正常活動的期間) 的持續時間,以分鐘為單位。 至少`baselineDuration`為 Insights 事件之前的七天 (10080 分鐘)。此欄位會出現在開始和結束 Insights 事件中。`baselineDuration` 測量的結束時間永遠是 Insights 事件的開始。
**自:**1.07
**選用:**False
+ **`attributions`** – 包括與異常和基準活動相關的使用者身分、使用者代理程式和錯誤碼的相關資訊。Insights 事件中最多會擷取五個使用者身分、五個使用者代理程式和五個錯誤碼`attributions`區塊,按活動計數的平均值按從高到低的降序排列。
**自:**1.07
**選用:**True
+ **`attribute`** – 包含屬性類型。此值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,這些值只會出現在個別屬性中一次。不同的屬性值可以有不同的 `userIdentityArn`、 `userAgent`或 `errorCode`值,但每個屬性執行個體只會包含一個 `userIdentityArn`、 `userAgent`或 的值`errorCode`。
**自:**1.07
**選用:**False
+ **`insight`** – 顯示最多前五個屬性值的區塊,這些值導致在異常活動期間進行的 API 呼叫或錯誤,從最大數量的 API 呼叫或錯誤降至最小。它也會顯示異常活動期間屬性值進行的 API 呼叫或錯誤的平均次數。
**自:**1.07
**選用:**False
+ **`value`** – 導致 API 呼叫或在異常活動期間進行的錯誤的屬性。
**自:**1.07
**選用:False** False
+ **`average`** – 在 `value` 欄位中屬性的異常活動期間,每分鐘 API 呼叫或錯誤的次數。
**自:**1.07
**選用:False** False
+ **`baseline`** – 區塊,顯示在正常活動期間對 API 呼叫或錯誤貢獻最多的前五個屬性值,從 API 呼叫的最大數量或錯誤降至最小。它也會顯示正常活動期間屬性值所做的 API 呼叫或錯誤的平均數量。
**自:**1.07
**選用:False** False
+ **`value`** – 在正常活動期間導致 API 呼叫或錯誤的屬性。
**自:**1.07
**選用:False** False
+ **`average`** – `value`欄位中屬性的 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。
**自:**1.07
**Optional:False** False
+ **`eventCategory`** – 事件的類別。值一律`Insight`適用於 Insights 事件。
**自:**1.07
**選用:**False
## 範例 `insightDetails` 區塊
以下為 Application Auto Scaling API `CompleteLifecycleAction` 被呼叫異常次數時發生的 Insights 事件的 Insights 事件 `insightDetails` 區塊的範例。如需完整 Insights 事件的範例,請參閱 [Insights 事件](cloudtrail-events.md#cloudtrail-insights-events)。
此範例來自開始 Insights 事件,由 `"state": "Start"` 指示。呼叫與 Insights 事件、`CodeDeployRole1`、`CodeDeployRole2`,以及 `CodeDeployRole3` 相關聯之 API 的主要使用者身分,以及此 Insights 事件的平均 API 呼叫率,以及 `attributions` 角色 基準會顯示在 `CodeDeployRole1` 區塊。`attributions` 區塊也會顯示使用者代理程式是 `codedeploy.amazonaws.com`,這表示使用 AWS CodeDeploy 主控台執行 API 呼叫的最上層使用者身分。
因為沒有與已分析以產生 Insight 事件的事件相關聯的錯誤碼 (值為 `null`),錯誤碼的 `insight` 平均值與整個 Insights 事件的整體 `insight` 的平均值相同 (顯示在 `statistics` 區塊。
```
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 0.0000882145
},
"insight": {
"average": 0.6
},
"insightDuration": 5,
"baselineDuration": 11336
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
"average": 0.2
}
],
"baseline": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.0000882145
}
]
},
{
"attribute": "userAgent",
"insight": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.6
}
],
"baseline": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.0000882145
}
]
},
{
"attribute": "errorCode",
"insight": [
{
"value": "null",
"average": 0.6
}
],
"baseline": [
{
"value": "null",
"average": 0.0000882145
}
]
}
]
}
}
```