本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Detective 中檢視大量實體的詳細資訊
在行為圖表中,Amazon Detective 會追蹤實體之間的關係。例如,每個行為圖表都會追蹤 AWS 使用者何時建立 AWS 角色,以及 EC2 執行個體何時連線到 IP 地址。
當實體在一段時間內發生太多關係時,Detective 將無法儲存所有關係。如果在目前的範圍時間內發生此類情況,Detective 會通知您。Detective 還提供了大量實體的出現的清單。
什麼是大量實體?
在指定的時間間隔內,實體可能是極大數目連線的起點或目的地。例如,EC2 執行個體可能具有來自數百萬個 IP 地址的連線。
在每個時間間隔內,Detective 將保持其可以承載的連線數目的限制。如果某一實體超過該限制,則 Detective 會捨棄該時間間隔內的連線。
例如,假設每個時間間隔的限制為 100,000,000 個連線。如果 EC2 執行個體在一段時間間隔內連線到超過 100,000,000 個 IP 地址,則 Detective 會捨棄該時間間隔中的連線。
不過,您可能可以根據關係另一端的實體來分析該活動。為了繼續該範例,當 EC2 執行個體可能從數百萬個 IP 地址進行連線時,單一 IP 地址將連線到極少的 EC2 執行個體。每個 IP 地址設定檔都提供 IP 地址所連線的 EC2 執行個體的詳細資訊。
檢視設定檔上的大量實體通知
如果範圍時間包含大量實體的時間間隔,則 Detective 會在調查結果或實體設定檔的頂端顯示通知。針對調查結果設定檔,通知則針對涉及的實體。
該通知包括具有大量時間間隔的關係清單。每個清單項目都包含關係的說明和大量時間間隔的開始。
大量時間間隔可能是可疑活動的指標。若要了解同時發生了哪些其他活動,您可以將調查集中在大量時間間隔上。大量實體通知包括用於將範圍時間設置為該時間間隔的選項。
將範圍時間設定為大量時間間隔
-
在大量實體通知中,選擇時間間隔。
-
在快顯功能表上,選擇套用範圍時間。
檢視當前範圍時間的大量實體清單
大量實體頁面包含目前範圍時間內的大量時間間隔和實體清單。
若要顯示大量實體頁面
-
前往 https://console.aws.amazon.com/detective/
開啟 Amazon Detective 主控台。 -
在 Detective 導覽窗格中,選擇大量實體。
每個清單項目包含以下資訊:
-
大量時間間隔的開始
-
實體類型的識別符
-
關係的說明,例如「從 IP 地址連線的 EC2 執行個體」
您可以透過任何欄篩選和排序清單。您也可以導覽至涉及的實體的實體設定檔。
若要導覽至某一實體設定檔
-
在大量實體清單中,選擇要從何列進行導覽。
-
選擇檢視具有大量範圍時間的設定檔。
當您使用此選項導覽至實體設定檔時,範圍時間設定如下:
-
範圍時間在大量時間間隔之前的 30 天開始。
-
範圍時間在大量時間間隔結束時結束。
