本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
整體 API 呼叫量的活動詳細資訊
整體 API 呼叫量的活動詳細資訊,顯示在所選時間範圍內的 API 呼叫資料。
若要顯示單一時間間隔的活動詳細資訊,請在圖表上選擇時間間隔。
若要顯示目前範圍時間的活動詳細資訊,請選擇顯示範圍時間的詳細資訊。
請注意,自 2021 年 7 月 14 日起,Detective 開始儲存並顯示 API 呼叫的服務名稱。該日期會在設定檔面板的時間軸上反白顯示。針對在該日期之前發生的活動,服務名稱為未知服務。
活動詳細資訊的內容 (使用者、角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體)
針對 IAM 使用者、IAM 角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體,活動詳細資訊包含以下資訊:
-
每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。
針對 S3 儲存貯體,資訊會反映對 S3 儲存貯體進行的 API 呼叫。
API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
-
針對每個項目,活動詳細資訊都會顯示成功和失敗的呼叫次數。觀察到的 IP 地址標籤也會顯示每個 IP 地址的位置。
-
每個項目均顯示呼叫方的訊息。活動詳細資訊會針對帳戶識別使用者或角色。活動詳細資訊會針對角色識別角色工作階段。針對使用者和角色工作階段,活動詳細資訊會識別存取金鑰識別符 (AKID)。
請注意,從 2021 年 7 月 14 日起,針對帳戶設定檔,活動詳細資訊會顯示使用者或角色,而非 AKID。針對角色設定檔,活動詳細資訊會顯示角色工作階段,而非 AKID。針對在 2021 年 7 月 14 日之前發生的活動,呼叫者會列為未知資源。
活動詳細資訊包含以下標籤:
- 觀察到的 IP 地址
-
初始顯示用於發出 API 呼叫的 IP 地址清單。
您可以展開每個 IP 地址,以顯示從該 IP 地址發出的 API 呼叫清單。API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
然後,您可以展開每個 API 呼叫,以顯示來自該 IP 地址的呼叫者清單。根據設定檔而定,呼叫者可能是使用者、角色、角色工作階段或 AKID。
- 依服務分類的 API 方法
-
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
您可以展開每個 API 方法,以顯示從中發出呼叫的 IP 地址清單。
然後,您可以展開每個 IP 地址,以顯示從該 IP 地址發出該 API 呼叫的 AKID 清單。
- 資源或存取金鑰 ID
-
初始顯示用來發出 API 呼叫的使用者、角色、角色工作階段或 AKID 的清單。
您可以展開每個呼叫者,以顯示呼叫者從 IP 地址發出 API 呼叫的清單。
然後,您可以展開每個 IP 地址,以顯示該呼叫者從該 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體,服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
活動詳細資訊的內容 (IP 地址)
針對 IP 地址,活動詳細資訊包含以下資訊:
-
每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
-
針對每個項目,活動詳細資訊都會顯示成功和失敗的呼叫次數。
活動詳細資訊包含以下標籤:
- 資源
-
初始顯示從 IP 地址發出 API 呼叫的資源清單。
針對每個資源,清單包括資源名稱、類型和 AWS 帳戶。
您可以展開每個資源,以顯示資源從 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
- 依服務分類的 API 方法
-
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務,則該呼叫會列在未知服務下。
您可以展開每個 API 呼叫,以顯示所選期間內從 IP 地址發出的 API 呼叫的資源清單。
排序活動詳細資訊
您可以依任何清單欄排序活動詳細資訊。
當您使用第一欄位排序時,系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。
篩選活動詳細資訊
您可以使用篩選選項,來專注於活動詳細資訊中所表示的特定子集或活動方面。
在所有標籤上,您可以依第一欄位中的任何值篩選清單。
若要新增篩選條件
-
選擇篩選條件方塊。
-
從屬性中,選擇要用於篩選的內容。
-
提供用於篩選的值。篩選條件支援部分值。例如,當您依 API 方法進行篩選時,如果篩選依據為
Instance,則結果會在其名稱內包含帶有Instance的任何 API 操作。所以ListInstanceAssociations和UpdateInstanceInformation兩者將匹配。針對服務名稱、API 方法和 IP 地址,您可以指定值或選擇內建篩選條件。
針對通用 API 子字串,請選擇代表操作類型的子字串,例如
List、Create或Delete。每個 API 方法名稱都以操作類型開頭。針對 CIDR 模式,您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。
-
選擇布林值選項
資源或服務:包含 或 !:不包含;或API 方法或IP 地址= 等於 或 !:不等於設定篩選條件。
若要移除篩選條件,請選擇右上角的 x 圖示。
若要清除所有篩選條件,請選擇清除篩選條件。
選取活動詳細資訊的時間範圍
當您首次顯示活動詳細資訊時,時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。
若要變更活動詳細資訊的時間範圍
-
選擇編輯。
-
在編輯時間範圍上,選擇要使用的開始和結束時間。
若要將時間範圍設定為設定檔的預設範圍時間,請選擇設定為預設範圍時間。
-
選擇更新時間範圍。
活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。
查詢原始日誌
Amazon Detective 與 Amazon Security Lake 集成,這意味著您可以查詢和擷取 Security Lake 存儲的原始日誌資料。如需此整合的詳細資訊,請參閱 Amazon Detective 與 Amazon Security Lake 整合。
使用此整合,您可以從 Security Lake 原生支援的以下來源收集和查詢日誌和事件。
-
AWS CloudTrail 管理事件 1.0 版及更新版本
-
Amazon Virtual Private Cloud (Amazon VPC) 流程日誌 1.0 版及更新版本
-
Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌 2.0 版
注意
在 Detective 內查詢原始資料日誌無須額外收費。其他 AWS 服務的使用費,包括 Amazon Athena,仍以公告費率計費。
若要查詢原始日誌
-
選擇顯示範圍時間的詳細資訊。
-
您可以在此開始查詢原始日誌。
-
在原始日誌預覽資料表中,您可以檢視透過從 Security Lake 查詢資料擷取的日誌和事件。如需有關原始事件日誌的詳細資訊,您可以檢視 Amazon Athena 中顯示的資料。
您可以在查詢原始日誌資料表中取消查詢請求、在 Amazon Athena 中查看結果以及下載結果為逗號分隔值 (.csv) 設定檔。
如果您在 Detective 中查看日誌,但查詢未傳回任何結果,這可能因以下原因造成。
-
原始日誌可能會先在 Detective 中變成可用,然後才在 Security Lake 日誌表中顯示。請稍後再試。
-
Security Lake 可能會缺少日誌。如果您等待了很久的時間,則表示 Security Lake 缺少日誌。請與您的 Security Lake 管理員聯絡以解決問題。
