在 Detective 中查詢原始日誌

將 Detective 與 Security Lake 整合之後，Detective 會開始從 Security Lake 提取與 AWS CloudTrail 管理事件和 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌相關的原始日誌。

在 Detective 內查詢原始日誌無須額外付費。其他 AWS 服務的使用費，包括 Amazon Athena，仍以公告費率計費。

AWS CloudTrail 管理事件可用於下列設定檔：

Amazon VPC Flow Logs 可用於下列設定檔：

如需如何使用 Detective 主控台搭配 Amazon Security Lake 使用 Amazon Detective 的示範，請觀看下列影片：

打開 Detective 主控台，網址為 https://console.aws.amazon.com/detective/。
在導覽窗格中，選擇搜尋，然後搜尋 AWS account。
在整體 API 呼叫量區段中，選擇顯示範圍時間的詳細資訊。
您可以在此開始查詢原始日誌。

在原始日誌預覽資料表中，您可以檢視透過從 Security Lake 查詢資料擷取的日誌和事件。如需有關原始事件日誌的詳細資訊，您可以檢視 Amazon Athena 中顯示的資料。

您可以在查詢原始日誌資料表中取消查詢請求、在 Amazon Athena 中查看結果以及下載結果為逗號分隔值 (.csv) 設定檔。

如果您在 Detective 中查看日誌，但查詢未傳回任何結果，這可能因以下原因造成。

原始日誌可能會先在 Detective 中變成可用，然後才在 Security Lake 日誌表中顯示。請稍後再試。
Security Lake 可能會缺少日誌。如果您等待了很久的時間，則表示 Security Lake 缺少日誌。請與您的 Security Lake 管理員聯絡以解決問題。

查詢 AWS 角色的原始日誌

如果您想要了解新地理位置中 AWS 角色的活動，可以在 Detective 主控台中進行。

打開 Detective 主控台，網址為 https://console.aws.amazon.com/detective/。
從 Detective 摘要頁面新觀察到的地理位置區段中，記下 AWS 角色。
在導覽窗格中，選擇搜尋，然後搜尋 AWS role。
針對該 AWS 角色，展開資源以顯示該資源從該 IP 地址發出的特定 API 呼叫。
選擇您要調查的 API 呼叫旁邊的放大鏡圖示，以開啟原始日誌預覽表。

打開 Detective 主控台，網址為 https://console.aws.amazon.com/detective/。
從 Detective 摘要頁面 建立最多 Pod 的容器叢集區段中，導覽至 Amazon EKS 叢集。
在 Amazon EKS 叢集詳細資訊頁面中，選取 Kubernetes API 活動索引標籤。
在涉及此 Amazon EKS 叢集的整體 Kubernetes API 活動區段中，選擇範圍時間的顯示詳細資訊。
您可以在此開始查詢原始日誌。

打開 Detective 主控台，網址為 https://console.aws.amazon.com/detective/。
在導覽窗格中，選擇搜尋，然後搜尋 Amazon EC2 instance。
在整體 VPC 流量區段中，選擇您要調查的 API 呼叫旁邊的放大鏡圖示，以開啟原始日誌預覽表。
您可以在此開始查詢原始日誌。

您可以在查詢原始日誌資料表中取消查詢請求、在 Amazon Athena 中查看結果以及下載結果為逗號分隔值 (.csv) 設定檔。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

支援 AWS 的區域

停用整合