Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Anzeigen von Insights-Ereignissen für Trails In diesem Abschnitt wird beschrieben, wie Sie nach Insights-Ereignissen der letzten 90 Tage nach einem Trail suchen können, bei dem CloudTrail Insights aktiviert ist. Informationen zum Anzeigen von CloudTrail Insights für einen Ereignisdatenspeicher finden Sie unter[Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen](insights-events-view-lake.md#insights-events-view-lake-dashboard). **Sie können die Insights-Ereignisse der letzten 90 Tage für einen Trail auf der Insights-Seite in der Konsole anzeigen, filtern und herunterladen.** Sie können die Insights-Ereignisse der letzten 90 Tage programmgesteuert abrufen: + Für Trails protokollieren Sie Verwaltungsereignisse, indem AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)Sie den Befehl oder den [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API-Vorgang ausführen. + Für Trails werden Datenereignisse protokolliert, indem der AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)Befehl oder die [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API-Operation ausgeführt wird. Eine Beschreibung der Datensatzfelder für Trails mit Insights-Ereignissen finden Sie unter[CloudTrail Inhalte für Insights-Ereignisse für Trails aufzeichnen](cloudtrail-insights-fields-trails.md). **Anmerkung** Auf der **Insights-Seite** AWS CLI `lookup-events` und/oder `list-insights-data` dem Befehl werden Insights-Ereignisse nur aufgeführt, wenn Sie Insights für einen Trail aktiviert haben, der Verwaltungs- oder Datenereignisse protokolliert. Informationen zur Aktivierung von Insights on a Trail finden Sie unter [CloudTrail Insights für einen vorhandenen Trail mit der Konsole aktivieren](insights-events-enable.md#insights-events-enable-trail) und[Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails). Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungs- oder Datenereignisse protokollieren. Um Insights-Ereignisse entsprechend der API-Fehlerrate zu protokollieren, muss der Trail unsere `write` Verwaltungs `read` - oder Datenereignisse protokollieren. **Topics** + [ # Insights-Ereignisse für Trails mit der Konsole anzeigen ](view-insights-events-console.md) + [ # Insights-Ereignisse für Wanderwege anzeigen mit dem AWS CLI ](view-insights-events-cli.md) # Insights-Ereignisse für Trails mit der Konsole anzeigen **In diesem Abschnitt wird beschrieben, wie Sie die Insights-Ereignisse der letzten 90 Tage für einen Trail auf der Insights-Seite auf der CloudTrail Konsole anzeigen, nachschlagen und herunterladen können.** Informationen zum Anzeigen von CloudTrail Insights für einen Ereignisdatenspeicher finden Sie unter[Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen](insights-events-view-lake.md#insights-events-view-lake-dashboard). Nachdem Insights-Ereignisse für einen Trail protokolliert wurden, werden die Ereignisse 90 Tage lang auf der **Insights-Seite** angezeigt. Sie können Ereignisse nicht manuell von der Seite **Insights** löschen. Da Insights-Ereignisse, die für einen Trail aktiviert sind, in dem für diesen Trail konfigurierten Amazon S3 S3-Bucket gespeichert werden, werden diese Ereignisse beim Entfernen der Insights-Ereignisse aus dem Bucket gelöscht. Sie können Ihre Trail-Logs überwachen und sich benachrichtigen lassen, wenn bestimmte Insights-Ereignisse eintreten, indem Sie CloudWatch Logs aktivieren. Weitere Informationen finden Sie unter [Überwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md). **Anmerkung** CloudTrail Insights-Ereignisse müssen auf Ihrem Trail aktiviert sein, damit Insights-Ereignisse in der Konsole angezeigt werden. Warten Sie bis zu 36 Stunden CloudTrail , bis die ersten Insights-Ereignisse gemeldet werden, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden. Für Einblicke in Verwaltungsereignisse: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse mit der API-Fehlerrate zu protokollieren, muss der Trail Ereignisse `read` oder `write` Verwaltungsereignisse protokollieren. Für Einblicke in Datenereignisse: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate oder die API-Fehlerrate zu protokollieren, muss der Trail `write` Datenereignisse protokollieren`read`. **So zeigen Sie Insights-Ereignisse an** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole zu [https://console.aws.amazon.com/cloudtrail/Hause/](https://console.aws.amazon.com/cloudtrail/home/). 1. Wählen Sie im Navigationsbereich **Insights** aus, um alle Insights-Ereignisse zu sehen, die in den letzten 90 Tagen in Ihrem Konto protokolliert wurden. Sie können sich auch die fünf neuesten Insights-Ereignisse auf der Seite **Dashboards** ansehen. 1. Auf der **Insights-Seite** können Sie entweder die Registerkarte Einblicke für Verwaltungsereignisse oder Einblicke für Datenereignisse auswählen 1. Sie können Insights-Ereignisse nach Ereignisquelle, Ereignisname oder Ereignis-ID filtern. Weitere Informationen zum Filtern von Insights-Ereignissen erhalten Sie unter [Filtern von Insights-Ereignissen](#filtering-insights-events). 1. Sie können die Liste weiter auf einen **relativen Bereich** oder einen **absoluten Bereich** einschränken. **Contents** + [ ## Filtern von Insights-Ereignissen ](#filtering-insights-events) + [ ## Details zu Insights-Ereignissen anzeigen ](#viewing-details-for-an-event) + [ ## Zoomen, Schwenken und Herunterladen des Diagramms ](#viewing-insight-details-zoom) + [ ## Ändern der Einstellungen für die Zeitspanne des Diagramms ](#viewing-insight-details-timespan) + [ ## Herunterladen von Insights-Ereignissen ](#downloading-insights-events) ## Filtern von Insights-Ereignissen Standardmäßig werden Ereignisse auf der **Insights-Seite** in umgekehrter chronologischer Reihenfolge nach der Startzeit des Ereignisses angezeigt. Sie können die Liste filtern, indem Sie eines der folgenden drei Attribute auswählen: **Ereignisname** Der Name des Ereignisses, in der Regel die AWS API, auf der ungewöhnliche Aktivitäten aufgezeichnet wurden. **Ereignisquelle** Der AWS Dienst, an den die Anfrage gestellt wurde, z. B. `iam.amazonaws.com` oder`s3.amazonaws.com`. Wenn Sie nach einer Ereignisquelle filtern möchten, können Sie durch eine Liste von Ereignisquellen blättern. **Ereignis-ID** Die ID des Insights-Ereignisses. Ereignisse IDs werden in der Tabelle der **Insights-Seite** nicht angezeigt, sie sind jedoch ein Attribut, nach dem Sie Insights-Ereignisse filtern können. Das Ereignis IDs von Management- oder Datenereignissen, die analysiert werden, um Insights-Ereignisse zu generieren, unterscheidet sich vom Ereignis IDs von Insights-Ereignissen. ![\[Der Filter für die CloudTrail Insights-Ereignisliste.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_events_filter.png) In der folgenden Liste werden die Attribute eines Ereignisses beschrieben, die nicht gefiltert werden können: **Insight-Typ** Der Typ des CloudTrail Insights-Ereignisses, bei dem es sich entweder um die **API-Aufrufrate** oder die **API-Fehlerrate** handelt. Der Insight-Typ **„API-Aufrufrate**“ analysiert API-Aufrufe, die nur Schreibzugriff haben, oder Daten-API-Aufrufe, die pro Minute aggregiert werden, anhand eines API-Standardaufrufvolumens. Der Insight-Typ **API-Fehlerrate** analysiert Management- oder Daten-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt. **Startzeit des Ereignisses** Der Zeitpunkt des Beginns eines Insights-Ereignisses, gemessen ab der ersten Minute, in der ungewöhnliche Aktivitäten aufgezeichnet wurden. Dieses Attribut wird in der **Insights**-Tabelle angezeigt, aber Sie können nicht nach der Startzeit des Ereignisses in der Konsole filtern. **Baseline-Durchschnitt** Der Basiswert stellt das normale Muster der API-Aufruf- oder Fehlerratenaktivität dar, das täglich berechnet wird. Der Basisdurchschnitt ist der Durchschnitt dieser täglichen Ausgangswerte in den sieben Tagen vor Beginn eines Insights-Ereignisses. Dieser Zeitraum beträgt in der Regel sieben Tage, CloudTrail rundet den Berechnungszeitraum jedoch auf eine ganze Anzahl von Tagen ab, sodass die genaue Basisdauer leicht variieren kann. **Insight-Durchschnitt** Die durchschnittliche Anzahl von Aufrufen einer API oder die durchschnittliche Anzahl eines bestimmten Fehlers, der bei Aufrufen einer API zurückgegeben wurde und das Insights-Ereignis ausgelöst hat. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Häufigkeit der Ereignisse, die das Insights-Ereignis ausgelöst haben. In der Regel ist dies die erste Minute ungewöhnlicher Aktivität. Der Insight-Durchschnitt für das Endereignis ist die Rate von Vorkommen für die Dauer der ungewöhnlichen Aktivität zwischen dem Insights-Start- und -Endereignis. **Ratenänderung** Die Differenz zwischen dem Wert von **Baseline-Durchschnitt** und **Insight-Durchschnitt**, gemessen als Prozentsatz. Beispiel: Wenn der Baseline-Durchschnitt eines `AccessDenied`-Fehlervorkommens 1,0 und der Insight-Durchschnitt 3,0 beträgt, liegt eine Ratenänderung von 300 % vor. Für eine Ratenänderung für einen Insight-Durchschnitt, der einen Baseline-Durchschnitt übersteigt, wird neben dem Wert ein Nach-oben-Pfeil angezeigt. Wenn das Insights-Ereignis protokolliert wurde, weil die Aktivität unter dem Baseline-Durchschnitt liegt, wird für **Ratenänderung** ein Nach-unten-Pfeil neben dem Prozentsatz angezeigt. Wurden für das gewählte Attribut oder die gewählte Zeit keine Ereignisse protokolliert, bleibt die Ergebnisliste leer. Neben dem Filter für den Zeitraum können Sie nur noch einen Attribut-Filter anwenden. Wenn Sie einen anderen Attributfilter auswählen, wird der angegebene Zeitbereich beibehalten. In den folgenden Schritten wird beschrieben, wie Sie nach einem Attribut filtern. **So filtern Sie nach einem Attribut** 1. Um die Ergebnisse nach einem Attribut zu filtern, wählen Sie ein Suchattribut aus dem Dropdownmenü aus, und geben Sie dann einen Wert in das Feld **Geben Sie einen Suchwert ein**, oder wählen Sie ihn aus. 1. Um einen Attributfilter zu entfernen, klicken Sie auf das **X** rechts vom Feld für den Attributfilter. In den folgenden Schritten wird beschrieben, wie Sie nach einem Start- und Enddatum und nach Uhrzeit filtern. **Nach einem Start- und Enddatum und Uhrzeit filtern** 1. Wählen Sie **unter Nach Datum und Uhrzeit filtern** eine der folgenden Optionen aus: + **Absoluter Bereich** — Ermöglicht die Auswahl einer bestimmten Uhrzeit. Fahren Sie mit dem nächsten Schritt fort. + **Relativer Bereich** — Standardmäßig ausgewählt. Hier können Sie einen Zeitraum relativ zur Startzeit eines Insights-Ereignisses auswählen. Fahren Sie mit Schritt 3 fort. 1. Gehen Sie wie folgt vor, um einen **absoluten Bereich** festzulegen. 1. Wählen Sie den Tag aus, an dem der Zeitraum beginnen soll. Geben Sie eine Startzeit am ausgewählten Tag ein. Um ein Datum manuell einzugeben, geben Sie das Datum im Format `yyyy/mm/dd` ein. Die Start- und Endzeiten verwenden ein 24-Stunden-Format und die Werte müssen das Format `hh:mm:ss` haben. Um beispielsweise eine Startzeit von 18.30 Uhr anzugeben, geben Sie **18:30:00** ein. 1. Wählen Sie ein Enddatum für den Bereich im Kalender aus oder geben Sie ein Enddatum und eine Endzeit unterhalb des Kalenders an. Wählen Sie **Anwenden** aus. 1. Gehen Sie wie folgt vor, um einen **relativen Bereich** festzulegen. 1. Wählen Sie einen voreingestellten Zeitraum relativ zur Startzeit von Insights-Ereignissen. Zu den voreingestellten Zeitbereichen gehören 30 Minuten, 1 Stunde, 12 Stunden oder 1 Tag. Um einen benutzerdefinierten Zeitraum anzugeben, wählen Sie **Benutzerdefiniert** aus. 1. Wenn Sie die gewünschte relative Zeit eingestellt haben, wählen Sie **Anwenden**. 1. Um einen Zeitbereichsfilter zu entfernen, wählen Sie das Kalendersymbol rechts neben dem Feld Nach **Datum und Uhrzeit filtern** und dann **Löschen und schließen aus.** ## Details zu Insights-Ereignissen anzeigen 1. Wählen Sie ein Insights-Ereignis in der Ergebnisliste aus, um die Details dazu anzuzeigen. Auf der Seite mit den Details eines Insights-Ereignisses wird ein Diagramm mit der Zeitachse der ungewöhnlichen Aktivitäten angezeigt. ![\[Eine CloudTrail Insights-Detailseite mit ungewöhnlichen API-Aktivitäten.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_event_view.png) 1. Bewegen Sie den Mauszeiger über die hervorgehobenen Bänder, um die Startzeit und Dauer jedes Insights-Ereignisses im Diagramm anzuzeigen. ![\[Statistiken für Insights-Ereignis, nachdem darauf gezeigt wurde.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_event_statistics.png) Die folgenden Informationen werden im Bereich **Zusätzliche Informationen** des Diagramms angezeigt: + **Insight-Typ**. Dies kann API-Aufrufrate oder API-Fehlerrate sein. + **Auslöser**. Dies ist ein Link zur Registerkarte **Cloudtrail-Ereignisse**, auf der die Verwaltungs- oder Datenereignisse aufgeführt sind, die analysiert wurden, um festzustellen, dass ungewöhnliche Aktivitäten aufgetreten sind. + **API-Aufrufe pro Minute** oder **Fehler pro** Minute + **Baseline-Durchschnitt** – Die typische Rate von Vorkommen pro Minute für diese API, für die das Insights-Ereignis protokolliert wurde, gemessen in ungefähr den letzten sieben Tagen in einer bestimmten Region in Ihrem Konto. + **Insight-Durchschnitt**: Die Rate der Vorkommen pro Minute für diese API, von der das Insights-Ereignis ausgelöst wurde. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Rate der Aufrufe oder Fehler pro Minute auf der API, die das Insights-Ereignis ausgelöst haben. In der Regel ist dies die erste Minute ungewöhnlicher Aktivität. Der Insights-Durchschnitt für das Endereignis ist die Rate von API-Aufrufen oder -Fehlern pro Minute für die Dauer der ungewöhnlichen Aktivitäten zwischen dem Insights-Start- und -Endereignis. + **Ereignisquelle**. Der AWS Service-Endpunkt, auf dem die ungewöhnliche Anzahl von API-Aufrufen oder Fehlern protokolliert wurde. Im vorherigen Bild ist `ec2.amazonaws.com` die Quelle der Service-Endpunkt für Amazon EC2. + **Startereignis-ID** – Die ID des Insights-Ereignisses, das zu Beginn der ungewöhnlichen Aktivitäten protokolliert wurde. + **Endereignis-ID** – Die ID des Insights-Ereignisses, das am Ende der ungewöhnlichen Aktivitäten protokolliert wurde. + **Gemeinsame Event-ID** — Bei Insights-Ereignissen ist die **Shared Event ID** eine GUID, die von CloudTrail Insights generiert wird, um ein Start- und Endpaar von Insights-Ereignissen eindeutig zu identifizieren. Die **Gemeinsame Ereignis-ID** ist für das Insights-Start- und -Endereignis gleich und dient zum Erstellen einer Korrelation zwischen den beiden Ereignissen, um ungewöhnliche Aktivitäten eindeutig identifizieren zu können. 1. Wählen Sie die Registerkarte **Namensnennungen** aus, um Informationen zu den Benutzeridentitäten, Benutzeragenten und zu API-Fehlerrate-Insights-Ereignissen und Fehlercodes anzuzeigen, die mit ungewöhnlichen und grundlegenden Aktivitäten korreliert sind. In Tabellen auf der Registerkarte **Attributionen** werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes angezeigt, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert. 1. Sehen Sie sich auf der Registerkarte **CloudTrail Ereignisse** verwandte Ereignisse an, die CloudTrail analysiert wurden, um festzustellen, dass ungewöhnliche Aktivitäten aufgetreten sind. Standardmäßig wird bereits ein Filter für den Namen des Insights-Ereignisses angewendet. Dies ist auch der Name der zugehörigen API. Auf der Registerkarte **CloudTrail Ereignisse** werden CloudTrail Verwaltungs- oder Datenereignisse im Zusammenhang mit der Betreff-API angezeigt, die zwischen der Startzeit (minus eine Minute) und der Endzeit (plus eine Minute) des Insights-Ereignisses aufgetreten sind. Wenn Sie andere Insights-Ereignisse im Diagramm auswählen, ändern sich die in der **CloudTrail Ereignistabelle angezeigten Ereignisse**. Mit diesen Ereignissen können Sie eine eingehendere Analyse durchführen, um die wahrscheinliche Ursache eines Insights-Ereignisses und die Gründe für die ungewöhnlichen API-Aktivitäten zu ermitteln. Um alle CloudTrail Ereignisse anzuzeigen, die während der Dauer des Insights-Ereignisses protokolliert wurden, und nicht nur die Ereignisse für die zugehörige API, schalten Sie den Filter aus. 1. Wählen Sie die Registerkarte **Insights-Ereignisdatensatz**, um die Insights-Start- und Endereignisse im JSON-Format anzuzeigen. 1. Wenn Sie die verknüpfte **Ereignisquelle** auswählen, kehren Sie zur Seite **Insights** zurück, die nach dieser Ereignisquelle gefiltert ist. ## Zoomen, Schwenken und Herunterladen des Diagramms Sie können das Diagramm auf der Detailseite des Insights-Ereignisses zoomen, schwenken und dessen Achsen zurücksetzen, indem Sie die Symbolleiste oben rechts verwenden. ![\[Herunterladen als PNG, Zoomen, Schwenken, Vergrößern/Verkleinern und Zurücksetzen der Achsen: Befehlssymbolleiste.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png) Von links nach rechts haben die Befehlsschaltflächen des Diagramms die folgenden Funktionen: + **Plot als PNG herunterladen**: Laden Sie das Diagrammbild herunter, das auf der Detailseite angezeigt wird, und speichern Sie es im PNG-Format. + **Zoomen**: Ziehen Sie mit dem Mauszeiger ein Kästchen auf, um einen Bereich des Diagramms auszuwählen, den Sie vergrößern und detaillierter anzeigen möchten. + **Schwenken**: Verschieben Sie das Diagramm, um daneben angeordnete Datumsangaben oder Uhrzeiten anzuzeigen. + **Achsen zurücksetzen**: Setzen Sie die Diagrammachsen wieder in den Originalzustand zurück. Hierbei werden die Zoom- und Schwenkeinstellungen gelöscht. ## Ändern der Einstellungen für die Zeitspanne des Diagramms Sie können die Zeitspanne – die ausgewählte Dauer der auf der *x*-Achse angezeigten Ereignisse – ändern, die im Diagramm angezeigt wird, indem Sie eine Einstellung in der oberen rechten Ecke des Diagramms auswählen. ![\[Zeitspanne für ein Insights-Ereignis.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_details_timespan.png) ## Herunterladen von Insights-Ereignissen Sie können einen aufgezeichneten Verlauf von Insights-Ereignissen als Datei im CSV- oder JSON-Format herunterladen. Verwenden Sie Filter und Zeitbereiche zur Reduzierung der Größe der Datei, die Sie herunterladen. **Anmerkung** CloudTrail Ereignisverlaufsdateien sind Datendateien, die Informationen (wie Ressourcennamen) enthalten, die von einzelnen Benutzern konfiguriert werden können. Einige Daten können potenziell als Befehle in Programmen verwendet werden, um diese Daten zu lesen und zu analysieren (CSV-Injektion). Wenn CloudTrail Ereignisse beispielsweise als CSV exportiert und in ein Tabellenkalkulationsprogramm importiert werden, warnt Sie dieses Programm möglicherweise vor Sicherheitsbedenken. Die bewährte Sicherheitsmethode besteht darin, Links oder Makros aus heruntergeladenen Dateien mit Ereignisverläufen zu deaktivieren. 1. Geben Sie den Filter und Zeitraum für die Ereignisse an, die Sie herunterladen möchten. Sie können beispielsweise den Namen des Ereignisses und einen Zeitraum für die Aktivität der letzten 12 Stunden angeben. `StartInstances` 1. Wählen Sie **Download events (Ereignisse herunterladen)** und dann **Download CSV (CSV herunterladen)** oder **Download JSON (JSON herunterladen)** aus. Sie werden aufgefordert, einen Speicherort für die Datei auszuwählen. **Anmerkung** Ihr Download kann einige Zeit in Anspruch nehmen. Verwenden Sie für schnellere Ergebnisse einen detaillierteren Filter oder einen kürzeren Zeitbereich, um die Ergebnisse einzuschränken, bevor Sie den Download-Vorgang starten. 1. Wenn der Download abgeschlossen ist, öffnen Sie die Datei, um die Ereignisse anzuzeigen, die Sie angegeben haben. 1. Um den Download abzubrechen, wählen Sie **Abbrechen**. Wenn Sie einen Download abbrechen, bevor er abgeschlossen ist, enthält eine CSV- oder JSON-Datei auf Ihrem lokalen Computer möglicherweise nur einen Teil Ihrer Ereignisse. # Insights-Ereignisse für Wanderwege anzeigen mit dem AWS CLI In diesem Abschnitt wird beschrieben, wie Sie mit dem `list-insights-data` Befehl AWS CLI `lookup-events` and nach Insights-Ereignissen der letzten 90 Tage nach einem Trail suchen, für den Insights-Ereignisse aktiviert sind. Informationen zur Aktivierung von CloudTrail Insights on a Trail finden Sie unter[Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails). **Anmerkung** Sie können den `list-insights-data` Befehl `lookup-events` oder nicht verwenden, um Insights-Ereignisse für einen Ereignisdatenspeicher zu suchen. CloudTrail Lake bietet jedoch eine Reihe von Beispielabfragen für Insights-Ereignisdatenspeicher. Weitere Informationen finden Sie unter [Beispielabfragen für Insights-Ereignisse anzeigen](insights-events-view-lake.md#insights-events-lake-queries). Der Befehl `lookup-events` hat die folgenden Optionen: + `--end-time` + `--event-category` + `--max-results` + `--start-time` + `--lookup-attributes` + `--next-token` + `--generate-cli-skeleton` + `--cli-input-json` Der Befehl `list-insights-data` hat die folgenden Optionen: + `--end-time` + `--data-type` + `--max-results` + `--start-time` + `--dimensions` + `--next-token` + `--generate-cli-skeleton` + `--cli-input-json` Allgemeine Informationen zur Verwendung von AWS Command Line Interface finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/). **Contents** + [ ## Voraussetzungen ](#aws-cli-prerequisites-for-insights) + [ ## Nutzen der Befehlszeilenhilfe ](#getting-command-line-help-insights) + [ ## Insights-Ereignisse für Managementereignisse suchen ](#looking-up-management-insights-with-the-aws-cli) + [ ## Insights-Ereignisse nach Datenereignissen suchen ](#looking-up-data-insights-with-the-aws-cli) + [ ## Geben Sie die Anzahl der Insights-Ereignisse an, für die Verwaltungsereignisse zurückgegeben werden sollen ](#specify-the-number-of-management-insights-to-return) + [ ## Angabe der Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse ](#specify-the-number-of-data-insights-to-return) + [ ## Insights-Ereignisse für Verwaltungsereignisse nach Zeitraum nachschlagen ](#look-up-management-insights-by-time-range) + [ ## Insights-Ereignisse für Datenereignisse nach Zeitbereich nachschlagen ](#look-up-data-insights-by-time-range) + [ ## Insights-Ereignisse für Verwaltungsereignisse nach Attributen nachschlagen ](#look-up-management-insights-by-attributes) + [ ### Beispiele für die Attributsuche ](#attribute-lookup-example-insights) + [ ## Insights-Ereignisse für Datenereignisse nach Dimension nachschlagen ](#look-up-data-insights-by-attributes) + [ ### Beispiele für die Suche nach Dimensionen ](#dimension-lookup-example-insights) + [ ## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Managementereignisse ](#specify-next-page-of-management-results) + [ ## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Verwaltungsereignisse ](#specify-next-page-of-data-results) + [ ## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Verwaltungsereignisse ](#json-input-from-file-managemenet-insights) + [ ## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Datenereignisse ](#json-input-from-file-data-insights) + [ ## Ausgabefelder der Suche ](#view-insights-events-cli-output-fields) ## Voraussetzungen + Um AWS CLI Befehle auszuführen, müssen Sie den installieren AWS CLI. Weitere Informationen finden Sie unter [Erste Schritte mit der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html). + Stellen Sie sicher, dass Ihre AWS CLI Version höher als 1.6.6 ist. Sie können die CLI-Version verifizieren, indem Sie **aws --version** in der Befehlszeile ausführen. + Verwenden Sie den **aws configure** Befehl, um das Konto, die Region und das Standardausgabeformat für eine AWS CLI Sitzung festzulegen. Weitere Informationen finden Sie unter [Konfigurieren der AWS -Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html). + Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate protokollieren zu können, muss der Trail `read` `write` Verwaltungsereignisse protokollieren. **Anmerkung** Bei den CloudTrail AWS CLI Befehlen wird zwischen Groß- und Kleinschreibung unterschieden. ## Nutzen der Befehlszeilenhilfe Geben Sie den folgenden Befehl ein, wenn Sie die Befehlszeilenhilfe zu `lookup-events` anzeigen möchten. ``` aws cloudtrail lookup-events help ``` ## Insights-Ereignisse für Managementereignisse suchen Geben Sie den folgenden Befehl ein, um die 50 neuesten Insights-Ereignisse anzuzeigen. ``` aws cloudtrail lookup-events --event-category insight ``` Ein zurückgegebenes Ereignis sieht in etwa wie folgt aus: ``` { "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.09", "eventTime": "2024-12-11T16:52:00Z", "awsRegion": "us-east-1", "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "Start", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "sourceEventCategory": "Management", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 1.2 }, "insightDuration": 5, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 1.2 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 1.2 } ], "baseline": [] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.09", "eventTime": "2024-12-11T16:53:00Z", "awsRegion": "us-east-1", "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "End", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "sourceEventCategory": "Management", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 6 }, "insightDuration": 1, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 6 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 6 } ], "baseline": [] } ] } }, "eventCategory": "Insight" } ] } ``` Eine Erläuterung der suchbezogenen Felder in der Ausgabe finden Sie im Abschnitt [Ausgabefelder der Suche](#view-insights-events-cli-output-fields) in diesem Thema. Eine Erläuterung der Felder im Insights-Ereignis erhalten Sie unter [CloudTrail Inhalte für Insights-Ereignisse für Trails aufzeichnen](cloudtrail-insights-fields-trails.md). ## Insights-Ereignisse nach Datenereignissen suchen Geben Sie den folgenden Befehl ein, um die 50 neuesten Insights-Ereignisse anzuzeigen. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName ``` Ein zurückgegebenes Ereignis sieht in etwa wie folgt aus: ``` { "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.09", "eventTime": "2024-12-11T16:52:00Z", "awsRegion": "us-east-2", "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "Start", "eventSource": "s3.amazonaws.com", "eventName": "PutObject", "insightType": "ApiErrorRateInsight", "errorCode": "InvalidRequest", "sourceEventCategory": "Data", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 1.2 }, "insightDuration": 5, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::123456789012:assumed-role/Admin", "average": 1.2 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 1.2 } ], "baseline": [] } ] }, "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }, "eventCategory": "Insight" }, { "eventVersion": "1.09", "eventTime": "2024-12-11T16:53:00Z", "awsRegion": "us-east-1", "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "End", "eventSource": "s3.amazonaws.com", "eventName": "PutObject", "insightType": "ApiErrorRateInsight", "errorCode": "InvalidRequest", "sourceEventCategory": "Data", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 6 }, "insightDuration": 1, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::123456789012:assumed-role/Admin", "average": 6 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 6 } ], "baseline": [] } ] }, "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }, "eventCategory": "Insight" } ] } ``` ## Geben Sie die Anzahl der Insights-Ereignisse an, für die Verwaltungsereignisse zurückgegeben werden sollen Geben Sie den folgenden Befehl ein, um die Anzahl der Insights-Ereignisse anzugeben, für die Verwaltungsereignisse zurückgegeben werden sollen. ``` aws cloudtrail lookup-events --event-category insight --max-results ``` Der Standardwert für ** ist 50. Wenn er nicht angegeben ist. Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ergebnis zurückgegeben. ``` aws cloudtrail lookup-events --event-category insight --max-results 1 ``` ## Angabe der Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse Geben Sie den folgenden Befehl ein, um die Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse anzugeben. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results ``` Der Standardwert für ** ist 50. Wenn er nicht angegeben ist. Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ergebnis zurückgegeben. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1 ``` ## Insights-Ereignisse für Verwaltungsereignisse nach Zeitraum nachschlagen Insights-Ereignisse für Managementereignisse der letzten 90 Tage können abgerufen werden. Geben Sie den folgenden Befehl ein, um einen Zeitraum anzugeben. ``` aws cloudtrail lookup-events --event-category insight --start-time --end-time ``` `--start-time ` gibt in UTC an, dass nur Insights-Ereignisse, die nach oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben. `--end-time ` gibt in UTC an, dass nur Insights-Ereignisse, die vor oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben. Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist. Alle Zeitstempel werden in UTC angezeigt. ## Insights-Ereignisse für Datenereignisse nach Zeitbereich nachschlagen Insights-Ereignisse für Datenereignisse der letzten 90 Tage können abgerufen werden. Geben Sie den folgenden Befehl ein, um einen Zeitraum anzugeben. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time ``` `--start-time ` gibt in UTC an, dass nur Insights-Ereignisse, die nach oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben. `--end-time ` gibt in UTC an, dass nur Insights-Ereignisse, die vor oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben. Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist. Alle Zeitstempel werden in UTC angezeigt. ## Insights-Ereignisse für Verwaltungsereignisse nach Attributen nachschlagen Geben Sie zum Filtern nach einem Attribut den folgenden Befehl ein. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue= ``` Sie können für jeden **lookup-events**-Befehl nur ein Paar angeben, das aus dem Attributschlüssel und dem zugehörigen Wert besteht. Im Folgenden sind die gültigen Werte von Insights-Ereignissen für `AttributeKey` angegeben. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden. + `EventId` + `EventName` + `EventSource` Die maximale Länge für die `AttributeValue` beträgt 2000 Zeichen. Die folgenden Zeichen ('`_`', '', ` ` '', `,` '`\\n`') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen. ### Beispiele für die Attributsuche Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventName`-Wert `PutRule` zurück. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule ``` Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventId`-Wert `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` zurück. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002 ``` Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventSource`-Wert `iam.amazonaws.com` zurück. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com ``` ## Insights-Ereignisse für Datenereignisse nach Dimension nachschlagen Geben Sie den folgenden Befehl ein, um nach einer Dimension zu filtern. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions = ``` Sie können für jeden **list-insights-events** Befehl nur ein Dimensions-Schlüssel-Wert-Paar angeben. Im Folgenden sind die gültigen Werte von Insights-Ereignissen für `DimensionKey` angegeben. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden. + `EventId` + `EventName` + `EventSource` Die maximale Länge für den `DimensionValue` beträgt 2000 Zeichen. Die folgenden Zeichen ('`_`', '', ` ` '', `,` '`\\n`') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen. ### Beispiele für die Suche nach Dimensionen Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventName`-Wert `PutObject` zurück. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject ``` Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventId`-Wert `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` zurück. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002 ``` Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventSource`-Wert `s3.amazonaws.com` zurück. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com ``` ## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Managementereignisse Um die nächste Seite mit Ergebnissen des Befehls `lookup-events` abzurufen, geben Sie den folgenden Befehl ein. ``` aws cloudtrail lookup-events --event-category insight --next-token= ``` In diesem Befehl ** wird der Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls übernommen. Wenn Sie `--next-token` in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den unten angegebenen Befehl aus. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule ``` Um die nächste Seite mit Ergebnissen abzurufen, würde Ihr nächster Befehl wie folgt aussehen. ``` aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE= ``` ## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Verwaltungsereignisse Um die nächste Seite mit Ergebnissen des Befehls `list-insights-data` abzurufen, geben Sie den folgenden Befehl ein. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token= ``` In diesem Befehl ** wird der Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls übernommen. Wenn Sie `--next-token` in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den unten angegebenen Befehl aus. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject ``` Um die nächste Seite mit Ergebnissen abzurufen, würde Ihr nächster Befehl wie folgt aussehen. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE= ``` ## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Verwaltungsereignisse AWS CLI Für einige AWS Dienste gibt es zwei Parameter, `--generate-cli-skeleton` und`--cli-input-json`, mit denen Sie eine JSON-Vorlage generieren können, die Sie ändern und als Eingabe für den `--cli-input-json` Parameter verwenden können. In diesem Abschnitt wird die Verwendung dieser Parameter mit `aws cloudtrail lookup-events` beschrieben. Weitere Informationen finden Sie unter [AWS CLI Skelette und Eingabedateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html). **So suchen Sie Insights-Ereignisse durch Abrufen der JSON-Eingabe aus einer Datei** 1. Erstellen Sie eine Eingabevorlage für die Verwendung mit `lookup-events` und leiten Sie dazu die `--generate-cli-skeleton`-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt. ``` aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt ``` Die generierte Vorlagendatei (in diesem Fall LookupEvents .txt) sieht wie folgt aus. ``` { "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } ``` 1. Ändern Sie die JSON-Daten in einem Texteditor nach Bedarf. Die JSON-Eingabe darf nur angegebene Werte umfassen. **Wichtig** Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden. Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben. ``` { "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } ``` 1. Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax `--cli-input-json file://` ** wie im folgenden Beispiel. ``` aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt ``` **Anmerkung** Sie können in derselben Befehlszeile wie `--cli-input-json` weitere Argumente verwenden. ## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Datenereignisse AWS CLI Für einige AWS Dienste gibt es zwei Parameter, `--generate-cli-skeleton` mit denen Sie eine JSON-Vorlage generieren können, die Sie ändern und als Eingabe für den `--cli-input-json` Parameter verwenden können. `--cli-input-json` In diesem Abschnitt wird die Verwendung dieser Parameter mit `aws cloudtrail list-insights-data` beschrieben. Weitere Informationen finden Sie unter [AWS CLI Skelette und Eingabedateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html). **So suchen Sie Insights-Ereignisse durch Abrufen der JSON-Eingabe aus einer Datei** 1. Erstellen Sie eine Eingabevorlage für die Verwendung mit `list-insights-data` und leiten Sie dazu die `--generate-cli-skeleton`-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt ``` Die generierte Vorlagendatei (in diesem Fall ListInsightsData .txt) sieht wie folgt aus. ``` { "InsightSource": "", "DataType": "InsightsEvents", "Dimensions": { "KeyName": "" }, "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } ``` 1. Ändern Sie die JSON-Daten in einem Texteditor nach Bedarf. Die JSON-Eingabe darf nur angegebene Werte umfassen. **Wichtig** Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden. Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben. ``` { "InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "DataType": "InsightsEvents", "Dimensions": { "EventName": "PutObject" }, "StartTime": "2025-11-01", "EndTime": "2025-11-05", "MaxResults": 1 } ``` 1. Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax `--cli-input-json file://` ** wie im folgenden Beispiel. ``` aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt ``` **Anmerkung** Sie können in derselben Befehlszeile wie `--cli-input-json` weitere Argumente verwenden. ## Ausgabefelder der Suche **Ereignisse** Eine Liste der Suchereignisse basierend auf dem angegebenen Suchattribut und Zeitbereich. Die Ereignisliste ist nach Zeit sortiert, das neueste Ereignis ist zuerst aufgeführt. Jeder Eintrag enthält Informationen über die Suchanfrage und eine Zeichenfolgendarstellung des abgerufenen CloudTrail Ereignisses. Die folgenden Einträge beschreiben die Felder in den einzelnen Suchereignissen. **CloudTrailEvent** Eine JSON-Zeichenfolge, die eine Objektdarstellung des zurückgegebenen Ereignisses enthält. Weitere Informationen zu den einzelnen zurückgegebenen Elementen finden Sie im Abschnitt [Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html). **EventId** Eine Zeichenfolge, die die GUID des zurückgegebenen Ereignisses enthält. **EventName** Eine Zeichenfolge, die den Namen des zurückgegebenen Ereignisses enthält. **EventSource** Der AWS Dienst, an den die Anfrage gestellt wurde. **EventTime** Datum und Uhrzeit des Ereignisses im UNIX-Zeitformat. **Ressourcen** Eine Liste der Ressourcen, auf die von dem zurückgegebenen Ereignis verwiesen wird. In jedem Ressourceneintrag ist ein Ressourcentyp und ein Ressourcenname angegeben. **ResourceName** Eine Zeichenfolge, die den Namen der Ressource enthält, auf die von dem Ereignis verwiesen wird. **ResourceType** Eine Zeichenfolge, die den Typ einer Ressource enthält, auf die von dem Ereignis verwiesen wird. Wenn der Ressourcentyp nicht ermittelt werden kann, wird Null zurückgegeben. **Username** Eine Zeichenfolge, die den Benutzernamen des Kontos für das zurückgegebene Ereignis enthält. **NextToken** Eine Zeichenfolge zum Abrufen der nächsten Ergebnisseite eines vorherigen `lookup-events`-Befehls. Um das Token verwenden zu können, müssen die Parameter mit den Parametern im ursprünglichen Befehl übereinstimmen. Wenn es in der Ausgabe keinen `NextToken`-Eintrag gibt, sind keine weiteren Ergebnisse vorhanden, die zurückgegeben werden können. Weitere Informationen zu CloudTrail Insights-Ereignissen finden Sie [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md) in diesem Leitfaden.