Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erkunden von Aktivitätsdetails in einem Profilbereich
<a name="profile-panel-drilldown"></a>

Während einer Untersuchung möchten Sie möglicherweise das Aktivitätsmuster einer Entität genauer untersuchen.

In den folgenden Profilbereichen können Sie eine Übersicht der Aktivitätsdetails anzeigen:
+ **Gesamtes API-Aufrufvolumen**, mit Ausnahme des Profilbereichs im Benutzer-Agenten-Profil
+ **Neu beobachtete Geolocations**
+ **Gesamtes VPC-Datendurchflussvolumen**
+ **VPC-Datendurchflussvolumen zur und von der findenden IP-Adresse** für Erkenntnisse, die mit einer einzelnen IP-Adresse verknüpft sind
+ **Details zum Container**
+ **VPC-Datendurchflussvolumen** für Cluster
+ **Allgemeine Kubernetes-API-Aktivität**

Die Aktivitätsdetails können die folgenden Arten von Fragen beantworten:
+ Welche IP-Adressen wurden verwendet?
+ Wo befanden sich diese IP-Adressen?
+ Welche API-Aufrufe haben die einzelnen IP-Adressen getätigt und von welchen Diensten aus haben sie diese Aufrufe getätigt?
+ Welche Principals oder Zugangsschlüsselkennungen (AKIDs) wurden für die Anrufe verwendet?
+ Welche Ressourcen wurden für diese Aufrufe verwendet?
+ Wie viele Aufrufe wurden getätigt? Wie viele waren erfolgreich und sind gescheitert?
+ Welches Volumen an VPC-Datendurchfluss-Protokolldaten wurde an oder von jeder IP-Adresse gesendet?
+ Welche Container waren für einen bestimmten Cluster, ein bestimmtes Image oder einen Pod aktiv?

**Topics**
+ [Aktivitätsdetails für das gesamte API-Aufrufvolumen](profile-panel-drilldown-overall-api-volume.md)
+ [Aktivitätsdetails für eine Geolokalisierung](profile-panel-drilldown-new-geolocations.md)
+ [Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen](profile-panel-drilldown-overall-vpc-volume.md)
+ [Allgemeine Kubernetes-API-Aktivität mit Beteiligung des EKS-Clusters](profile-panel-drilldown-kubernetes-api-volume.md)

# Aktivitätsdetails für das gesamte API-Aufrufvolumen
<a name="profile-panel-drilldown-overall-api-volume"></a>

Die Aktivitätsdetails für das **API-Aufrufvolumen insgesamt** zeigen die API-Aufrufe an, die in einem ausgewählten Zeitraum ausgegeben wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen** aus.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API-Aufrufe zu speichern und anzuzeigen. Dieses Datum ist auf der Zeitleiste des Profilbereichs hervorgehoben. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname **Unbekannter Dienst**.

## Inhalt der Aktivitätsdetails (Benutzer, Rollen, Konten, Rollensitzungen, EC2-Instances, S3-Buckets)
<a name="drilldown-api-volume-content"></a>

Für IAM-Benutzer, IAM-Rollen, Konten, Rollensitzungen, EC2-Instances und S3-Buckets enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden.

  Bei S3-Buckets spiegeln die Informationen API-Aufrufe wider, die an den S3-Bucket getätigt wurden.

  Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe. Auf der Registerkarte **Beobachtete IP-Adressen** wird auch der Standort jeder IP-Adresse angezeigt.
+ Jeder Eintrag enthält Informationen darüber, wer die Aufrufe getätigt hat. Bei Konten identifizieren die Aktivitätsdetails die Benutzer oder Rollen. Bei Rollen identifizieren die Aktivitätsdetails die Rollensitzungen. Bei Benutzern und Rollensitzungen identifizieren die Aktivitätsdetails die Zugriffsschlüsselkennungen (). AKIDs

  Beachten Sie, dass ab dem 14. Juli 2021 in den Aktivitätsdetails für Kontoprofile Benutzer oder Rollen statt AKIDs Bei Rollenprofilen werden in den Aktivitätsdetails statt Rollensitzungen angezeigt AKIDs. Bei Aktivitäten, die vor dem 14. Juli 2021 stattfinden, wird der Aufrufer als **Unbekannte Ressource** aufgeführt.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Beobachtete IP-Adressen**  
Zeigt zunächst die Liste der IP-Adressen an, die für API-Aufrufe verwendet werden.  
Sie können jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die sie aufgerufen haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können dann jeden API-Aufruf erweitern, um die Liste der Aufrufer von dieser IP-Adresse anzuzeigen. Je nach Profil kann es sich bei dem Aufrufer um einen Benutzer, eine Rolle, eine Rollensitzung oder eine AKID handeln.  

![\[Ansicht der Registerkarte „Beobachtete IP-Adressen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie von IP-Adressen, API-Aufrufen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**API-Methode nach Dienst**  
Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können jede API-Methode erweitern, um die Liste der IP-Adressen anzuzeigen, von denen aus die Aufrufe getätigt wurden.  
Anschließend können Sie jede IP-Adresse erweitern, um die Liste der Personen anzuzeigen AKIDs , die diesen API-Aufruf von dieser IP-Adresse aus getätigt haben.  

![\[Ansicht der API-Methode nach Service im Bereich „Gesamtes API-Aufrufvolumen“ auf der Registerkarte „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie der API-Aufrufe, IP-Adressen und erweitert wurde AKIDs. API-Aufrufe sind nach Diensten gruppiert.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**Ressourcen- oder Zugriffsschlüssel-ID**  
Zeigt zunächst die Liste der Benutzer, Rollen und Rollensitzungen an, AKIDs die zum Auslösen von API-Aufrufen verwendet wurden.  
Sie können jeden Aufrufer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen der Aufrufer API-Aufrufe ausgegeben hat.  
Sie können dann jede IP-Adresse erweitern, um die Liste der API-Aufrufe anzuzeigen, die von diesem Aufrufer von dieser IP-Adresse aus getätigt wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der erweitert wurde AKIDs, um die Hierarchie von IP-Adressen und API-Aufrufen gruppiert nach Diensten anzuzeigen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Inhalt der Aktivitätsdetails (IP-Adressen)
<a name="drilldown-api-volume-content-ip"></a>

Bei IP-Adressen enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen und fehlgeschlagenen Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Ressource**  
Zeigt zunächst die Liste der Ressourcen an, die API-Aufrufe von der IP-Adresse aus ausgegeben haben.  
Für jede Ressource enthält die Liste den Namen, den Typ und das AWS -Konto der Ressource.  
Sie können jede Ressource erweitern, um die Liste der API-Aufrufe anzuzeigen, die die Ressource über die IP-Adresse ausgegeben hat. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Anzeige der Aktivitätsdetails für eine IP-Adresse im Profilbereich Gesamtes API-Aufrufvolumen auf der Registerkarte Ressourcen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**API-Methode nach Dienst**  
Zeigt zunächst die Liste der API-Aufrufe an, die ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können jeden API-Aufruf erweitern, um die Liste der Ressourcen anzuzeigen, die im ausgewählten Zeitraum den API-Aufruf von der IP-Adresse aus getätigt haben.  

![\[Anzeige der Registerkarte API-Methode nach Diensten der Aktivitätsdetails im Profilbereich Gesamtes API-Aufrufvolumen für eine IP-Adresse.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-api-volume-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-api-volume-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

**So fügen Sie einen Filter hinzu**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach einer API-Methode filtern und nach **Instance** filtern, enthalten die Ergebnisse alle API-Operationen, deren Name das Wort `Instance` enthält. Also sowohl `ListInstanceAssociations` als auch `UpdateInstanceInformation` würden passen.

   Für Dienstnamen, API-Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Wählen Sie für **Common API-Teilstrings** die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. `List`, `Create` oder `Delete`. Jeder API-Methodenname beginnt mit dem Operationstyp.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. **Wählen Sie eine boolesche Option *Resource* oder *Service***: Enthält** oder\$1 ****: Enthält nicht; oder oder *IP address* **= *API method* Entspricht oder\$1** : Entspricht nicht den** eingestellten Filtern.  
![\[Liste der verfügbaren Filter für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/api-volume-search.png)

Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-api-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für den Profilbereich „Gesamtes API-Aufrufvolumen“\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Abfragen von unformatierten Protokollen
<a name="query-raw-logs"></a>

Amazon Detective ist in Amazon Security Lake integriert, was bedeutet, dass Sie die von Security Lake gespeicherten Rohprotokolldaten abfragen und abrufen können. Weitere Informationen zu dieser Integration finden Sie unter [Integration von Amazon Detective mit Amazon Security Lake](securitylake-integration.md).

Mithilfe dieser Integration können Sie Protokolle und Ereignisse aus den folgenden Quellen sammeln und abfragen, die Security Lake nativ unterstützt.
+ AWS CloudTrail Verwaltungsereignisse Version 1.0 und höher
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs Version 1.0 und höher
+ Amazon Elastic Kubernetes Service (Amazon EKS) Auditprotokoll, Version 2.0

**Anmerkung**  
Für die Abfrage von Rohdatenprotokollen in Detective fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere AWS Services, einschließlich Amazon Athena, fallen weiterhin zu den veröffentlichten Tarifen an.

**So fragen Sie Rohprotokolle ab**

1. Wählen Sie **Details für den Zeitbereich anzeigen** aus. 

1. Von hier aus können Sie mit der **Abfrage von Rohprotokollen** beginnen. 

1. In der **Vorschautabelle für Rohprotokolle** können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten. 

   In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die **Abfrageanfrage stornieren**, **Ergebnisse in Amazon Athena anzeigen** und **Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen**. 

Wenn Sie Protokolle in Detective sehen, die Abfrage aber keine Ergebnisse lieferte, kann das aus den folgenden Gründen passieren.
+ Rohprotokolle werden möglicherweise in Detective verfügbar, bevor sie in den Security-Lake-Protokolltabellen angezeigt werden. Bitte versuchen Sie es später erneut.
+ In Security Lake fehlen möglicherweise Protokolle. Wenn Sie über einen längeren Zeitraum gewartet haben, deutet dies darauf hin, dass Protokolle in Security Lake fehlen. Wenden Sie sich an Ihren Security-Lake-Administrator, um das Problem zu beheben.

# Aktivitätsdetails für eine Geolokalisierung
<a name="profile-panel-drilldown-new-geolocations"></a>

Die Aktivitätsdetails für **Neu beobachtete Geolocations** zeigen die API-Aufrufe, die während des Gültigkeitszeitraums von einer Geolocation aus getätigt wurden. Die API-Aufrufe umfassen alle Aufrufe, die von der Geolocation aus getätigt wurden. Sie sind nicht auf Aufrufe beschränkt, bei denen die Such- oder Profilentität verwendet wurde. Bei S3-Buckets handelt es sich bei den Aktivitätsaufrufen um API-Aufrufe an den S3-Bucket.

Detective bestimmt den Standort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.

Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.

Um die Aktivitätsdetails anzuzeigen, führen Sie einen der folgenden Schritte aus:
+ Wählen Sie auf der Karte eine Geolocation aus.
+ Wählen Sie in der Liste **Details** für eine Geolocation aus.

Die Aktivitätsdetails ersetzen die Geolocation-Liste. Um zur Geolocation-Liste zurückzukehren, wählen Sie **Zurück zu allen Ergebnissen**.

Beachten Sie, dass Detective ab dem 14. Juli 2021 damit begann, den Dienstnamen für API-Aufrufe zu speichern und anzuzeigen. Für Aktivitäten, die vor diesem Datum stattfinden, lautet der Dienstname **Unbekannter Dienst**.

## Inhalt der Aktivitätsdetails
<a name="profile-panel-drilldown-geolocation-content"></a>

Jede Registerkarte enthält Informationen zu allen API-Aufrufen, die während des Gültigkeitszeitraums von der Geolocation aus getätigt wurden.

Für jede IP-Adresse, Ressource und API-Methode zeigt die Liste die Anzahl der erfolgreichen und fehlgeschlagenen API-Aufrufe.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Beobachtete IP-Adressen**  
Zeigt zunächst die Liste der IP-Adressen an, die für API-Aufrufe von der ausgewählten Geolocation aus verwendet wurden.  
Sie können jede IP-Adresse erweitern, um die Ressourcen anzuzeigen, die API-Aufrufe von dieser IP-Adresse aus ausgegeben haben. In der Liste wird der Ressourcenname angezeigt. Um die Prinzipal-ID zu sehen, bewegen Sie den Mauszeiger über den Namen.  
Anschließend können Sie jede Ressource erweitern, um die spezifischen API-Aufrufe anzuzeigen, die von dieser Ressource von dieser IP-Adresse aus ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  

![\[Ansicht der Registerkarte Beobachtete IP-Adressen im Bereich Neu beobachtete Geolocations mit einem Eintrag, der um die Hierarchie der IP-Adressen, Ressourcen und API-Methoden erweitert wurde.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Ressource**  
Zeigt zunächst die Liste der Ressourcen an, die API-Aufrufe von der ausgewählten Geolocation aus getätigt haben. In der Liste wird der Ressourcenname angezeigt. Um die Prinzipal-ID zu sehen, machen Sie eine Pause beim Namen. Für jede Ressource werden auf der Registerkarte **Ressource** auch die zugehörigen AWS-Konto angezeigt.  
Sie können jeden Benutzer oder jede Rolle erweitern, um die Liste der API-Aufrufe anzuzeigen, die von dieser Ressource ausgegeben wurden. Die API-Aufrufe sind nach den Diensten gruppiert, die die Aufrufe ausgegeben haben. Für S3-Buckets ist der Dienst immer Amazon S3. Wenn Detective den Dienst nicht ermitteln kann, der einen Aufruf getätigt hat, wird der Aufruf unter **Unbekannter Dienst** aufgeführt.  
Sie können dann jeden API-Aufruf erweitern, um die Liste der IP-Adressen anzuzeigen, von denen die Ressource den API-Aufruf ausgeführt hat.  

![\[Ansicht der Registerkarte Ressource im Bereich Neu beobachtete Geolocations mit einem erweiterten Eintrag zur Benutzer- oder Rollenhierarchie, API-Methoden und IP-Adressen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-geolocation-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-geolocation-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

**So fügen Sie einen Filter hinzu**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte. Wenn Sie beispielsweise nach einer API-Methode filtern und nach **Instance** filtern, enthalten die Ergebnisse alle API-Operationen, deren Name das Wort `Instance` enthält. Also sowohl `ListInstanceAssociations` als auch `UpdateInstanceInformation` würden passen.

   Für Dienstnamen, API-Methoden und IP-Adressen können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Wählen Sie für **Common API-Teilstrings** die Teilzeichenfolge aus, die den Vorgangstyp darstellt, z. B. `List`, `Create` oder `Delete`. Jeder API-Methodenname beginnt mit dem Operationstyp.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.  
![\[Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

1. Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

# Aktivitätsdetails für das gesamte VPC-Datendurchflussvolumen
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Für eine EC2-Instance zeigen die Aktivitätsdetails für das **Gesamte VPC-Datendurchflussvolumen** die Interaktionen zwischen der EC2-Instance und IP-Adressen während eines ausgewählten Zeitraums.

Für einen Kubernetes-Pod zeigt **Gesamtes VPC-Datendurchflussvolumen** das Gesamtvolumen der Bytes an, die in die zugewiesene IP-Adresse des Kubernetes-Pods für alle Ziel-IP-Adressen ein- und ausgehen. Die IP-Adresse des Kubernetes-Pods ist nicht eindeutig, wenn `hostNetwork:true`. In diesem Fall zeigt der Bereich den Datenverkehr zu anderen Pods mit derselben Konfiguration und dem Knoten, der sie hostet.

Bei einer IP-Adresse zeigen die Aktivitätsdetails für das **Gesamte VPC-Datendurchflussvolumen** die Interaktionen zwischen der IP-Adresse und EC2-Instances während eines ausgewählten Zeitraums.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen aus**.

## Inhalt der Aktivitätsdetails
<a name="drilldown-vpc-volume-content"></a>

Der Inhalt spiegelt die Aktivität im ausgewählten Zeitraum wider.

Bei einer EC2-Instance enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus IP-Adresse, lokalem Port, Remote-Port, Protokoll und Richtung.

Bei einer IP-Adresse enthalten die Aktivitätsdetails einen Eintrag für jede eindeutige Kombination aus EC2-Instance, lokalem Port, Remote-Port, Protokoll und Richtung.

Jeder Eintrag zeigt das Volumen des eingehenden Datenverkehrs, das Volumen des ausgehenden Datenverkehrs und ob die Zugriffsanfrage akzeptiert oder abgelehnt wurde. Bei der Suche nach Profilen gibt die Spalte **Anmerkungen** an, wann eine IP-Adresse mit der aktuellen Erkenntnis zusammenhängt.

![\[Aktivitätsdetails für den Profilbereich Gesamtes VPC-Datendurchflussvolumen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-vpc-volume-sort"></a>

Sie können die Aktivitätsdetails nach einer beliebigen Spalte in der Tabelle sortieren.

Standardmäßig werden die Aktivitätsdetails zuerst nach den Anmerkungen und dann nach dem eingehenden Verkehr sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-vpc-volume-filter"></a>

Um sich auf eine bestimmte Aktivität zu konzentrieren, können Sie die Aktivitätsdetails nach den folgenden Werten filtern:
+ IP-Adresse oder EC2-Instance
+ Lokaler oder Remote-Port
+ Richtung
+ Protokoll
+ Ob die Anfrage akzeptiert oder abgelehnt wurde

**So fügen Sie Filter hinzu und entfernen sie**

1. Wählen Sie das Filterfeld.

1. Wählen Sie unter **Eigenschaften** die Eigenschaft aus, die für die Filterung verwendet werden soll.

1. Geben Sie den Wert an, der für die Filterung verwendet werden soll. Der Filter unterstützt Teilwerte.

   Um nach IP-Adresse zu filtern, können Sie entweder einen Wert angeben oder einen integrierten Filter auswählen.

   Für **CIDR-Muster** können Sie wählen, ob Sie nur öffentliche IP-Adressen, private IP-Adressen oder IP-Adressen einbeziehen möchten, die einem bestimmten CIDR-Muster entsprechen.

1. Wenn Sie mehrere Filter haben, wählen Sie eine boolesche Option, um festzulegen, wie diese Filter miteinander verbunden sind.  
![\[Liste der verfügbaren Konnektoren zwischen einzelnen Filtern für den Filter mit den Aktivitätsdetails.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Um einen Filter zu entfernen, wählen Sie das Symbol **x** in der rechten oberen Ecke.

1. Um alle Filter zu löschen, wählen Sie **Filter löschen** aus.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-vpc-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für die Aktivitätsdetails im Profilbereich Gesamtes VPC-Datendurchflussvolumen.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Anzeige des Verkehrsaufkommens für ausgewählte Zeilen
<a name="drilldown-vpc-volume-chart-details"></a>

Wenn Sie Zeilen identifizieren, die für Sie von Interesse sind, können Sie in den Hauptdiagrammen das Verkehrsaufkommen für diese Zeilen im Zeitverlauf anzeigen.

Aktivieren Sie für jede Zeile, die zu den Diagrammen hinzugefügt werden soll, das Kontrollkästchen. Für jede ausgewählte Zeile wird das Volumen in den Charts für eingehende oder ausgehende Sendungen als Linie angezeigt.

![\[Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen für den Profilbereich Gesamtes VPC-Datendurchflussvolumen angezeigt werden.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Um sich auf das Verkehrsvolumen für die ausgewählten Einträge zu konzentrieren, können Sie das Gesamtvolumen ausblenden. Um das Gesamtverkehrsvolumen ein- oder auszublenden, aktivieren Sie die Option **Gesamtverkehr**.

![\[Traffic für ausgewählte Aktivitätsdetailzeilen, die in den Hauptdiagrammen im Profilbereich „Gesamtes VPC-Datendurchflussvolumen“ angezeigt werden. Der gesamte Verkehr ist ausgeblendet.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Anzeige des VPC-Datendurchflussverkehrs für EKS-Cluster
<a name="display-traffic-for-eks-clusters"></a>

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle, die den Datenverkehr darstellen, der Ihre Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster durchquert. Bei Kubernetes-Ressourcen hängt der Inhalt der VPC-Datendurchflussprotokolle vom Container Network Interface (CNI) ab, das im EKS-Cluster bereitgestellt wird.

Ein EKS-Cluster mit einer Standardkonfiguration verwendet das Amazon-VPC-CNI-Plugin Weitere Informationen finden Sie unter [Verwalten der VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) im **Amazon-EKS-Benutzerhandbuch**. Das Amazon-VPC- CNI-Plugin sendet internen Datenverkehr mit der IP-Adresse des Pods und übersetzt die Quell-IP-Adresse in die IP-Adresse des Knotens für die externe Kommunikation. Detective kann internen Datenverkehr erfassen und mit dem richtigen Pod korrelieren, dies gilt aber nicht für externen Verkehr.

Wenn Sie möchten, dass Detective Einblick in den externen Datenverkehr Ihrer Pods hat, aktivieren Sie External Source Network Address Translation (SNAT). Die Aktivierung von SNAT ist mit Einschränkungen und Nachteilen verbunden. Weitere Informationen finden Sie unter [SNAT für Pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) im **Amazon-EKS-Benutzerhandbuch**.

Wenn Sie ein anderes CNI-Plugin verwenden, ist Detective nur eingeschränkt auf Pods mit `hostNetwork:true` sichtbar. Für diese Pods zeigt das **VPC-Datendurchfluss-Bedienfeld** den gesamten Datenverkehr zur IP-Adresse des Pods an. Dies beinhaltet den Datenverkehr zum Hostknoten und zu allen Pods auf dem Knoten mit der Konfiguration `hostNetwork:true`.

Detective zeigt den Verkehr im **VPC-Datendurchfluss-Bereich** eines EKS-Pods für die folgenden EKS-Cluster-Konfigurationen an:
+ In einem Cluster mit dem Amazon-VPC-CNI-Plugin sendet jeder Pod mit der Konfiguration `hostNetwork:false`-Datenverkehr innerhalb des Cluster-VPCs.
+ In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` jeder Pod, der Datenverkehr außerhalb der VPC des Clusters `hostNetwork:false` sendet.
+ Jeder Pod mit der Konfiguration `hostNetwork:true`. Der Datenverkehr vom Knoten wird mit dem Verkehr von anderen Pods gemischt mit der Konfiguration `hostNetwork:true` vermischt.

Detective zeigt keinen Verkehr im **VPC-Datendurchfluss-Bereich** an für:
+ In einem Cluster mit dem Amazon VPC CNI-Plugin und der Konfiguration `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` sendet jeder Pod mit der Konfiguration `hostNetwork:false`, der Datenverkehr außerhalb des Cluster-VPC sendet.
+ In einem Cluster ohne Amazon-VPC-CNI-Plugin für Kubernetes jeder Pod mit der Konfiguration `hostNetwork:false`.
+ Jeder Pod, der Traffic an einen anderen Pod sendet, der auf demselben Knoten gehostet wird.

## Anzeige des VPC-Flow-Verkehrs für gemeinsam genutztes Amazon VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective hat Einblick in Ihre Amazon Virtual Private Cloud (Amazon VPC) Flow-Logs für geteilte VPCs:
+ Wenn ein Detective-Mitgliedskonto über eine gemeinsam genutzte Amazon VPC verfügt und es andere Nicht-Detective-Konten gibt, die die gemeinsam genutzte VPC verwenden, überwacht Detective den gesamten Datenverkehr von dieser VPC und bietet einen Überblick über den gesamten Datenverkehr in der VPC. 
+ Wenn Sie eine Amazon-EC2-Instance in einer gemeinsam genutzten Amazon VPC haben und der Eigentümer der gemeinsam genutzten VPC kein Detective-Mitglied ist, überwacht Detective den Datenverkehr von der VPC nicht. Wenn Sie den Datenverkehr innerhalb der VPC anzeigen möchten, müssen Sie den Eigentümer der Amazon VPC als Mitglied Ihres Detective-Diagramms hinzufügen.

# Allgemeine Kubernetes-API-Aktivität mit Beteiligung des EKS-Clusters
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Die Aktivitätsdetails für die **Gesamte Kubernetes-API-Aktivität mit dem EKS-Cluster** zeigen die Anzahl der erfolgreichen und fehlgeschlagenen Kubernetes-API-Aufrufe an, die in einem ausgewählten Zeitraum ausgegeben wurden.

Um die Aktivitätsdetails für ein einzelnes Zeitintervall anzuzeigen, wählen Sie das Zeitintervall im Diagramm aus.

Um die Aktivitätsdetails für den aktuellen Zeitbereich anzuzeigen, wählen Sie **Details für den Zeitbereich anzeigen** aus.

## Inhalt der Aktivitätsdetails (Cluster, Pod, Benutzer, Rolle, Rollensitzung)
<a name="drilldown-kubernetes-api-volume-content"></a>

Für Cluster, Pods, Benutzer, Rollen oder Rollensitzungen enthalten die Aktivitätsdetails die folgenden Informationen:
+ Jede Registerkarte enthält Informationen zu den API-Aufrufen, die während des ausgewählten Zeitraums ausgegeben wurden.

  Bei Clustern erfolgten die API-Aufrufe innerhalb des Clusters.

  Bei Pods zielten die API-Aufrufe auf den Pod ab.

  Für Benutzer, Rollen und Rollensitzungen wurden die API-Aufrufe von Kubernetes-Benutzern ausgegeben, die sich als dieser Benutzer, diese Rolle oder diese Rollensitzung authentifiziert hatten.
+ Für jeden Eintrag zeigen die Aktivitätsdetails die Anzahl der erfolgreichen, fehlgeschlagenen, nicht autorisierten und verbotenen Aufrufe.
+ Zu den Informationen gehören die IP-Adresse, die Art des Kubernetes-Aufrufs, die Entität, die von dem Aufruf betroffen war, und der Betreff (Dienstkonto oder Benutzer), der den Aufruf getätigt hat. Von den Aktivitätsdetails aus können Sie zu den Profilen für die IP-Adresse, den Betreff und die betroffene Entität wechseln.

Die Aktivitätsdetails enthalten die folgenden Tabs:

**Betreff**  
Zeigt zunächst die Liste der Dienstkonten und Benutzer an, die für API-Aufrufe verwendet wurden.  
Sie können jedes Dienstkonto und jeden Benutzer erweitern, um die Liste der IP-Adressen anzuzeigen, von denen das Konto oder der Benutzer API-Aufrufe getätigt hat.  
Sie können dann jede IP-Adresse erweitern, um die Kubernetes-API-Aufrufe anzuzeigen, die von diesem Konto oder Benutzer von dieser IP-Adresse aus getätigt wurden.   
Erweitern Sie den Kubernetes-API-Aufruf, um den `requestURI ` zur Identifizierung der ausgeführten Aktion anzuzeigen.  

![\[Ansicht der Registerkarte Themen im Bereich Gesamtes Volumen der Kubernetes-API-Aufrufe mit einem Eintrag, der um die Hierarchie der IP-Adressen und API-Aufrufe erweitert wurde.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/kube-subject-drilldown.png)


**IP-Adresse**  
Zeigt zunächst die Liste der IP-Adressen an, von denen aus die API-Aufrufe getätigt wurden.  
Sie können jeden Aufruf erweitern, um die Liste der Kubernetes-Themen (Dienstkonten und Benutzer) anzuzeigen, die den Aufruf getätigt haben.  
Sie können dann jeden Betreff um eine Liste von API-Aufruftypen erweitern, die der Betreff während des Gültigkeitszeitraums getätigt hat.  
Erweitern Sie den API-Aufruftyp, um den Aufrug-URI zu sehen, mit dem die ausgeführte Aktion identifiziert werden kann.  

![\[Ansicht der Registerkarte „IP-Adresse“ im Bereich „Gesamtanzahl der Kubernetes-API-Aufrufe“ mit einem Eintrag, der um die Hierarchie der API-Aufrufe, IP-Adressen und erweitert wurde. AKIDs API-Aufrufe sind nach Diensten gruppiert\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/kube-ip-drilldown.png)


**Kubernetes-API-Aufruf**  
Zeigt zunächst die Liste der Kubernetes-API-Aufrufverben an.  
Sie können jedes API-Verb erweitern, um die mit dieser Aktion URIs verknüpfte Anfrage anzuzeigen.  
Sie können dann jeden Aufruf-URI erweitern, um den Kubernetes-Betreff (Dienstkonten und Benutzer) zu sehen, der den API-Aufruf getätigt hat.  
Erweitern Sie den Betreff, um zu sehen IPs , welcher Betreff für den API-Aufruf verwendet wurde.  

![\[Ansicht der Registerkarte „Ressourcen“ im Bereich „Gesamtes API-Aufrufvolumen“ mit einem Eintrag, der um die Hierarchie von AKIDs IP-Adressen und API-Aufrufen gruppiert nach Diensten angezeigt wird.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Sortierung der Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-sort"></a>

Sie können die Aktivitätsdetails nach jeder beliebigen Listenspalte sortieren.

Wenn Sie anhand der ersten Spalte sortieren, wird nur die Liste der obersten Ebene sortiert. Die Listen auf niedrigerer Ebene sind immer nach der Anzahl der erfolgreichen API-Aufrufe sortiert.

## Filterung der Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-filter"></a>

Sie können die Filteroptionen verwenden, um sich auf bestimmte Teilmengen oder Aspekte der Aktivität zu konzentrieren, die in den Aktivitätsdetails dargestellt sind.

Auf allen Registerkarten können Sie die Liste nach beliebigen Werten in der ersten Spalte filtern.

## Auswählen des Zeitbereichs für die Aktivitätsdetails
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Wenn Sie die Aktivitätsdetails zum ersten Mal anzeigen, entspricht der Zeitraum entweder dem Zeitbereich oder einem ausgewählten Zeitintervall. Sie können den Zeitraum für die Aktivitätsdetails ändern.

**So ändern Sie einen Zeitraum für die Aktivitätsdetails**

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie unter **Zeitfenster bearbeiten** die zu verwendende Start- und Endzeit aus.

   Um das Zeitfenster auf die standardmäßige Gültigkeitsdauer für das Profil festzulegen, wählen Sie **Auf Standardzeit für den Geltungsbereich festlegen**.

1. Wählen Sie **Zeitfenster aktualisieren**.

Der Zeitraum für die Aktivitätsdetails ist in den Diagrammen des Profilbereichs hervorgehoben.

![\[Hervorgehobenes Zeitfenster für den Profilbereich „Gesamtes API-Aufrufvolumen“\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Verwendung von Anleitungen durch den Profilbereich während einer Untersuchung
<a name="profile-panel-guidance"></a>

Jeder Profilbereich ist darauf ausgelegt, Antworten auf spezifische Fragen zu geben, die sich bei der Durchführung einer Untersuchung und der Analyse der Aktivitäten der betreffenden Entitäten stellen.

Die Anleitungen für jeden Profilbereich helfen Ihnen dabei, diese Antworten zu finden.

Die Anleitung für den Profilbereich beginnt mit einem einzigen Satz im Bereich selbst. Diese Anleitung enthält eine kurze Erläuterung der im Bereich präsentierten Daten.

Um detailliertere Anleitungen für einen Bereich anzuzeigen, wählen Sie in der Bereichsüberschrift **Weitere Informationen** aus. Diese erweiterte Anleitung wird im Hilfebereich angezeigt.

Die Anleitung kann folgende Arten von Informationen enthalten:
+ Einen Überblick über den Inhalt des Bereichs
+ Wie benutzt man den Bereich, um die relevanten Fragen zu beantworten
+ Vorgeschlagene nächste Schritte auf Grundlage der Antworten