Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabajar con CloudTrail Insights
AWS CloudTrail Los conocimientos ayudan a AWS los usuarios a identificar y responder a las actividades inusuales asociadas con las tasas de llamadas y errores de la API mediante el análisis continuo de los eventos CloudTrail de gestión y datos. CloudTrail Insights analiza los eventos de gestión y de datos anteriores para establecer los patrones normales de las tasas de llamadas a las API y las tasas de error de las API, también denominadas valores de *referencia*. CloudTrail a continuación, genera eventos de Insights cuando las tasas actuales de llamadas a la API o las tasas de error se desvían de la línea base.
Puede recopilar dos tipos de información, cada uno para eventos de administración y de datos.
**Información sobre eventos de gestión**
+ **Tasa de llamada a la API**: medida de las llamadas a la API de administración de solo escritura que se producen por minuto en comparación con una cantidad de llamadas a la API de referencia. Para registrar los eventos de Insights en la frecuencia de llamadas a la API para los eventos de administración, el almacén de datos de seguimiento o de eventos debe habilitar Insights y registrar los eventos `write` de administración.
+ **Tasa de errores de la API**: medida de las llamadas a la API de administración que producen códigos de error. El error se muestra si la llamada a la API no se hace correctamente. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento o el almacén de datos de eventos debe habilitar Insights y registrar los eventos de administración de `read` o `write`, o los dos eventos de administración de `read` y `write`.
**Datos, eventos: información**
+ **Tasa de llamadas a la API**: medida de las llamadas a la API de datos que se producen por minuto en comparación con el volumen de llamadas a la API de referencia. Para registrar los eventos de Insights en la frecuencia de llamadas a la API, el registro debe habilitar Insights y registrar los eventos de datos.
+ **Tasa de errores de la API**: medición de las llamadas a la API de datos que generan códigos de error. El error se muestra si la llamada a la API no se hace correctamente. Para registrar los eventos de Insights según la tasa de errores de la API, el registro debe habilitar Insights y registrar `read` `write` los eventos de datos, o ambos, `read` y `write` los eventos de datos.
**nota**
Los eventos de Insights sobre eventos de datos solo se admiten en las rutas y no en los almacenes de datos de eventos.
CloudTrail Insights analiza los eventos de gestión y datos que se producen en cada región y genera un evento de Insights cuando se detecta una actividad inusual que se desvía de la línea de base. Un evento de CloudTrail Insights se genera en la misma región en la que se genera el evento de gestión o datos que lo respalda.
Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita la gestión de eventos: Insights, tanto para los almacenes de datos de senderos y eventos, como para Insights de eventos de datos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Costos de los eventos de Insights](insights-events-costs.md)
+ [Entrega de eventos de Insights](insights-events-understanding.md)
+ [Registrar los eventos de Insights con la CloudTrail consola](insights-events-enable.md)
+ [Registrar los eventos de Insights con el AWS CLI](insights-events-CLI-enable.md)
+ [Visualización de eventos de Insights para registros de seguimiento](view-insights-events.md)
+ [Visualización de eventos de Insights para los almacenes de datos de eventos](insights-events-view-lake.md)
# Costos de los eventos de Insights
**nota**
Los eventos de Insights sobre los eventos de datos solo se admiten en las rutas.
Al habilitar los eventos de Insights en un banco de datos de senderos o eventos existente, CloudTrail analiza los últimos 28 días de gestión y los eventos de datos recopilados por el banco de datos de senderos o eventos para establecer una línea base de actividad normal. Una vez que se crea la referencia inicial, esta se recalcula todos los días sobre los datos de los últimos 28 días. El análisis de referencia no conlleva ningún CloudTrail cargo.
Tras el análisis de referencia, incurrirá en CloudTrail cargos por cualquier evento futuro de administración y datos analizado por CloudTrail. Los gastos se calculan en función del número de eventos de gestión y datos analizados para los tipos de Insights habilitados.
Si decide registrar tanto la tasa de llamadas de la API como la tasa de errores de la API (Insights) para los eventos de gestión para un almacén de datos de seguimiento o eventos que registre `read` y `write` gestione los eventos, el número total de eventos analizados será mayor que el número total de eventos de administración registrados. Esto se debe a que CloudTrail analizará los eventos de administración de solo escritura dos veces, una para calcular la tasa de llamadas a la API y otra para determinar la tasa de errores de la API. Los eventos de administración de solo lectura se analizarán una vez para calcular la tasa de errores de la API.
Del mismo modo, si decides registrar tanto la tasa de llamadas a la API como los tipos de información sobre la tasa de errores de la API para los eventos de `write` datos para un registro `read` de eventos de datos, el número total de eventos analizados será mayor que el número total de eventos de datos registrados. Esto se debe a que CloudTrail analizará todos los eventos de datos dos veces, una para calcular la tasa de llamadas a la API y otra para determinar la tasa de errores de la API.
Para identificar los cargos de Insights por los eventos de gestión y de datos en tu factura, busca el tipo de `DataInsightsEvents` uso `InsightsEvents` y el tipo de uso, respectivamente. Para obtener más información, consulte [Consulta tu CloudTrail costo y uso con AWS Cost Explorer](cloudtrail-costs.md).
Insights cobrará cargos separados por Insights tanto por los almacenes de datos de senderos como por los de eventos, y por Insights por eventos de datos separados para los senderos. Para obtener más información sobre los precios, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Ejemplo 1: Habilite Insights sobre los eventos de gestión para determinar la tasa de llamadas a la API y la tasa de errores de la API en una ruta**
En este primer ejemplo, habilita Insights on a Trail para registrar los eventos de administración y elige recopilar ambos tipos de Insights. El registro de seguimiento este ejemplo consiste en registrar tanto los eventos de administración de `read` y `write`.
+ CloudTrail analiza los eventos de administración registrados en los últimos 28 días para formar una línea base. El análisis no conlleva CloudTrail cargos.
+ Una vez creada la referencia, el registro de seguimiento registra 300 000 eventos de administración, de los cuales 270 000 son eventos de administración de `read` y 30 000 son eventos de administración de `write`.
+ Los eventos de administración de `write` se analizan dos veces, una para determinar la tasa de llamadas a la API y otra para determinar la tasa de errores de la API (30 000 \$1 2 = 60 000).
+ Los eventos de administración de `read` se analizan una vez para determinar la tasa de errores de la API (270 000 \$1 1 = 270 000).
+ El total de eventos de administración analizados es de 330 000 (60 000 \$1 270 000). Tendrá costos por el análisis de 330 000 eventos de administración para este registro de seguimiento. Se le cobrará por separado si habilita Insights para el registro de seguimiento y almacén de datos de eventos.
**Ejemplo 2: Habilitar la información sobre los eventos de gestión para dos rutas**
En el siguiente ejemplo, habilita Insights en dos rutas para registrar los eventos de administración, la ruta A y la ruta B. Elige habilitar la información sobre la tasa de llamadas a la API solo en la ruta A y la información sobre la tasa de errores de la API solo en la ruta B. Tanto las rutas como la `write` administración de eventos. `read`
+ CloudTrail analiza los eventos `write` de gestión registrados en los últimos 28 días para establecer una base de referencia. El análisis no conlleva CloudTrail cargos.
+ Una vez creada la referencia, el registro de seguimiento registra 800 000 eventos de administración, de los cuales 710 000 son eventos de `read` y 90 000 son eventos de `write`.
En el caso del registro de seguimiento A, se produce el siguiente análisis:
+ Los eventos de administración de `write` se analizan una vez para determinar la tasa de llamadas a la API (90 000 \$1 1 = 90 000).
+ Los eventos `read` de administración no se analizan, ya que CloudTrail solo analiza los eventos `write` de administración para obtener información sobre la tasa de llamadas a la API.
+ El total de eventos de administración analizados es de 90 000. Tendrá costos por el análisis de 90 000 eventos de administración para el registro de seguimiento A.
En el caso del registro de seguimiento B, se produce el siguiente análisis:
+ Los eventos de administración de `write` se analizan una vez para determinar la tasa de errores de la API (90 000 \$1 1 = 90 000).
+ Los eventos de administración de `read` se analizan una vez para determinar la tasa de errores de la API (710 000 \$1 1 = 710 000).
+ El total de eventos de administración analizados es de 800 000 (90 000 \$1 710 000). Tendrá costos por el análisis de 800 000 eventos de administración para el registro de seguimiento B.
**Ejemplo 3: Habilite Insights sobre los eventos de administración para obtener la tasa de llamadas a la API y la tasa de errores de la API en un registro y un almacén de datos de eventos**
En este ejemplo, habilita Insights para la tasa de llamadas a la API y la tasa de errores de la API tanto en un almacén de datos de seguimiento como en un almacén de datos de eventos que registra los eventos de administración. Tanto en el registro de seguimiento como en el almacén de datos de eventos permiten registrar del eventos de administración de `read` y de `write`. CloudTrail Insights se te cobrará por separado el almacén de datos de rutas y eventos, ya que habilitaste Insights en ambos.
+ CloudTrail analiza los eventos de gestión registrados en los últimos 28 días para establecer una base de referencia. El análisis no conlleva CloudTrail cargos.
+ Una vez creada la referencia, el registro de seguimiento y el almacén de datos de eventos registran 500 000 eventos de administración, de los cuales 380 000 son eventos de administración de `read` y 120 000 son eventos de administración de `write`.
En el caso del registro de seguimiento, se produce el siguiente análisis:
+ Los eventos de administración de `write` se analizan dos veces para el registro de seguimiento, una para determinar la tasa de llamadas a la API y otra para determinar la tasa de errores de la API (120 000 \$1 2 = 240 000).
+ Los eventos de administración de `read` se analizan una vez para el registro de seguimiento para determinar la tasa de errores de la API (380 000 \$1 1 = 380 000).
+ El total de eventos de administración que se analizaron para el registro de seguimiento es de 620 000 (240 000 \$1 380 000). Tendrá costos por el análisis de 620 000 eventos de administración para el registro de seguimiento.
En el caso del almacén de datos de eventos, se realiza el siguiente análisis:
+ Los eventos de administración de `write` se analizan dos veces para el almacén de datos de eventos, una para determinar la tasa de llamadas a la API y otra para determinar la tasa de errores de la API (120 000 \$1 2 = 240 000).
+ Los eventos de administración de `read` se analizan una vez para el almacén de datos de eventos para determinar la tasa de errores de la API (380 000 \$1 1 = 380 000).
+ El total de eventos de administración que se analizaron para el almacén de datos de eventos es de 620 000 (240 000 \$1 380 000). Tendrá costos por el análisis de 620 000 eventos de administración para el almacén de datos de eventos.
**Ejemplo 4: Habilitar la información sobre los eventos de administración y la información sobre los eventos de datos para obtener información sobre la tasa de llamadas a la API y la tasa de errores de la API en un registro**
En este último ejemplo, habilita Insights sobre los eventos de gestión y datos. En este ejemplo, la ruta consiste en el registro, `write` la gestión `read` y los eventos de datos.
+ CloudTrail analiza los eventos de administración y datos registrados en los últimos 28 días para formar una línea base. El análisis no conlleva CloudTrail cargos.
+ Una vez creada la línea base, el registro registra 300 000 eventos de administración, de los cuales 270 000 son eventos de administración de lectura y 30 000 son eventos de administración de escritura. El registro también registra 400 000 eventos de datos, de los cuales 340 000 son eventos de datos de lectura y 60 000 son eventos de escritura de datos.
+ Los eventos de administración de `write` se analizan dos veces, una para determinar la tasa de llamadas a la API y otra para determinar la tasa de errores de la API (30 000 \$1 2 = 60 000). Los eventos de administración de `read` se analizan una vez para determinar la tasa de errores de la API (270 000 \$1 1 = 270 000). El total de eventos de administración analizados es de 330 000 (60 000 \$1 270 000).
+ Los eventos de `write` datos `read` y los eventos se analizan dos veces, una para determinar la tasa de llamadas a la API y otra para determinar la tasa de errores de la API (400 000 \$1 2). El total de eventos de datos analizados es de 800 000.
+ El análisis de 1 130 000 eventos de gestión y datos para esta ruta supondrá costes.
# Entrega de eventos de Insights
A diferencia de otros tipos de eventos que CloudTrail capturan, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta que difieren significativamente de los patrones de uso típicos de la cuenta.
CloudTrail El lugar donde se publican los eventos y el tiempo que se tarda en recibirlos de Insights varían según los almacenes de datos de los senderos y los eventos.
**nota**
Los eventos de Insights sobre los eventos de datos solo se admiten en los senderos.
**Entrega de eventos de Insights para registros de seguimientos**
Si has activado los eventos de Insights en una ruta y CloudTrail detecta una actividad inusual, CloudTrail envía los eventos de Insights a la `/CloudTrail-Insight` carpeta del depósito S3 de destino elegido para tu ruta. Después de activar CloudTrail Insights por primera vez en una ruta, CloudTrail pueden pasar hasta 36 horas hasta que se empiecen a entregar eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
Si desactiva el registro de eventos de Insights en una ruta y, a continuación, vuelve a activarlos, o detiene y reinicia el registro de una ruta, pueden tardar hasta 36 horas en reiniciarse la entrega de los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo. CloudTrail
**Entrega de eventos de Insights para los almacenes de datos de eventos**
Si ha activado los eventos de Insights en un banco de datos de eventos de origen, CloudTrail envía los eventos de Insights al banco de datos de eventos de destino. Después de activar CloudTrail Insights por primera vez en el banco de datos de eventos de origen, es CloudTrail posible que pasen hasta 7 días hasta que comience a enviar los eventos de Insights al banco de datos de eventos de destino, siempre que se detecte una actividad inusual durante ese tiempo.
Si desactiva el registro de eventos de Insights en un banco de datos de eventos de origen y, a continuación, vuelve a habilitar los eventos de Insights, o detiene y reinicia la ingesta de eventos en un banco de datos de eventos de origen, puede tardar hasta 7 días en reiniciarse la entrega de eventos de Insights, siempre que se detecte actividad inusual durante ese tiempo. CloudTrail Se aplican cargos adicionales por la ingesta de eventos de Insights en Lake. CloudTrail Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
# Registrar los eventos de Insights con la CloudTrail consola
En esta sección, se describe cómo puede habilitar los eventos de Insights en un almacén de datos de eventos o senderos existente mediante la CloudTrail consola.
Para obtener más información sobre cómo crear un registro de seguimiento nuevo para registrar eventos de Insights, consulte [Creación de un registro de seguimiento con la consola](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
Para obtener más información sobre cómo crear un almacén datos de eventos nuevo para recopilar los eventos de Insights, consulte [Creación de un almacén de datos de eventos para los eventos de Insights con la consola](query-event-data-store-insights.md).
**Topics**
+ [Habilitar CloudTrail Insights en una ruta existente con la consola](#insights-events-enable-trail)
+ [Habilitar CloudTrail Insights en un almacén de datos de eventos existente con la consola](#insights-events-enable-lake)
## Habilitar CloudTrail Insights en una ruta existente con la consola
Utilice el siguiente procedimiento para habilitar CloudTrail Insights en un sendero existente.
1. En el panel de navegación izquierdo de la CloudTrail consola, abra la página **Rutas** y elija un nombre para la ruta.
1. En **Eventos de Insights**, elija **Editar**.
**nota**
Se aplican cargos adicionales por registrar eventos de Insights. Para ver CloudTrail los precios, consulta [AWS CloudTrail los precios](https://aws.amazon.com/cloudtrail/pricing/).
1. En **Event type** (Tipo de evento), seleccione **Insights events** (Eventos de Insights).
1. En **los eventos de Insights**, elija **eventos de administración** o **eventos de datos**
1. En **Tipos de Insights**, selecciona la **tasa de llamadas a la API, la tasa de errores de** la API o ambas opciones. Tu seguimiento debe estar registrando eventos de gestión o de datos de **Write** para registrar los eventos de Insights y así poder calcular la **tasa de llamadas a la API**. Su registro debe registrar la administración de **lectura** o **escritura** o los datos para registrar los eventos de Insights para conocer la **tasa de errores de la API**.
1. Elija **Guardar cambios** para guardar los cambios.
CloudTrail Una vez activados los eventos de Insights en una ruta, pueden tardar hasta 36 horas en empezar a distribuirse, siempre y cuando se detecte actividad inusual durante ese tiempo.
## Habilitar CloudTrail Insights en un almacén de datos de eventos existente con la consola
Utilice el siguiente procedimiento para habilitar CloudTrail Insights en un banco de datos de eventos existente.
Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
**nota**
Solo puedes activar CloudTrail Insights en los almacenes de datos de eventos que contienen eventos CloudTrail de gestión. No puedes habilitar CloudTrail Insights en otros tipos de almacenes de datos de eventos.
1. En el panel de navegación izquierdo de la CloudTrail consola, en **Lake**, selecciona **Almacenes de datos de eventos**.
1. Elija el nombre del almacén de datos de eventos.
1. En **Eventos de administración**, elija **Editar**.
1. Seleccione **Habilitar la captura de eventos de Insights**.
1. Elija el almacén de eventos de destino que recopilará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte [Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Elija los tipos de Insights. Puede elegir la **tasa de llamadas a la API**, la **tasa de errores de la API** o ambas. Debe registrar los eventos de administración de **escritura** para registrar los eventos de Insights para calcular la **tasa de llamadas a la API**. Debe registrar los eventos de administración de **lectura** o **escritura** para registrar los eventos de Insights para calcular la **tasa de errores de la API**.
1. Elija **Guardar cambios** para guardar los cambios.
CloudTrail pueden tardar hasta 7 días en empezar a publicar los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
# Registrar los eventos de Insights con el AWS CLI
Puede configurar sus registros de seguimiento y los almacenes de datos de eventos para que registren los eventos de Insights con la AWS CLI.
**nota**
Para obtener información sobre los eventos de gestión: para registrar los eventos de Insights en la tasa de llamadas de la API, el almacén de datos de seguimiento o de eventos debe registrar los eventos `write` de administración. Para registrar los eventos de Insights en la tasa de errores de la API, el banco de datos de seguimiento o evento debe registrarlos `read` o `write` gestionarlos.
En el caso de Data Events Insights: para registrar los eventos de Insights en la tasa de llamadas a la API o la tasa de errores de la API, el registro debe registrar `read` o registrar `write` los eventos de datos.
**Topics**
+ [Registrar los eventos de Insights para una ruta mediante el AWS CLI](#insights-events-CLI-enable-trails)
+ [Registrar los eventos de Insights para un banco de datos de eventos mediante el AWS CLI](#insights-events-CLI-enable-lake)
## Registrar los eventos de Insights para una ruta mediante el AWS CLI
Para volver a los selectores de Insights actuales para un registro de seguimiento, ejecute el comando `get-insight-selectors`.
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
En el siguiente ejemplo de respuesta se muestran los selectores de Insights de un registro de seguimiento denominado `insights-trail`.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
Si el sendero no tiene Insights activado, el **get-insight-selectors** comando devuelve el siguiente mensaje de error: «Se ha producido un error (InsightNotEnabledException) al llamar a la GetInsightSelectors operación: Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/TrailName no tiene Insights activado. Edite la configuración de la traza para habilitar Insights y, a continuación, vuelva a intentar la operación”.
Para configurar el registro de seguimiento a fin de que registre los eventos de Insights, ejecute el comando `put-insight-selectors`. En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos de Insights. Los valores del selector de insights pueden ser `ApiCallRateInsight`, `ApiErrorRateInsight` o ambos. Cada uno InsightType EventCategory de ellos se puede habilitar EventCategory para la administración, los datos o ambos.
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
El siguiente resultado muestra el selector de eventos de Insights configurado para el registro de seguimiento.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## Registrar los eventos de Insights para un banco de datos de eventos mediante el AWS CLI
Para habilitar Insights en un almacén de datos de eventos, debe tener un almacén de datos de eventos de origen que registre los eventos de administración y un almacén de datos de eventos de destino que registre los eventos de Insights.
Para ver si los eventos de Insights están habilitados en un almacén de datos de eventos, ejecute el comando **get-insight-selectors**.
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Para ver si un almacén de datos de eventos está configurado para recibir eventos de Insights o eventos de administración, ejecute el comando **get-event-data-store**.
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
Si un almacén de datos de eventos está configurado para recibir eventos de Insights, la `eventCategory` se configurará en `Insight`.
En el siguiente procedimiento, se muestra cómo crear los almacenes de datos de eventos de origen y destino y, a continuación, habilitar los eventos de Insights.
1. Ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para crear un almacén de datos de eventos de destino que recopile los eventos de Insights. El valor para `eventCategory` debe ser `Insight`. *retention-period-days*Reemplácelo por el número de días que desea conservar los eventos en su almacén de datos de eventos.
Si ha iniciado sesión con la cuenta de administración de una organización de AWS Organizations , incluya el parámetro `--organization-enabled` si desea dar acceso al [administrador delegado](cloudtrail-delegated-administrator.md) al almacén de datos de eventos.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
A continuación, se muestra un ejemplo de respuesta.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
Utilizará el `ARN` (o el sufijo ID del ARN) de la respuesta como valor del parámetro `--insights-destination` en el paso 3.
1. Ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para crear un almacén de datos de eventos de origen que registre los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. No es necesario que especifique ningún selector de eventos avanzado si desea registrar todos los eventos de administración. *retention-period-days*Sustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Si va a crear un almacén de datos de eventos de la organización, incluya el parámetro `--organization-enabled`.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
A continuación, se muestra un ejemplo de respuesta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
Utilizará el `ARN` (o el sufijo ID del ARN) de la respuesta como valor del parámetro `--event-data-store` en el paso 3.
1. Ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) para habilitar los eventos de Insights. Los valores del selector de insights pueden ser `ApiCallRateInsight`, `ApiErrorRateInsight` o ambos. Para el parámetro `--event-data-store`, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de origen que registra los eventos de administración y habilitará Insights. Para el parámetro `--insights-destination`, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de destino que registrará los eventos de Insights.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
En el siguiente resultado, se muestra el selector de eventos de Insights configurado para el almacén de datos de eventos.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Después de activar CloudTrail Insights por primera vez en un almacén de datos de eventos, es CloudTrail posible que pasen hasta 7 días hasta que comience a publicarse los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
# Visualización de eventos de Insights para registros de seguimiento
En esta sección, se describe cómo buscar una ruta en los últimos 90 días de eventos de CloudTrail Insights con Insights activado. Para obtener información sobre cómo ver las CloudTrail estadísticas de un banco de datos de eventos, consulte[Visualización del panel de Insights de un almacén de datos de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Puede ver, filtrar y descargar los últimos 90 días de eventos de Insights para un registro de seguimiento desde la página **Insights** de la consola.
Puede consultar los últimos 90 días de los eventos de Insights mediante programación:
+ En el caso de Trails, registra los eventos de administración ejecutando el AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)comando o la operación de la [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API.
+ Para Trails, registra los eventos de datos ejecutando el AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)comando o la operación de la [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API.
Para obtener las descripciones de los campos de registro de eventos de Insights para los registros de seguimiento, consulte [CloudTrail grabar contenido para eventos de Insights para senderos](cloudtrail-insights-fields-trails.md).
**nota**
**La página AWS CLI `lookup-events` o el `list-insights-data` comando de Insights solo muestran los eventos de Insights si has activado Insights en una ruta que registra eventos de administración o de datos.** Para obtener información sobre cómo habilitar Insights en un registro de seguimiento, consulte [Habilitar CloudTrail Insights en una ruta existente con la consola](insights-events-enable.md#insights-events-enable-trail) y [Registrar los eventos de Insights para una ruta mediante el AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Para registrar los eventos de Insights en la tasa de llamadas a la API, el registro debe registrar los eventos `write` de administración o de datos. Para registrar los eventos de Insights en la tasa de errores de la API, el registro debe registrar los eventos `write` de gestión `read` o de datos.
**Topics**
+ [Cómo visualizar eventos de Insights para registros de seguimiento con la consola](view-insights-events-console.md)
+ [Visualización de eventos de Insights para senderos con el AWS CLI](view-insights-events-cli.md)
# Cómo visualizar eventos de Insights para registros de seguimiento con la consola
En esta sección se describe cómo ver, buscar y descargar los últimos 90 días de los eventos de Insights para hacer un seguimiento desde la página de **Insights** de la CloudTrail consola. Para obtener información sobre cómo ver las CloudTrail estadísticas de un banco de datos de eventos, consulte[Visualización del panel de Insights de un almacén de datos de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Una vez registrados los eventos de Insights para el registro de seguimiento, estos se muestran en la página **Insights** durante 90 días. No se pueden eliminar manualmente eventos de la página **Insights** . Como los eventos de Insights habilitados para un registro de seguimiento se almacenan en el bucket de Amazon S3 configurado para ese registro de seguimiento, al eliminar los eventos de Insights del bucket se eliminarán esos eventos.
Si activa los registros, puede supervisar sus registros de seguimiento y recibir notificaciones cuando se produzcan eventos específicos de Insights. CloudWatch Para obtener más información, consulte [Supervisión de archivos de CloudTrail registro con Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**nota**
CloudTrail Los eventos de Insights deben estar habilitados en tu ruta para poder ver los eventos de Insights en la consola. Espere hasta 36 horas para que se CloudTrail publiquen los primeros eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
En el caso de Management Events Insights: para registrar los eventos de Insights en la tasa de llamadas de la API, el registro debe registrar los eventos `write` de administración. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento debe registrar los eventos de administración de `read` o `write`.
En el caso de Data Events Insights: para registrar los eventos de Insights en la tasa de llamadas o errores de la API, el registro debe registrar `read` o registrar `write` los eventos de datos.
**Para ver eventos de Insights**
1. Inicie sesión en la CloudTrail consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/cloudtrail/casa/](https://console.aws.amazon.com/cloudtrail/home/).
1. En el panel de navegación, elija **Insights** a fin de ver todos los eventos de Insights registrados en su cuenta en los últimos 90 días. También puede ver los cinco eventos más recientes de Insights en la página de **Paneles**.
1. En la página **Insights**, puede seleccionar la pestaña Insights de los eventos de gestión o la pestaña Insights de los eventos de datos
1. Puede filtrar los eventos de Insights por fuente, nombre o ID del evento. Para obtener más información sobre el filtrado de eventos de Insights, consulte [Filtrado de eventos de Insights](#filtering-insights-events).
1. Puede limitar aún más la lista a un **Rango relativo** o un **Rango absoluto**.
**Contents**
+ [Filtrado de eventos de Insights](#filtering-insights-events)
+ [Visualice los detalles de eventos de Insights](#viewing-details-for-an-event)
+ [Aplicar zoom al gráfico, desplazarlo y descargarlo](#viewing-insight-details-zoom)
+ [Cambiar la configuración del intervalo de tiempo del gráfico](#viewing-insight-details-timespan)
+ [Descarga de eventos de Insights](#downloading-insights-events)
## Filtrado de eventos de Insights
De manera predeterminada, los eventos de la página **Insights** se muestran en orden cronológico inverso según la hora de inicio del evento.
Puede filtrar la lista mediante el uso de uno de los siguientes tres atributos:
**Nombre de evento**
El nombre del evento, normalmente la AWS API en la que se registraron niveles de actividad inusuales.
**Origen del evento**
El AWS servicio al que se realizó la solicitud, como `iam.amazonaws.com` o`s3.amazonaws.com`. Si elige filtrar por origen de evento, puede desplazarse por una lista de orígenes de eventos.
**ID de evento**
El ID del evento de Insights. IDs Los eventos no se muestran en la tabla de páginas de **Insights**, pero son un atributo por el que se pueden filtrar los eventos de Insights. El evento IDs de los eventos de administración o de datos que se analizan para generar eventos de Insights es diferente del evento IDs de los eventos de Insights.
![\[El filtro de lista de eventos de CloudTrail Insights.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/insights_events_filter.png)
En la siguiente lista se describen los atributos de un evento que no se pueden filtrar:
**Tipo de información**
El tipo de evento de CloudTrail Insights, que es la tasa de **llamadas a la API o la tasa** de **errores de la API**. El tipo de información sobre la **tasa de llamadas a la API** analiza las llamadas a la API de administración o de datos que se agregan por minuto en función del volumen de llamadas a la API de referencia. El tipo de información sobre la **tasa de errores de la API** analiza las llamadas a la API de administración o de datos que generan códigos de error. El error se muestra si la llamada a la API no se hace correctamente.
**Hora de inicio del evento**
Hora de inicio del evento de Insights, medido como el primer minuto en el que se registró actividad inusual. Este atributo se muestra en la tabla **Insights**, pero no puede filtrar la hora de inicio del evento en la consola.
**Promedio de referencia**
La referencia representa el patrón normal de actividad de tasa de error o de llamadas a la API, calculada de manera diaria. El promedio de referencia es el promedio de estas referencias diarias a lo largo de los siete días anteriores al inicio de un evento de Insights. Si bien este período suele ser de siete días, CloudTrail redondea el período de cálculo a un número entero de días, por lo que la duración exacta de referencia puede variar ligeramente.
**Promedio de Insight**
El número promedio de llamadas a una API, o el número promedio de un error específico que se devolvió en las llamadas a una API, que desencadenó el evento Insights. El promedio de CloudTrail Insights para el evento de inicio es la tasa de ocurrencias que desencadenaron el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights del evento de finalización es la tasa de ocurrencias durante la actividad inusual, entre el evento de Insights de inicio y el evento de Insights de finalización.
**Cambio de tasa**
La diferencia entre el valor de **Promedio de referencia** y **Promedio de Insight**, medido en porcentaje. Por ejemplo, si el promedio de referencia de un error `AccessDenied` que se produce es 1,0, y el promedio de Insight es 3,0, el cambio de tasa es del 300 %. Un cambio de tasa para un promedio de Insight que supera un promedio de referencia muestra una flecha hacia arriba junto al valor. Si el evento Insights se registró porque la actividad está por debajo del promedio de referencia, **Cambio de tasa** muestra una flecha hacia abajo junto al porcentaje.
Si no hay eventos registrados para el atributo o el tiempo elegidos, la lista de resultados estará vacía. Solo puede aplicar un filtro de atributo además del intervalo de tiempo. Si elige un atributo diferente, se mantiene el filtro de intervalo de tiempo especificado.
Los siguientes pasos describen cómo filtrar por atributo.
**Para filtrar por atributo**
1. Para filtrar los resultados por atributo, elija un atributo de búsqueda en el menú desplegable y, luego, escriba o elija un valor en el cuadro **Ingresar un valor de búsqueda**.
1. Para eliminar un filtro de atributo, elija la **X** situada a la derecha del cuadro de filtro de atributo.
Los siguientes pasos describen cómo filtrar por una fecha y una hora de inicio y finalización.
**Para filtrar por una fecha y hora de inicio y finalización**
1. En **Filtrar por fecha y hora**, elija una de las siguientes opciones:
+ **Rango absoluto**: permite elegir una hora específica. Continúe con el paso siguiente.
+ **Rango relativo**: se selecciona de manera predeterminada. Permite elegir un periodo de tiempo relativo a la hora de inicio de un evento de Insights. Continúe con el paso 3.
1. Para establecer un **Rango absoluto**, haga lo siguiente.
1. Elija el día en el que desea que comience el rango de tiempo. Ingrese una hora de inicio en el día seleccionado. Para ingresar una fecha de forma manual, escriba la fecha con el formato `yyyy/mm/dd`. Las horas de inicio y finalización siguen el formato de 24 horas y los valores deben tener el formato `hh:mm:ss`. Por ejemplo, para que la hora de inicio sea a las 6:30 p. m., ingrese **18:30:00**.
1. Elija una fecha de finalización para el intervalo en el calendario o especifique una fecha y hora de finalización debajo del calendario. Seleccione **Aplicar**.
1. Para establecer un **Rango relativo**, haga lo siguiente.
1. Elija un periodo de tiempo predefinido relativo a la hora de inicio de los eventos de Insights. Los intervalos de tiempo preestablecidos incluyen 30 minutos, 1 hora, 12 horas o 1 día. Para especificar un intervalo de tiempo personalizado, elija **Custom (Personalizado)**.
1. Cuando haya establecido la hora relativa que desea, elija **Apply (Aplicar)**.
1. Para eliminar un filtro de rango de tiempo, elija el icono de calendario situado a la derecha del cuadro **Filtrar por día y hora** y, luego, elija **Borrar y descartar**.
## Visualice los detalles de eventos de Insights
1. Elija un evento de Insights de la lista de resultados para mostrar sus detalles. La página de detalles de un evento de Insights muestra un gráfico de la línea de tiempo de la actividad inusual.
![\[Una página de detalles de CloudTrail Insights que muestra una actividad inusual en la API.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Coloque el cursor sobre las bandas resaltadas para mostrar la hora de inicio y duración de cada evento de Insights en el gráfico.
![\[Las estadísticas de eventos de Insights se muestran al colocar el cursor sobre un evento de Insights.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
La siguiente información se muestra en el área **Información adicional** del gráfico:
+ **Insight type (Tipo de información)**. Puede ser la tasa de llamadas a la API o la tasa de error de la API.
+ **Desencadenador**. Este es un enlace a la pestaña de **eventos de Cloudtrail**, en la que se enumeran los eventos de administración o de datos que se analizaron para determinar si se produjo una actividad inusual.
+ **Llamadas a la API por minuto** o **Errores por minuto**
+ **Baseline average** (Promedio de referencia): la tasa típica de ocurrencias por minuto a esta API en la que se registró el evento Insights, medido en aproximadamente los siete días anteriores, en una región específica de su cuenta.
+ **Insights average** (Promedio de Insights): la tasa de ocurrencias por minuto a esta API que desencadenaron el evento de Insights. El promedio de CloudTrail Insights para el evento de inicio es la tasa de llamadas o errores por minuto en la API que activó el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights del evento final es el porcentaje de llamadas o errores por minuto a la API durante la actividad inusual, entre el evento de Insights inicial y el evento de Insights final.
+ **Fuente del evento**. El punto final del AWS servicio en el que se registró el número inusual de llamadas o errores a la API. En la imagen anterior, la fuente es `ec2.amazonaws.com` el punto de enlace del servicio de Amazon EC2.
+ **Start event ID** (ID de evento de inicio): el ID del evento de Insights que registró al principio de una actividad inusual.
+ **End event ID** (ID de evento de finalización): ID del evento Insights que se registró al final de una actividad inusual.
+ **ID de evento compartido**: en los eventos de Insights, el **ID de evento compartido** es un GUID que CloudTrail Insights genera para identificar de forma única un par de eventos de Insights de inicio y fin. **Shared event ID** (ID de evento compartido) es igual en los eventos de inicio y finalización de Insights, y ayuda a relacionar ambos eventos para identificar de forma inequívoca la actividad inusual.
1. Elija la pestaña **Attributions** (Atribuciones) para ver información sobre las identidades de usuario, los agentes de usuario y sobre eventos de Insight de la tasa de llamadas a la API, códigos de error correlacionados con la actividad inusual y de referencia. Se muestra un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error en las tablas de la pestaña **Attributions (Atribuciones)**, ordenado por un promedio del recuento de la actividad, en orden descendente de mayor a menor.
1. En la pestaña de **CloudTrail eventos**, consulte los eventos relacionados que CloudTrail se analizaron para determinar si se produjo una actividad inusual. De forma predeterminada, ya se aplica un filtro para el nombre del evento de Insights, que también es el nombre de la API relacionada. La pestaña de **CloudTrail eventos** muestra los eventos de CloudTrail administración o de datos relacionados con la API en cuestión que se produjeron entre la hora de inicio (menos un minuto) y la hora de finalización (más un minuto) del evento de Insights.
A medida que selecciona otros eventos de Insights en el gráfico, los eventos que se muestran en la tabla de **CloudTrail eventos** cambian. Estos eventos le ayudan a realizar un análisis más detallado para determinar la causa probable de un evento de Insights y las razones de la actividad inusual de la API.
Para mostrar todos los CloudTrail eventos que se registraron durante la duración del evento de Insights, y no solo los de la API relacionada, desactive el filtro.
1. Elija la pestaña **Insights event record (Registro de eventos de Insights)** para ver los eventos de inicio y finalización de Insights en formato JSON.
1. Al elegir el enlace **Event source (Origen de eventos)**, se lo redirige a la página **Insights** filtrada por ese origen de eventos.
## Aplicar zoom al gráfico, desplazarlo y descargarlo
Puede acercar o alejar, desplazar y restablecer los ejes del gráfico en la página de detalles del evento de Insights mediante la barra de herramientas situada en la esquina superior derecha.
![\[Barra de herramienta con los comandos para descargar como PNG, acercar, desplazar, alejar y restablecer los ejes.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
De izquierda a derecha, los botones de la barra de herramientas de gráficos hacen lo siguiente:
+ **Download plot as a PNG (Descargar gráfico como PNG)**: descarga la imagen del gráfico mostrada en la página de detalles y la guarda en formato PNG.
+ **Zoom**: arrastre para seleccionar el área del gráfico que desea ampliar y ver con mayor detalle.
+ **Pan (Desplazamiento panorámico)**: desplace el gráfico para ver fechas u horas adyacentes.
+ **Reset axes (Restablecer ejes)**: revierta los ejes del gráfico a los originales borrando los ajustes de zoom y desplazamiento panorámico.
## Cambiar la configuración del intervalo de tiempo del gráfico
Puede cambiar el intervalo de tiempo (la duración seleccionada de los eventos que se muestran en el eje *x*) que se muestra en el gráfico al elegir una configuración en la esquina superior derecha del gráfico.
![\[Control del intervalo de tiempo para un evento de Insights.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Descarga de eventos de Insights
Puede descargar el historial de eventos de Insights registrados como un archivo en formato JSON o CSV. Utilice filtros e intervalos de tiempo para reducir el tamaño del archivo que descargue.
**nota**
CloudTrail Los archivos del historial de eventos son archivos de datos que contienen información (como los nombres de los recursos) que los usuarios individuales pueden configurar. Algunos de estos datos podrían ser interpretados como comandos en los programas que se utilizan para leer y analizar esta información (inyección CSV). Por ejemplo, cuando CloudTrail los eventos se exportan a CSV y se importan a un programa de hojas de cálculo, es posible que ese programa le advierta sobre problemas de seguridad. Como práctica recomendada de seguridad, deshabilite los enlaces o las macros de los archivos del historial de eventos descargados.
1. Especifique el filtro y el intervalo de tiempo de los eventos que desee descargar. Por ejemplo, puede especificar el nombre del evento, `StartInstances`, y especificar un intervalo de tiempo de las últimas 12 horas de actividad.
1. Elija **Download events (Descargar eventos)** y, a continuación, **Download as CSV (Descargar como CSV)** o **Download as JSON (Descargar como JSON)**. Se le pedirá que elija una ubicación para guardar el archivo.
**nota**
La descarga podría tardar un tiempo en terminar. Antes de iniciar el proceso de descarga, y para obtener resultados más rápidos, utilice un filtro más específico o un intervalo de tiempo más breve para limitar los resultados.
1. Cuando haya finalizado la descarga, abra el archivo para ver los eventos que ha especificado.
1. Para cancelar la descarga, elija **Cancelar**. Si cancela una descarga antes de que termine, es posible que un archivo CSV o JSON de la computadora local solo contenga parte de sus eventos.
# Visualización de eventos de Insights para senderos con el AWS CLI
En esta sección se describe cómo usar el `list-insights-data` comando AWS CLI `lookup-events` and para buscar los últimos 90 días de eventos de Insights para una ruta con los eventos de Insights habilitados. Para obtener información sobre cómo habilitar CloudTrail Insights en una ruta, consulte[Registrar los eventos de Insights para una ruta mediante el AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**nota**
No puede usar el `list-insights-data` comando `lookup-events` o para buscar eventos de Insights en un banco de datos de eventos; sin embargo, CloudTrail Lake ofrece varios ejemplos de consultas para los bancos de datos de eventos de Insights. Para obtener más información, consulte [Visualización de consultas de muestra para los eventos de Insights](insights-events-view-lake.md#insights-events-lake-queries).
El comando `lookup-events` tiene las siguientes opciones:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
El comando `list-insights-data` tiene las siguientes opciones:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Para obtener información general sobre el uso del AWS Command Line Interface, consulte la [Guía del AWS Command Line Interface usuario](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Requisitos previos](#aws-cli-prerequisites-for-insights)
+ [Cómo obtener ayuda de la línea de comandos](#getting-command-line-help-insights)
+ [Búsqueda de eventos de Insights para eventos de administración](#looking-up-management-insights-with-the-aws-cli)
+ [Buscando eventos de datos en busca de eventos de Insights](#looking-up-data-insights-with-the-aws-cli)
+ [Especificar el número de eventos de Insights que deben devolverse los eventos de administración](#specify-the-number-of-management-insights-to-return)
+ [Especificar el número de eventos de Insights para que se devuelvan los eventos de datos](#specify-the-number-of-data-insights-to-return)
+ [Búsqueda de eventos de Insights para eventos de administración por intervalo de tiempo](#look-up-management-insights-by-time-range)
+ [Búsqueda de eventos de datos de Insights por intervalo de tiempo](#look-up-data-insights-by-time-range)
+ [Búsqueda de eventos de Insights para eventos de gestión por atributo](#look-up-management-insights-by-attributes)
+ [Ejemplos de búsqueda de atributos](#attribute-lookup-example-insights)
+ [Búsqueda de eventos de Insights para eventos de datos por dimensión](#look-up-data-insights-by-attributes)
+ [Ejemplos de búsqueda de dimensiones](#dimension-lookup-example-insights)
+ [Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración](#specify-next-page-of-management-results)
+ [Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración](#specify-next-page-of-data-results)
+ [Obtener la entrada JSON de un archivo de eventos de Insights para eventos de administración](#json-input-from-file-managemenet-insights)
+ [Obtener una entrada JSON de un archivo para eventos de Insights para eventos de datos](#json-input-from-file-data-insights)
+ [Campos de resultados de búsqueda](#view-insights-events-cli-output-fields)
## Requisitos previos
+ Para ejecutar AWS CLI comandos, debe instalar el AWS CLI. Para obtener más información, consulte [Introducción a la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Asegúrese de que su AWS CLI versión sea posterior a la 1.6.6. Para comprobar la versión de la CLI, ejecute **aws --version** en la línea de comandos.
+ Para configurar la cuenta, la región y el formato de salida predeterminado de una AWS CLI sesión, utilice el **aws configure** comando. Para obtener más información, consulte [Configuración de la interfaz de línea de comandos de AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Para registrar los eventos de Insights sobre el volumen de llamadas a la API, el registro de seguimiento debe registrar los eventos de administración de `write`. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento debe registrar los eventos de administración de `read` o `write`.
**nota**
Los CloudTrail AWS CLI comandos distinguen entre mayúsculas y minúsculas.
## Cómo obtener ayuda de la línea de comandos
Para ver la ayuda de la línea de comandos de `lookup-events`, escriba el siguiente comando.
```
aws cloudtrail lookup-events help
```
## Búsqueda de eventos de Insights para eventos de administración
Para ver los 50 eventos más recientes de Insights, escriba el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight
```
Un evento devuelto es similar al siguiente ejemplo,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Para obtener una explicación de los campos relacionados con la búsqueda en el resultado, consulte [Campos de resultados de búsqueda](#view-insights-events-cli-output-fields) sobre este tema. Para obtener una explicación de los campos del evento de Insights, consulte [CloudTrail grabar contenido para eventos de Insights para senderos](cloudtrail-insights-fields-trails.md).
## Buscando eventos de datos en busca de eventos de Insights
Para ver los 50 eventos más recientes de Insights, escriba el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Un evento devuelto es similar al siguiente ejemplo,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Especificar el número de eventos de Insights que deben devolverse los eventos de administración
Para especificar el número de eventos de Insights que deben devolverse los eventos de administración, escriba el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
El valor predeterminado de**, si no se especifica, es 50. Los valores posibles comprenden del 1 al 50. El ejemplo siguiente devuelve un solo resultado.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Especificar el número de eventos de Insights para que se devuelvan los eventos de datos
Para especificar el número de eventos de Insights que deben devolverse los eventos de datos, escriba el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
El valor predeterminado de**, si no se especifica, es 50. Los valores posibles comprenden del 1 al 50. El ejemplo siguiente devuelve un solo resultado.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Búsqueda de eventos de Insights para eventos de administración por intervalo de tiempo
Los eventos de Insights para los eventos de gestión de los últimos 90 días están disponibles para su búsqueda. Para especificar un intervalo de tiempo, escriba el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha de finalización especificada, se devuelve un error.
`--end-time ` especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha de inicio especificada, se devuelve un error.
La fecha de inicio predeterminada es la primera fecha posible en que los datos están disponibles en los últimos 90 días. La fecha de finalización predeterminada es la fecha del evento que se produjo más cercana a la fecha actual.
Todas las marcas temporales se muestran en UTC.
## Búsqueda de eventos de datos de Insights por intervalo de tiempo
Los eventos de Insights correspondientes a los eventos de datos de los últimos 90 días están disponibles para su búsqueda. Para especificar un intervalo de tiempo, escriba el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha de finalización especificada, se devuelve un error.
`--end-time ` especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha de inicio especificada, se devuelve un error.
La fecha de inicio predeterminada es la primera fecha posible en que los datos están disponibles en los últimos 90 días. La fecha de finalización predeterminada es la fecha del evento que se produjo más cercana a la fecha actual.
Todas las marcas temporales se muestran en UTC.
## Búsqueda de eventos de Insights para eventos de gestión por atributo
Para filtrar por un atributo, escriba el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
Solo puede especificar un atributo de pares de clave-valor para cada comando **lookup-events**. Los siguientes son valores válidos de eventos de Insights para `AttributeKey`. Los nombres de los valores distinguen entre mayúsculas y minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
La longitud máxima de `AttributeValue` es de 2000 caracteres. Los siguientes caracteres («`_`», «` `», «`,`» y «`\\n`») cuentan como dos caracteres en el límite de 2000 caracteres.
### Ejemplos de búsqueda de atributos
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventName` es `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventId` es `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventSource` es `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Búsqueda de eventos de Insights para eventos de datos por dimensión
Para filtrar por dimensión, escriba el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
Solo puede especificar un par clave-valor de dimensión para cada **list-insights-events** comando. Los siguientes son valores válidos de eventos de Insights para `DimensionKey`. Los nombres de los valores distinguen entre mayúsculas y minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
La longitud máxima de `DimensionValue` es de 2000 caracteres. Los siguientes caracteres («`_`», «` `», «`,`» y «`\\n`») cuentan como dos caracteres en el límite de 2000 caracteres.
### Ejemplos de búsqueda de dimensiones
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventName` es `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventId` es `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de `EventSource` es `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración
Para obtener la siguiente página de resultados de un comando `lookup-events`, escriba el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
En este comando, el valor de ** se toma del primer campo de la salida del comando anterior.
Cuando utiliza `--next-token` en un comando, debe utilizar los mismos parámetros que en el comando anterior. Suponga, por ejemplo, que ejecuta el siguiente comando.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración
Para obtener la siguiente página de resultados de un comando `list-insights-data`, escriba el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
En este comando, el valor de ** se toma del primer campo de la salida del comando anterior.
Cuando utiliza `--next-token` en un comando, debe utilizar los mismos parámetros que en el comando anterior. Suponga, por ejemplo, que ejecuta el siguiente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Obtener la entrada JSON de un archivo de eventos de Insights para eventos de administración
AWS CLI Para algunos AWS servicios, tiene dos parámetros: uno `--generate-cli-skeleton` y`--cli-input-json`, que puede usar para generar una plantilla JSON, que puede modificar y usar como entrada para el `--cli-input-json` parámetro. En esta sección se describe cómo utilizar estos parámetros con `aws cloudtrail lookup-events`. Para obtener más información, consulte [Esqueletos y archivos de entrada de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para buscar eventos de Insights al obtener los datos de entrada JSON de un archivo**
1. Cree una plantilla de entrada para usarla con `lookup-events` redirigiendo el resultado de `--generate-cli-skeleton` a un archivo, como En el ejemplo siguiente.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
El archivo de plantilla generado (en este caso, LookupEvents .txt) tiene el siguiente aspecto.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entrada JSON solo deben contener los valores que se especifican.
**importante**
Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.
El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que se devuelven.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Para utilizar el archivo editado como entrada, utilice la sintaxis `--cli-input-json file://`**, como en el ejemplo siguiente.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**nota**
Puede utilizar otros argumentos en la misma línea de comandos como `--cli-input-json`.
## Obtener una entrada JSON de un archivo para eventos de Insights para eventos de datos
AWS CLI Para algunos AWS servicios, tiene dos parámetros: uno `--generate-cli-skeleton` y`--cli-input-json`, que puede usar para generar una plantilla JSON, que puede modificar y usar como entrada para el `--cli-input-json` parámetro. En esta sección se describe cómo utilizar estos parámetros con `aws cloudtrail list-insights-data`. Para obtener más información, consulte [Esqueletos y archivos de entrada de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para buscar eventos de Insights al obtener los datos de entrada JSON de un archivo**
1. Cree una plantilla de entrada para usarla con `list-insights-data` redirigiendo el resultado de `--generate-cli-skeleton` a un archivo, como En el ejemplo siguiente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
El archivo de plantilla generado (en este caso, ListInsightsData .txt) tiene el siguiente aspecto.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entrada JSON solo deben contener los valores que se especifican.
**importante**
Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.
El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que se devuelven.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Para utilizar el archivo editado como entrada, utilice la sintaxis `--cli-input-json file://`**, como en el ejemplo siguiente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**nota**
Puede utilizar otros argumentos en la misma línea de comandos como `--cli-input-json`.
## Campos de resultados de búsqueda
**Events (Eventos)**
Una lista de eventos de búsqueda en función del atributo de búsqueda y el intervalo de tiempo especificados. La lista de eventos se ordena por tiempo, con el último evento en primer lugar. Cada entrada contiene información sobre la solicitud de búsqueda e incluye una cadena que representa el CloudTrail evento que se recuperó.
Las siguientes entradas describen los campos de cada evento de búsqueda.
**CloudTrailEvent**
Una cadena JSON que contiene una representación de objeto del evento devuelto. Para obtener información sobre cada uno de los elementos devueltos, consulte la información sobre el [contenido del cuerpo del registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Una cadena que contiene el GUID del evento devuelto.
**EventName**
Una cadena que contiene el nombre del evento devuelto.
**EventSource**
El AWS servicio al que se realizó la solicitud.
**EventTime**
La fecha y la hora, en formato de tiempo UNIX, del evento.
**Recursos**
Una lista de los recursos a los que hace referencia el evento devuelto. Cada entrada de recurso especifica un tipo de recurso y un nombre de recurso.
**ResourceName**
Una cadena que contiene el nombre del recurso al que hace referencia el evento.
**ResourceType**
Una cadena que contiene el tipo de recurso al que hace referencia el evento. Cuando el tipo de recurso no se puede determinar, se devuelve null.
**Nombre de usuario**
Una cadena que contiene el nombre de usuario de la cuenta del evento devuelto.
**NextToken**
Una cadena para obtener la siguiente página de resultados de un comando `lookup-events` anterior. Para utilizar el token, los parámetros deben ser los mismos que los del comando original. Si no aparece ninguna entrada `NextToken` en la salida, no hay más resultados que devolver.
Para obtener más información sobre los eventos de CloudTrail Insights, consulte [Trabajar con CloudTrail Insights](logging-insights-events-with-cloudtrail.md) esta guía.
# Visualización de eventos de Insights para los almacenes de datos de eventos
En esta sección, se describe cómo puede ver los eventos de Insights para un almacén de datos de eventos de Insights mediante la consulta del **panel de eventos de Insights** y de realizar consultas de ejemplo. Para obtener información sobre cómo habilitar CloudTrail Insights en un banco de datos de eventos, consulte[Habilitar CloudTrail Insights en un almacén de datos de eventos existente con la consola](insights-events-enable.md#insights-events-enable-lake).
CloudTrail las consultas incurren en cargos en función de la cantidad de datos escaneados. Para ayudar a controlar los costos, le recomendamos que restrinja las consultas agregando marcas temporales `eventTime` de inicio y finalización a las consultas. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Para obtener las descripciones de los campos de registro de eventos de Insights para los almacenes de datos de eventos, consulte [CloudTrail registrar el contenido de los eventos de Insights para los almacenes de datos de eventos](cloudtrail-insights-fields-lake.md).
**Topics**
+ [Visualización del panel de Insights de un almacén de datos de eventos](#insights-events-view-lake-dashboard)
+ [Visualización de consultas de muestra para los eventos de Insights](#insights-events-lake-queries)
## Visualización del panel de Insights de un almacén de datos de eventos
En el **panel de eventos de Insights** se muestra la proporción total de eventos de Insights por tipo de Insights, la proporción de eventos de Insights por tipo de Insights para los principales usuarios y servicios, y la cantidad de eventos de Insights por día. El panel también incluye un widget que muestra hasta 30 días de eventos de Insights.
**nota**
Después de activar CloudTrail Insights por primera vez en el almacén de datos de eventos de origen, es CloudTrail posible que se tarden hasta 7 días en empezar a entregar los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo. Para obtener más información, consulte [Entrega de eventos de Insights](insights-events-understanding.md).
El **Panel de eventos de Insights** solo muestra información sobre los eventos de Insights recopilados por el almacén de datos de eventos seleccionado, que viene determinada por la configuración del almacén de datos de eventos de origen. Por ejemplo, si configura el almacén de datos de eventos de origen para habilitar los eventos de Insights en `ApiCallRateInsight`, pero no en `ApiErrorRateInsight`, no verá la información sobre los eventos de Insights en `ApiErrorRateInsight`.
**Para ver el panel de eventos de Insights**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación izquierdo, elija **Lago** y, a continuación, **Panel**.
1. Elija la pestaña **Paneles administrados y personalizados**.
1. En los **Paneles administrados de AWS **, elija el **Panel de eventos de Insights**.
1. Elija el almacén de datos de eventos de Insights.
1. Elija si desea filtrar los datos del panel por **Intervalo absoluto** o **Intervalo relativo**. Elija **Intervalo absoluto** para seleccionar un intervalo de fechas y horas específico. Elija **Intervalo relativo** para seleccionar un intervalo de tiempo predefinido o personalizado. De forma predeterminada, el panel muestra los datos de eventos de las últimas 24 horas.
**nota**
CloudTrail Las consultas de Lake generan costos en función de la cantidad de datos escaneados. Para ayudar a controlar los costos, puede filtrar por un periodo más reducido. Para obtener más información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
1. Elija el icono de actualización para completar los gráficos de los widgets del panel. Cada widget indica el estado de la actualización.
Para obtener más información acerca de los paneles de Lake, consulte [CloudTrail Paneles de control de Lake](lake-dashboard.md).
## Visualización de consultas de muestra para los eventos de Insights
La CloudTrail consola proporciona varios ejemplos de consultas para eventos de Insights que pueden ayudarle a empezar a escribir sus propias consultas.
**Para ver las consultas de muestra para los eventos de Insights**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Consulta**.
1. En la página **Query** (Consultas), elija la pestaña **Sample queries** (Consultas de ejemplo).
1. Busque las consultas sobre eventos de Insights. Elija el **Nombre de la consulta** para abrirla en la pestaña **Editor**.
![\[El ejemplo muestra ejemplos de consultas de muestra de Insights\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. En la pestaña **Editor**, elija el almacén de datos de eventos de Insights. Al elegir el banco de datos de eventos de la lista, rellena CloudTrail automáticamente el ID del banco de datos de eventos en la `FROM` línea del editor de consultas.
1. Seleccione **Ejecutar** para ejecutar la consulta. Una vez que se complete la consulta, podrá ver el resultado del comando y los resultados de la consulta.
En la pestaña **Resultado del comando**, se muestran los metadatos sobre la consulta, por ejemplo, si la consulta se ha hecho correctamente, el número de registros coincidentes y el tiempo de ejecución de la consulta.
En la pestaña **Resultados de la consulta**, se muestran los datos de eventos del almacén de datos de eventos seleccionado que coinciden con la consulta.
Para obtener más información sobre la edición de una consulta, consulte [Cree o edite una consulta con la consola CloudTrail](query-create-edit-query.md). Para obtener más información sobre cómo ejecutar una consulta y guardar los resultados, consulte [Ejecutar una consulta y guardar los resultados de la consulta con la consola](query-run-query.md).