Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Travailler avec CloudTrail Insights
AWS CloudTrail Insights aide AWS les utilisateurs à identifier les activités inhabituelles associées aux taux d'appels et aux taux d'erreur des API et à y répondre en analysant en permanence les événements liés à CloudTrail la gestion et aux données. CloudTrail Insights analyse votre gestion passée et les événements liés aux données pour établir vos modèles habituels de taux d'appels d'API et de taux d'erreur d'API, également appelés *base de référence*. CloudTrail génère ensuite des événements Insights lorsque les taux d'appels d'API ou les taux d'erreur actuels s'écartent de la base de référence.
Vous pouvez collecter deux types d'informations, chacune pour les événements de gestion et les événements liés aux données.
**Informations sur les événements de gestion**
+ **Taux d'appels d'API** : mesure des appels d'API de gestion en écriture seule effectués par minute par rapport à un volume d'appels d'API de référence. Pour enregistrer les événements Insights sur le taux d'appel de l'API pour les événements de gestion, le magasin de données de suivi ou d'événements doit activer Insights et consigner les événements `write` de gestion.
+ **Taux d'erreur d'API** : mesure des appels d'API de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le magasin de données de suivi ou d'événements doit activer Insights et consigner `read` les événements de `write` gestion, ou les deux `read` et les événements `write` de gestion.
**Informations sur les événements liés aux données**
+ **Taux d'appels d'API** : mesure des appels d'API de données effectués par minute par rapport à un volume d'appels d'API de référence. Pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit activer Insights et consigner les événements liés aux données.
+ **Taux d'erreur d'API** : mesure des appels d'API de données qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit activer Insights et consigner `read` les événements `write` liés aux données, ou les deux `read` et les événements `write` liés aux données.
**Note**
Les événements Insights sur les événements de données ne sont pris en charge que sur les sentiers et non sur les magasins de données d'événements.
CloudTrail Insights analyse les événements de gestion et de données qui se produisent dans chaque région et génère un événement Insights lorsqu'une activité inhabituelle est détectée qui s'écarte de la base de référence. Un événement CloudTrail Insights est généré dans la même région que son événement de gestion ou de données de soutien.
Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez la gestion des événements Insights pour les sentiers et les magasins de données sur les événements, et des informations sur les événements Insights. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Coûts des événements Insights](insights-events-costs.md)
+ [Présentation d'événements Insights](insights-events-understanding.md)
+ [Enregistrement des événements Insights avec la CloudTrail console](insights-events-enable.md)
+ [Enregistrement des événements Insights à l'aide du AWS CLI](insights-events-CLI-enable.md)
+ [Affichage des événements Insights pour les journaux de suivi](view-insights-events.md)
+ [Affichage des événements Insights pour les entrepôts de données d'événement](insights-events-view-lake.md)
# Coûts des événements Insights
**Note**
Les événements Insights sur les événements de données ne sont pris en charge que sur les sentiers.
Lorsque vous activez les événements Insights sur un magasin de données de parcours ou d'événement existant, il CloudTrail analyse les 28 derniers jours de gestion et les événements de données collectés par le magasin de données de parcours ou d'événements afin d'établir une base de référence pour l'activité normale. Une fois la référence initiale créée, elle est recalculée tous les jours sur les 28 derniers jours de données. L'analyse CloudTrail de base est gratuite.
Après l'analyse de base, vous devrez payer des CloudTrail frais pour tout futur événement de gestion et de données analysé par CloudTrail. Des frais vous sont facturés en fonction du nombre d'événements de gestion et de données analysés pour les types Insights activés.
Si vous choisissez de consigner à la fois le taux d'appels et le taux d'erreur des API. Types Insights pour les événements de gestion d'un journal ou d'un magasin de données d'événements qui enregistre `read` et `write` gère les événements, le nombre total d'événements analysés sera supérieur au nombre total d'événements de gestion enregistrés. En effet, les événements de gestion en écriture seule CloudTrail seront analysés deux fois, une fois pour calculer le taux d'appels d'API et une autre fois pour déterminer le taux d'erreur de l'API. Les événements de gestion en lecture seule seront analysés une seule fois pour calculer le taux d'erreur de l'API.
De même, si vous choisissez de consigner à la fois le taux d'appel des API et le type de taux d'erreur des API Insights pour les événements de `write` données dans le cadre d'un suivi qui enregistre `read` les événements liés aux données, le nombre total d'événements analysés sera supérieur au nombre total d'événements de données enregistrés. En effet, tous les événements de données CloudTrail seront analysés deux fois, une fois pour calculer le taux d'appels d'API et une autre pour déterminer le taux d'erreur de l'API.
Vous pouvez identifier les frais d'Insights pour les événements liés à la gestion et aux données sur votre facture en recherchant respectivement le type `InsightsEvents` et le type `DataInsightsEvents` d'utilisation. Pour de plus amples informations, veuillez consulter [Consultez vos CloudTrail coûts et votre utilisation avec AWS Cost Explorer](cloudtrail-costs.md).
Vous devrez payer des frais Insights distincts pour les sentiers et les magasins de données sur les événements, et des frais Insights distincts pour les événements de données pour les sentiers. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Exemple 1 — Activer Insights sur les événements de gestion relatifs au taux d'appels d'API et au taux d'erreur d'API lors d'un suivi**
Dans ce premier exemple, vous activez Insights on a trail pour enregistrer les événements de gestion et vous choisissez de collecter les deux types d'Insights. Dans cet exemple, le parcours enregistre à la fois les événements `read` et les événements `write` de gestion.
+ CloudTrail analyse les événements de gestion enregistrés au cours des 28 derniers jours pour constituer une base de référence. L'analyse est gratuite. CloudTrail
+ Une fois la base de référence créée, le sentier enregistre 300 000 événements de gestion, dont 270 000 sont des événements de `read` gestion et 30 000 sont `write` des événements de gestion.
+ Les événements `write` de gestion sont analysés deux fois, une fois pour le taux d'appels d'API et une fois pour le taux d'erreur d'API (30 000\$1 2 = 60 000).
+ Les événements `read` de gestion sont analysés une seule fois pour déterminer le taux d'erreur de l'API (270 000 \$11 = 270 000).
+ Le total des événements de gestion analysés est de 330 000 (60 000 \$1 270 000). L'analyse de 330 000 événements de gestion pour ce parcours vous coûtera cher. Vous serez facturé séparément si vous activez Insights pour un autre parcours ou une banque de données d'événements.
**Exemple 2 — Activer Insights sur les événements de gestion pour deux sentiers**
Dans cet exemple suivant, vous activez Insights sur deux pistes en enregistrant les événements de gestion, la piste A et la piste B. Vous choisissez d'activer Insights sur le taux d'appel API uniquement sur la piste A et sur le taux d'erreur API Insights uniquement sur la piste B. Les pistes enregistrent `read` et les événements de `write` gestion.
+ CloudTrail analyse les événements `write` de gestion enregistrés au cours des 28 derniers jours pour constituer une base de référence. L'analyse est gratuite. CloudTrail
+ Une fois la base de référence créée, les sentiers enregistrent 800 000 événements de gestion, dont 710 000 sont des `read` événements et 90 000 sont des événements. `write`
Pour le sentier A, l'analyse suivante est effectuée :
+ Les événements `write` de gestion sont analysés une seule fois pour déterminer le taux d'appels de l'API (90 000 \$1 1 = 90 000).
+ Les événements `read` de gestion ne sont pas analysés, car ils analysent CloudTrail uniquement les événements `write` de gestion pour l'API Call Rate Insights.
+ Le nombre total d'événements de gestion analysés est de 90 000. L'analyse de 90 000 événements de gestion pour le sentier A.
Pour le sentier B, l'analyse suivante est effectuée :
+ Les événements `write` de gestion sont analysés une seule fois pour déterminer le taux d'erreur de l'API (90 000 \$1 1 = 90 000).
+ Les événements `read` de gestion sont analysés une seule fois pour déterminer le taux d'erreur de l'API (710 000 \$11 = 710 000).
+ Le nombre total d'événements de gestion analysés est de 800 000 (90 000 \$1 710 000). L'analyse de 800 000 événements de gestion pour le sentier B.
**Exemple 3 — Activer Insights sur les événements de gestion pour le taux d'appels d'API et le taux d'erreur d'API sur un parcours et un magasin de données d'événements**
Dans cet exemple, vous activez Insights pour le taux d'appels d'API et le taux d'erreur d'API à la fois sur un journal et sur un magasin de données d'événements enregistrant les événements de gestion. Le magasin de données sur les sentiers et les événements enregistre `read` et `write` gère les événements. CloudTrail Insights vous facturera des frais pour le stockage des données relatives aux parcours et aux événements séparément, car vous avez activé Insights sur les deux.
+ CloudTrail analyse les événements de gestion enregistrés au cours des 28 derniers jours pour constituer une base de référence. L'analyse est gratuite. CloudTrail
+ Une fois la base de référence créée, le magasin de données de suivi et d'événements enregistre 500 000 événements de gestion, dont 380 000 sont des événements de `read` gestion et 120 000 sont `write` des événements de gestion.
Pour le parcours, l'analyse suivante est effectuée :
+ Les événements `write` de gestion sont analysés deux fois pour le suivi, une fois pour le taux d'appels d'API et une fois pour le taux d'erreur d'API (120 000 \$1 2 = 240 000).
+ Les événements `read` de gestion sont analysés une fois pour le suivi du taux d'erreur de l'API (380 000 \$11 = 380 000).
+ Le total des événements de gestion analysés pour le sentier est de 620 000 (240 000 \$1 380 000). L'analyse de 620 000 événements de gestion du sentier vous coûtera cher.
Pour le magasin de données d'événements, l'analyse suivante est effectuée :
+ Les événements `write` de gestion sont analysés deux fois pour le magasin de données d'événements, une fois pour le taux d'appels d'API et une fois pour le taux d'erreur d'API (120 000 \$1 2 = 240 000).
+ Les événements `read` de gestion sont analysés une fois pour le stockage des données d'événements afin de déterminer le taux d'erreur de l'API (380 000 \$11 = 380 000).
+ Le nombre total d'événements de gestion analysés pour le magasin de données d'événements est de 620 000 (240 000 \$1 380 000). L'analyse de 620 000 événements de gestion pour le magasin de données d'événements entraînera des coûts.
**Exemple 4 — Activer les événements de gestion Insights and data events Insights for API call rate and api error rate in a trail**
Dans ce dernier exemple, vous activez Insights on management and data events. Dans cet exemple, la piste est la journalisation, `write` la gestion `read` et les événements liés aux données.
+ CloudTrail analyse les événements de gestion et de données enregistrés au cours des 28 derniers jours pour constituer une base de référence. L'analyse est gratuite. CloudTrail
+ Une fois la base de référence créée, le journal enregistre 300 000 événements de gestion, dont 270 000 sont des événements de gestion de lecture et 30 000 sont des événements de gestion d'écriture. Le parcours enregistre également 400 000 événements de données, dont 340 000 sont des événements de lecture de données et 60 000 des événements d'écriture de données.
+ Les événements `write` de gestion sont analysés deux fois, une fois pour le taux d'appels d'API et une fois pour le taux d'erreur d'API (30 000\$1 2 = 60 000). Les événements `read` de gestion sont analysés une seule fois pour déterminer le taux d'erreur de l'API (270 000 \$11 = 270 000). Le total des événements de gestion analysés est de 330 000 (60 000 \$1 270 000).
+ Les événements liés aux `write` données `read` et sont analysés deux fois, une fois pour le taux d'appels de l'API et une fois pour le taux d'erreur de l'API (400 000\$1 2). Le nombre total d'événements de données analysés est de 800 000.
+ L'analyse de 1 130 000 événements de gestion et de données dans le cadre de ce parcours vous coûtera cher.
# Présentation d'événements Insights
Contrairement aux autres types d'événements qui CloudTrail capturent, les événements Insights sont enregistrés uniquement lorsque des modifications de l'utilisation de l'API de votre compte sont CloudTrail détectées, qui diffèrent considérablement des modèles d'utilisation habituels du compte.
L'endroit CloudTrail où les événements sont organisés et le temps nécessaire pour recevoir les événements Insights varient entre les sentiers et les magasins de données sur les événements.
**Note**
Les événements Insights sur les événements de données ne sont pris en charge que sur les sentiers.
**Diffusion d'événements Insights pour les journaux de suivi**
Si vous avez activé les événements Insights sur un parcours et que vous CloudTrail détectez une activité inhabituelle, CloudTrail diffuse les événements Insights dans le `/CloudTrail-Insight` dossier du compartiment S3 de destination choisi pour votre parcours. Une fois que vous avez activé CloudTrail Insights pour la première fois dans le cadre d'un trail, jusqu'à 36 heures CloudTrail peuvent être nécessaires pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Si vous désactivez la journalisation des événements Insights sur un suivi, puis que vous réactivez les événements Insights, ou que vous arrêtez et redémarrez la journalisation d'un suivi, le redémarrage de la diffusion des événements Insights peut prendre jusqu' CloudTrail à 36 heures, à condition qu'une activité inhabituelle soit détectée pendant cette période.
**Diffusion d'événements Insights pour les entrepôts de données d'événement**
Si vous avez activé les événements Insights sur un magasin de données d'événements source, CloudTrail diffuse les événements Insights dans le magasin de données d'événements de destination. Une fois que vous avez activé CloudTrail Insights pour la première fois dans le magasin de données d'événements source, il CloudTrail peut falloir jusqu'à 7 jours pour commencer à diffuser les événements Insights dans le magasin de données d'événements de destination, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Si vous désactivez la journalisation des événements Insights dans un magasin de données d'événements source, puis que vous réactivez les événements Insights, ou que vous arrêtez et redémarrez l'ingestion d'événements dans un magasin de données d'événements source, le redémarrage de la diffusion des événements Insights peut prendre jusqu' CloudTrail à 7 jours, à condition qu'une activité inhabituelle soit détectée pendant cette période. Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
# Enregistrement des événements Insights avec la CloudTrail console
Cette section décrit comment activer les événements Insights sur un magasin de données de suivi ou d'événement existant à l'aide de la CloudTrail console.
Pour plus d'informations sur la création d'un nouveau suivi pour consigner les événements Insights, consultez[Création d'un parcours à l'aide de la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
Pour plus d'informations sur la création d'un nouveau magasin de données d'événements afin de collecter des événements Insights, consultez[Créez un magasin de données d'événements pour les événements Insights à l'aide de la console](query-event-data-store-insights.md).
**Topics**
+ [Activation d' CloudTrail Insights sur un parcours existant à l'aide de la console](#insights-events-enable-trail)
+ [Activation d' CloudTrail Insights sur un magasin de données d'événements existant à l'aide de la console](#insights-events-enable-lake)
## Activation d' CloudTrail Insights sur un parcours existant à l'aide de la console
Utilisez la procédure suivante pour activer CloudTrail Insights sur un parcours existant.
1. Dans le volet de navigation gauche de la CloudTrail console, ouvrez la page **Sentiers** et choisissez un nom de sentier.
1. Dans les **événements Insights**, choisissez **Modifier**.
**Note**
Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
1. Dans **Event type** (Type d'événement), choisissez **Insights events** (Événements Insights).
1. Dans **Insights events**, choisissez **des événements de gestion** ou **des événements de données**
1. Sous **Types d'informations**, choisissez le taux **d'appels d'API, le taux d'erreur d'API,** ou les deux. Votre trace doit enregistrer les événements liés à la gestion des **écritures** ou aux données pour enregistrer les événements Insights afin de connaître le **taux d'appels d'API**. Votre trace doit enregistrer la gestion des opérations de **lecture** ou d'**écriture** ou des données pour enregistrer les événements Insights afin de connaître le **taux d'erreur de l'API**.
1. Choisissez **Enregistrer les Modifications** pour enregistrer vos Modifications.
CloudTrail jusqu'à 36 heures peuvent être nécessaires pour commencer à diffuser des événements Insights une fois que vous avez activé les événements Insights sur un suivi, à condition qu'une activité inhabituelle soit détectée pendant cette période.
## Activation d' CloudTrail Insights sur un magasin de données d'événements existant à l'aide de la console
Utilisez la procédure suivante pour activer CloudTrail Insights sur un magasin de données d'événements existant.
Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
**Note**
Vous ne pouvez activer CloudTrail Insights que sur les banques de données d'événements contenant CloudTrail des événements de gestion. Vous ne pouvez pas activer CloudTrail Insights sur d'autres types de banques de données d'événements.
1. Dans le volet de navigation gauche de la CloudTrail console, sous **Lake**, choisissez **Event data stores**.
1. Choisissez le nom de l'entrepôt de données d'événement.
1. Pour **Événements de gestion**, choisissez **Modifier**.
1. Choisissez **Activer la capture des événements Insights**.
1. Choisissez le magasin d'événements de destination qui collectera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Choisissez les types Insights. Vous pouvez choisir le **Taux d'appels d'API**, le **Taux d'erreur de l'API** ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.
1. Choisissez **Enregistrer les Modifications** pour enregistrer vos Modifications.
CloudTrail jusqu'à 7 jours peuvent être nécessaires pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
# Enregistrement des événements Insights à l'aide du AWS CLI
Vous pouvez configurer vos journaux de suivi ou vos entrepôts de données d'événement pour qu'ils journalisent les événements Insights à l'aide de l' AWS CLI.
**Note**
Pour les informations sur les événements de gestion : pour enregistrer les événements Insights sur le taux d'appels de l'API, le magasin de données de suivi ou d'événements doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le magasin de données de suivi ou d'événements doit les enregistrer `read` ou les `write` gérer.
Pour Data Events Insights : pour consigner les événements Insights sur le taux d'appels d'API ou le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` relatifs aux données.
**Topics**
+ [Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI](#insights-events-CLI-enable-trails)
+ [Enregistrement des événements Insights pour une banque de données d'événements à l'aide du AWS CLI](#insights-events-CLI-enable-lake)
## Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI
Pour renvoyer les sélecteurs Insights actuels pour un suivi, exécutez la `get-insight-selectors` commande.
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
L'exemple de réponse suivant montre les sélecteurs Insights pour un parcours nommé`insights-trail`.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
Si Insights n'est pas activé sur le trail, la **get-insight-selectors** commande renvoie le message d'erreur suivant : « Une erreur s'est produite (InsightNotEnabledException) lors de l'appel de l' GetInsightSelectors opération : Trail arn:aws:cloudtrail:us-east- 1:123456789012:Trail/TrailName n'a pas activé Insights. Modifiez les paramètres du journal d’activité pour activer Insights, puis réessayez l'opération ».
Pour configurer votre journal d'activité en sorte qu'il journalise les événements Insights, exécutez la commande `put-insight-selectors`. L'exemple suivant indique comment configurer votre journal d'activité pour inclure les événements Insights. Les valeurs du sélecteur Insights peuvent être `ApiCallRateInsight`, `ApiErrorRateInsight`, ou les deux. Chacun InsightType peut être activé pour la gestion EventCategory ou les données, EventCategory ou les deux.
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
Le résultat suivant montre le sélecteur d'événements Insights configuré pour le journal d'activité.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## Enregistrement des événements Insights pour une banque de données d'événements à l'aide du AWS CLI
Pour activer Insights sur un entrepôt de données d'événement, vous devez disposer d'un entrepôt de données d'événement source qui journalise les événements de gestion et d'un entrepôt de données d'événement de destination qui journalise les événements Insights.
Pour savoir si les événements Insights sont activés dans un entrepôt de données d'événement, exécutez la commande **get-insight-selectors**.
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Pour savoir si un entrepôt de données d'événement est configuré pour recevoir des événements Insights ou des événements de gestion, exécutez la commande **get-event-data-store**.
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
Si un magasin de données d'événements est configuré pour recevoir des événements Insights, il `eventCategory` sera configuré sur`Insight`.
La procédure suivante vous explique comment créer les entrepôts de données d'événement de destination et de destination, puis activer les événements Insights.
1. Exécutez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) pour créer un entrepôt de données d'événement de destination qui collecte les événements Insights. La valeur pour `eventCategory` doit être `Insight`. Remplacez *retention-period-days* par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements.
Si vous êtes connecté avec le compte de gestion d’une organisation AWS Organizations , incluez le paramètre `--organization-enabled` si vous souhaitez donner à votre [administrateur délégué](cloudtrail-delegated-administrator.md) l’accès au magasin de données d’événement.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
Voici un exemple de réponse.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
Vous utiliserez l'`ARN` (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre `--insights-destination` à l'étape 3.
1. Exécutez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) pour créer un entrepôt de données d'événement source qui journalise les événements de gestion. Par défaut, les entrepôts de données d'événement journalisent les événements de gestion et aucun événement de données. Il n'est pas nécessaire de spécifier les sélecteurs d'événements avancés si vous souhaitez journaliser tous les événements de gestion. Remplacez *retention-period-days* par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements. Si vous créez un magasin de données d’événement d’organisation, incluez le paramètre `--organization-enabled`.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
Voici un exemple de réponse.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
Vous utiliserez l'`ARN` (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre `--event-data-store` à l'étape 3.
1. Exécutez la commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) pour activer les événements Insights. Les valeurs du sélecteur Insights peuvent être `ApiCallRateInsight`, `ApiErrorRateInsight`, ou les deux. Pour le paramètre `--event-data-store`, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement source qui journalise les événements de gestion et activera Insights. Pour le paramètre `--insights-destination`, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement de destination qui journalisera les événements Insights.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Le résultat suivant montre le sélecteur d'événements Insights configuré pour l'entrepôt de données d'événement.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Une fois que vous avez activé CloudTrail Insights pour la première fois sur un magasin de données d'événements, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
# Affichage des événements Insights pour les journaux de suivi
Cette section explique comment vous pouvez rechercher un parcours au cours des 90 derniers jours d'événements Insights lorsque CloudTrail Insights est activé. Pour plus d'informations sur la façon d'afficher les CloudTrail informations relatives à une banque de données d'événements, consultez[Consulter le tableau de bord Insights d'une banque de données d'événements](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Vous pouvez consulter, filtrer et télécharger les 90 derniers jours d'événements Insights pour un suivi depuis la page **Insights** de la console.
Vous pouvez récupérer les événements Insights des 90 derniers jours par programmation :
+ Pour Trails, enregistrez les événements de gestion en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)commande ou en exécutant l'opération [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API.
+ Pour Trails, enregistrez des événements de données en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)commande ou en exécutant l'opération [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API.
Pour une description des champs d'enregistrement des événements Insights pour les sentiers, voir[CloudTrail enregistrer le contenu des événements Insights pour les sentiers](cloudtrail-insights-fields-trails.md).
**Note**
La page **et/ou la `list-insights-data` commande Insights** ne répertorient les événements Insights que si vous avez activé Insights sur une piste qui enregistre des événements de gestion ou de données. AWS CLI `lookup-events` Pour plus d'informations sur l'activation d'Insights sur un sentier, consultez [Activation d' CloudTrail Insights sur un parcours existant à l'aide de la console](insights-events-enable.md#insights-events-enable-trail) et[Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion ou de données. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer les événements `write` de gestion `read` ou de données.
**Topics**
+ [Afficher les événements Insights pour les sentiers avec la console](view-insights-events-console.md)
+ [Visualisation des événements Insights pour les sentiers avec le AWS CLI](view-insights-events-cli.md)
# Afficher les événements Insights pour les sentiers avec la console
Cette section explique comment consulter, rechercher et télécharger les événements Insights des 90 derniers jours pour un suivi depuis la page **Insights** de la CloudTrail console. Pour plus d'informations sur la façon d'afficher les CloudTrail informations relatives à une banque de données d'événements, consultez[Consulter le tableau de bord Insights d'une banque de données d'événements](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Une fois que les événements Insights sont enregistrés pour un suivi, ils sont affichés sur la page **Insights** pendant 90 jours. Vous ne pouvez pas supprimer manuellement des événements de la page **Insights**. Étant donné que les événements Insights activés pour un suivi sont stockés dans le compartiment Amazon S3 configuré pour ce suivi, la suppression des événements Insights du compartiment entraîne la suppression de ces événements.
Vous pouvez surveiller vos journaux de suivi et être averti lorsque des événements Insights spécifiques se produisent en activant CloudWatch les journaux. Pour de plus amples informations, veuillez consulter [Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**Note**
CloudTrail Les événements Insights doivent être activés sur votre parcours pour voir les événements Insights dans la console. Prévoyez jusqu'à 36 heures CloudTrail pour diffuser les premiers événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Pour les informations sur les événements de gestion : pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` de gestion.
Pour Data Events Insights : pour consigner les événements Insights sur le taux d'appels d'API ou le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` relatifs aux données.
**Pour afficher les événements Insights**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à la [https://console.aws.amazon.com/cloudtrail/maison/](https://console.aws.amazon.com/cloudtrail/home/).
1. Dans le volet de navigation, choisissez **Insights** pour voir tous les événements Insights enregistrés sur votre compte au cours des 90 derniers jours. Vous pouvez également consulter les cinq événements Insights les plus récents sur la page **Tableaux** de bord.
1. Sur la page **Insights**, vous pouvez sélectionner l'onglet Insights (événements de gestion) ou Insights (événements de données).
1. Vous pouvez filtrer les événements Insights par source d'événement, nom d'événement ou ID d'événement. Pour plus d'informations sur le filtrage des événements Insights, consultez [Filtrage des événements Insights](#filtering-insights-events).
1. Vous pouvez également limiter la liste à une **plage relative** ou **absolue**.
**Contents**
+ [Filtrage des événements Insights](#filtering-insights-events)
+ [Affichage des détails des événements Insights](#viewing-details-for-an-event)
+ [Zoomer, panoramiquer et télécharger un graphique](#viewing-insight-details-zoom)
+ [Modifier les paramètres de période du graphique](#viewing-insight-details-timespan)
+ [Téléchargement d'événements Insights](#downloading-insights-events)
## Filtrage des événements Insights
Par défaut, les événements de la page **Insights** sont affichés dans l'ordre chronologique inverse en fonction de l'heure de début de l'événement.
Vous pouvez filtrer la liste en choisissant l'un des trois attributs suivants :
**Nom de l’événement**
Le nom de l'événement, généralement l' AWS API sur laquelle des niveaux d'activité inhabituels ont été enregistrés.
**Source de l’événement**
Le AWS service auquel la demande a été adressée, tel que `iam.amazonaws.com` ou`s3.amazonaws.com`. Si vous choisissez de filtrer par source d'événement, vous pouvez faire défiler la liste des sources d'événements.
**ID de l’événement**
L'ID de l'événement Insights. IDs Les événements ne figurent pas dans le tableau de la page **Insights**, mais il s'agit d'un attribut sur lequel vous pouvez filtrer les événements Insights. Les événements IDs liés à la gestion ou aux données analysés pour générer des événements Insights sont différents de ceux IDs des événements Insights.
![\[Le filtre de liste d'événements CloudTrail Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_events_filter.png)
La liste suivante décrit les attributs d'un événement, qui ne sont pas filtrables :
**Type Insight**
Type d'événement CloudTrail Insights, qui est soit le taux d'**appels d'API, soit le taux** **d'erreur d'API**. Le type d'aperçu du **taux d'appels d'API** analyse la gestion en écriture seule ou les appels d'API de données agrégés par minute par rapport à un volume d'appels d'API de référence. Le type d'analyse du **taux d'erreur des API** analyse les appels d'API de gestion ou de données qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API.
**Heure de début de l'événement**
L'heure de début de l'événement Insights, mesuré sous la forme de la première minute au cours de laquelle une activité d'API inhabituelle a été enregistrée. Cet attribut est affiché dans la table **Insights**, mais vous ne pouvez pas filtrer l'heure de début de l'événement dans la console.
**Moyenne de référence**
La ligne de base représente le schéma normal du taux d'appel d'API ou de l'activité du taux d'erreur, calculé quotidiennement. La moyenne de référence est la moyenne de ces niveaux de référence quotidiens au cours des sept jours précédant le début d'un événement Insights. Bien que cette période soit généralement de sept jours, CloudTrail elle est arrondie à un nombre entier de jours, de sorte que la durée de référence exacte peut légèrement varier.
**Moyenne Insight**
Le nombre moyen d'appels vers une API, ou le nombre moyen d'une erreur spécifique renvoyée lors d'appels à une API, qui a déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'occurrences qui ont déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux des occurrences pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.
**Variation du taux**
Différence entre la valeur de **Moyenne de référence** et **Moyenne Insight**, mesurée en pourcentage. Par exemple, si la moyenne de référence d'une erreur `AccessDenied` est de 1,0, et la moyenne Insight est de 3,0, la variation du taux est de 300 %. Une variation du taux pour une moyenne Insight qui dépasse une moyenne de référence affiche une flèche vers le haut à côté de la valeur. Si l'événement Insights a été journalisé parce que l'activité est inférieure à la moyenne de référence, **Variation du taux** affiche une flèche vers le bas à côté du pourcentage.
Si aucun événement n’est journalisé pour l’attribut ou l’heure que vous avez choisi, la liste des résultats est vide. Vous pouvez appliquer un seul filtre d’attributs, en plus de la plage de temps. Si vous choisissez un autre filtre d’attribut, la plage de temps que vous avez spécifiée est conservée.
Les étapes suivantes expliquent comment filtrer sur les attributs.
**Pour filtrer par attribut**
1. Pour filtrer les résultats par attribut, choisissez un attribut de recherche dans le menu déroulant, puis tapez ou choisissez une valeur dans le champ **Entrez une valeur de recherche**.
1. Pour supprimer un filtre d'attributs, cliquez sur la **croix** à droite de la zone de filtre d'attributs.
Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.
**Pour filtrer selon une date et une heure de début et de fin**
1. Dans **Filtrer par date et heure**, sélectionnez l'une des options suivantes :
+ **Plage absolue** : vous permet de choisir une heure précise. Passez à l'étape suivante.
+ **Plage relative** : sélectionnée par défaut. Vous permet de choisir une période par rapport à l'heure de début d'un événement Insights. Passez à l'étape 3.
1. Pour définir une **plage absolue**, procédez comme suit.
1. Choisissez le jour où vous souhaitez que la plage horaire commence. Entrez une heure de début le jour sélectionné. Pour saisir une date manuellement, tapez la date dans le format `yyyy/mm/dd`. Les heures de début et de fin utilisent le format horaire de 24 heures, et les valeurs doivent être au format `hh:mm:ss`. Par exemple, pour indiquer que l'heure de début est 18 h 30, entrez **18:30:00**.
1. Choisissez une date de fin pour la plage sur le calendrier, ou spécifiez une date et une heure de fin sous le calendrier. Choisissez **Apply** (Appliquer).
1. Pour définir une **plage relative**, procédez comme suit.
1. Choisissez une période prédéfinie par rapport à l'heure de début des événements Insights. Les plages de temps prédéfinies incluent 30 minutes, 1 heure, 12 heures ou 1 jour. Pour spécifier une plage de temps personnalisée, choisissez **Personnaliser**.
1. Lorsque vous avez défini l'heure relative que vous souhaitez, choisissez **Apply** (Appliquer).
1. Pour supprimer un filtre de plage horaire, cliquez sur l'icône du calendrier à droite de la zone **Filtrer par date et heure**, puis choisissez **Effacer et ignorer**.
## Affichage des détails des événements Insights
1. Choisissez un événement Insights dans la liste des résultats pour en afficher les détails. La page des détails d'un événement Insights présente un graphique de la chronologie d'activité inhabituelle.
![\[Une page détaillée d' CloudTrail Insights présentant une activité d'API inhabituelle.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Passez la souris sur les bandes en surbrillance pour afficher l'heure de début et la durée de chaque événement Insights dans le graphique.
![\[Statistiques d'événement Insights affichées après le passage de la souris sur un événement Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
Les informations suivantes sont présentées dans les **Informations supplémentaires** zone du graphique :
+ **Insight type (Type Insight)**. Il peut s'agir du taux d'appel d'API ou du taux d'erreur de l'API.
+ **Déclencheur**. Il s'agit d'un lien vers l'onglet **des événements Cloudtrail**, qui répertorie les événements de gestion ou de données qui ont été analysés pour déterminer si une activité inhabituelle s'est produite.
+ **Appels d'API par minute** ou **erreurs par minute**
+ **Baseline average (Moyenne de référence)** : le taux typique d'occurrences par minute sur l'API sur laquelle l'événement Insights a été journalisé, tel que mesuré approximativement au cours des sept jours précédents, dans une région spécifique de votre compte.
+ **Insights average (Moyenne Insights)** : le taux des occurrences par minute à cette API ayant déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'appels ou d'erreurs par minute sur l'API qui a déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux d'appels d'API ou d’erreurs par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.
+ **Source de l'événement** Point de terminaison du AWS service sur lequel le nombre inhabituel d'appels ou d'erreurs d'API a été enregistré. Dans l'image précédente, la source est `ec2.amazonaws.com` le point de terminaison du service pour Amazon EC2.
+ **ID de l’événement de démarrage**- ID de l'événement Insights journalisé au début d'une activité inhabituelle.
+ **ID de l’événement de fin**- ID de l'événement Insights journalisé à la fin d'une activité inhabituelle.
+ **ID d'événement partagé** : dans les événements Insights, l'**ID d'événement partagé** est un GUID généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. **ID de l’événement partagé** est commun entre l'événement Insights de début et de fin, et aide à créer une corrélation entre les deux événements pour identifier de manière unique l'activité inhabituelle.
1. Choisir l'onglet **Attributions** pour afficher des informations sur les identités utilisateur, les agents utilisateur et les évènements Insights de taux d’appel API, des codes d'erreur en corrélation avec une activité inhabituelle et de base. Un maximum de cinq identités d'utilisateur, de cinq agents utilisateur et de cinq codes d'erreur sont affichés dans les tableaux de l'onglet **Attributions**, trié par une moyenne du nombre d'activités, dans l'ordre décroissant du plus haut au plus bas.
1. Dans l'onglet **CloudTrail events (Événements CloudTrail)**, affichez les événements associés analysés par CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjà appliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. L'onglet **CloudTrail événements** affiche les événements de CloudTrail gestion ou de données liés à l'API en question survenus entre l'heure de début (moins une minute) et l'heure de fin (plus une minute) de l'événement Insights.
Lorsque vous sélectionnez d'autres événements Insights dans le graphique, les événements affichés dans le tableau **CloudTrail events (Événements CloudTrail)** changent. Ces événements vous aident à effectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons de l'activité inhabituelle de l'API.
Pour afficher tous les CloudTrail événements enregistrés pendant la durée de l'événement Insights, et pas uniquement ceux relatifs à l'API associée, désactivez le filtre.
1. Cliquez sur l'onglet **Insights event record (Enregistrement d'événement Insights)** pour afficher les événements Insights de début et de fin au format JSON.
1. Le choix de la **Event source (Source d'événement)** liée vous renvoie à la page **Insights**, filtrée en fonction de cette source d'événement.
## Zoomer, panoramiquer et télécharger un graphique
Vous pouvez zoomer, panoramiquer et réinitialiser les axes du graphique sur la page de détails de l'événement Insights à l'aide d'une barre d'outils située dans le coin supérieur droit.
![\[Barres d'outils de commande pour télécharger au format PNG, zoomer en avant et en arrière, panoramiquer et réinitialiser des axes.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
De gauche à droite, les boutons de commande de la barre d'outils de graphique permettent d'effectuer les opérations suivantes :
+ **Download plot as a PNG (Télécharger un diagramme au format PNG)** - Téléchargez l'image graphique affichée sur la page des détails et enregistrez-la au format PNG.
+ **Zoom** - Faites glisser la souris pour sélectionner une zone du graphique que vous souhaitez agrandir et voir plus en détail.
+ **Pan (Panoramiquer)** - Déplacez le graphique pour voir les dates ou les heures adjacentes.
+ **Reset axes (Réinitialiser les axes)** - Replacez les axes du graphique dans leur position d'origine, en supprimant les paramètres de zoom et de panoramique.
## Modifier les paramètres de période du graphique
Vous pouvez modifier la période de temps, la durée sélectionnée des événements affichés dans l'axe *x*, qui s'affiche dans le graphique, en choisissant un paramètre dans le coin supérieur droit du graphique.
![\[Contrôle de la période de temps pour un événement Insights.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Téléchargement d'événements Insights
Vous pouvez télécharger l'historique des événements Insights enregistrés en tant que fichier au format JSON ou CSV. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que vous téléchargez.
**Note**
CloudTrail les fichiers d'historique des événements sont des fichiers de données qui contiennent des informations (telles que les noms des ressources) qui peuvent être configurées par des utilisateurs individuels. Certaines données peuvent éventuellement être interprétées comme des commandes dans des programmes utilisés pour lire et analyser ces données (injection CSV). Par exemple, lorsque CloudTrail des événements sont exportés au format CSV et importés dans un tableur, ce programme peut vous avertir de problèmes de sécurité. Comme bonne pratique relative à la sécurité, désactivez les liens ou les macros des fichiers d'historique des événements téléchargés.
1. Spécifiez le filtre et la plage de temps pour les événements que vous souhaitez télécharger. Par exemple, vous pouvez spécifier le nom de l'événement et spécifier une plage horaire pour les 12 dernières heures d'activité. `StartInstances`
1. Choisissez **Téléchargez les événements**, puis **Télécharger au format CSV** ou **Télécharger au format JSON**. Vous êtes invité à choisir un emplacement pour enregistrer le fichier.
**Note**
Le téléchargement pourrait prendre un certain temps. Pour des résultats plus rapides, utilisez un filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant de commencer le processus de téléchargement.
1. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avez spécifiés.
1. Pour annuler votre téléchargement, choisissez **Annuler**. Si vous annulez un téléchargement avant qu'il ne soit terminé, un fichier CSV ou JSON se trouvant sur votre ordinateur local pourrait contenir seulement une partie de vos événements.
# Visualisation des événements Insights pour les sentiers avec le AWS CLI
Cette section explique comment utiliser la `list-insights-data` commande AWS CLI `lookup-events` and pour rechercher un suivi des événements Insights des 90 derniers jours pour trouver un historique avec les événements Insights activés. Pour plus d'informations sur la façon d'activer CloudTrail Insights on a trail, consultez[Enregistrement des événements Insights pour un parcours à l'aide du AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**Note**
Vous ne pouvez pas utiliser la `list-insights-data` commande `lookup-events` ou pour rechercher des événements Insights pour un magasin de données d'événements. Toutefois, CloudTrail Lake propose un certain nombre d'exemples de requêtes pour les magasins de données d'événements Insights. Pour de plus amples informations, veuillez consulter [Affichage d'exemples de requêtes pour les événements Insights](insights-events-view-lake.md#insights-events-lake-queries).
La commande `lookup-events` dispose des options suivantes :
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
La commande `list-insights-data` dispose des options suivantes :
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Pour obtenir des informations générales sur l'utilisation du AWS Command Line Interface, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Conditions préalables](#aws-cli-prerequisites-for-insights)
+ [Obtenir de l’aide de la ligne de commande](#getting-command-line-help-insights)
+ [Rechercher des événements Insights pour des événements de gestion](#looking-up-management-insights-with-the-aws-cli)
+ [Rechercher des événements Insights pour des événements liés aux données](#looking-up-data-insights-with-the-aws-cli)
+ [Spécification du nombre d'événements Insights auxquels les événements de gestion doivent être renvoyés](#specify-the-number-of-management-insights-to-return)
+ [Spécification du nombre d'événements Insights auxquels les événements de données doivent être renvoyés](#specify-the-number-of-data-insights-to-return)
+ [Recherche d'événements Insights pour les événements de gestion par plage horaire](#look-up-management-insights-by-time-range)
+ [Recherche d'événements Insights pour les événements liés aux données par plage horaire](#look-up-data-insights-by-time-range)
+ [Recherche d'événements Insights pour les événements de gestion par attribut](#look-up-management-insights-by-attributes)
+ [Exemples de recherche d’attribut](#attribute-lookup-example-insights)
+ [Rechercher des événements Insights pour des événements liés aux données par dimension](#look-up-data-insights-by-attributes)
+ [Exemples de recherche de dimensions](#dimension-lookup-example-insights)
+ [Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion](#specify-next-page-of-management-results)
+ [Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion](#specify-next-page-of-data-results)
+ [Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de gestion](#json-input-from-file-managemenet-insights)
+ [Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de données](#json-input-from-file-data-insights)
+ [Champs de résultat de la recherche](#view-insights-events-cli-output-fields)
## Conditions préalables
+ Pour exécuter AWS CLI des commandes, vous devez installer le AWS CLI. Pour plus d’informations, consultez la section [Démarrage avec l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assurez-vous que votre AWS CLI version est supérieure à 1.6.6. Pour vérifier la version de la CLI, exécutez **aws --version** sur la ligne de commande.
+ Pour définir le compte, la région et le format de sortie par défaut pour une AWS CLI session, utilisez la **aws configure** commande. Pour plus d’informations, consultez [Configuration de l’interface de ligne de commande AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Pour enregistrer les événements Insights sur le taux d'appels de l'API, le journal doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal doit enregistrer `read` les événements `write` de gestion.
**Note**
Les CloudTrail AWS CLI commandes distinguent les majuscules et minuscules.
## Obtenir de l’aide de la ligne de commande
Pour voir l’aide de la ligne de commande pour `lookup-events`, tapez la commande suivante.
```
aws cloudtrail lookup-events help
```
## Rechercher des événements Insights pour des événements de gestion
Pour voir les 50 derniers événements Insights, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight
```
Un événement renvoyé ressemble à l’exemple suivant,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Pour une explication des champs liés à la recherche dans la sortie, consultez [Champs de résultat de la recherche](#view-insights-events-cli-output-fields) dans cette rubrique. Pour une explication sur les champs de l'événement Insights, consultez [CloudTrail enregistrer le contenu des événements Insights pour les sentiers](cloudtrail-insights-fields-trails.md).
## Rechercher des événements Insights pour des événements liés aux données
Pour voir les 50 derniers événements Insights, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Un événement renvoyé ressemble à l’exemple suivant,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Spécification du nombre d'événements Insights auxquels les événements de gestion doivent être renvoyés
Pour spécifier le nombre d'événements Insights que les événements de gestion doivent renvoyer, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
La valeur par défaut pour**, si elle n'est pas spécifiée, est 50. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Spécification du nombre d'événements Insights auxquels les événements de données doivent être renvoyés
Pour spécifier le nombre d'événements Insights que les événements de données doivent renvoyer, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
La valeur par défaut pour**, si elle n'est pas spécifiée, est 50. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Recherche d'événements Insights pour les événements de gestion par plage horaire
Les événements Insights relatifs aux événements de gestion des 90 derniers jours peuvent être consultés. Pour spécifier une plage de temps, saisissez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou après sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
`--end-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou avant sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés en UTC.
## Recherche d'événements Insights pour les événements liés aux données par plage horaire
Les événements Insights pour les événements de données des 90 derniers jours peuvent être consultés. Pour spécifier une plage de temps, saisissez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou après sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.
`--end-time ` spécifie, en UTC, que seuls les événements Insights qui se produisent au moment indiqué ou avant sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés en UTC.
## Recherche d'événements Insights pour les événements de gestion par attribut
Pour filtrer selon un attribut, tapez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
Vous ne pouvez spécifier qu’une seule paire clé-valeur d’attribut pour chaque commande **lookup-events**. Les valeurs d’événement Insights valides pour `AttributeKey` sont les suivants. Les noms de valeur sont sensibles à la casse.
+ `EventId`
+ `EventName`
+ `EventSource`
La longueur maximale du `AttributeValue` est de 2 000 caractères. Les caractères suivants (« `_` », « ` ` », « `,` », « `\\n` ») comptent pour deux caractères dans la limite de 2000 caractères.
### Exemples de recherche d’attribut
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventName` est `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventId` est `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventSource` est `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Rechercher des événements Insights pour des événements liés aux données par dimension
Pour filtrer par dimension, tapez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
Vous ne pouvez spécifier qu'une seule paire clé-valeur de dimension pour chaque **list-insights-events** commande. Les valeurs d’événement Insights valides pour `DimensionKey` sont les suivants. Les noms de valeur sont sensibles à la casse.
+ `EventId`
+ `EventName`
+ `EventSource`
La longueur maximale du `DimensionValue` est de 2 000 caractères. Les caractères suivants (« `_` », « ` ` », « `,` », « `\\n` ») comptent pour deux caractères dans la limite de 2000 caractères.
### Exemples de recherche de dimensions
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventName` est `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventId` est `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de `EventSource` est `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
Pour obtenir la page de résultats suivante à partir d’une commande `lookup-events`, saisissez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
Dans cette commande, la valeur pour ** est extraite du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez `--next-token` dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Spécification de la page de résultats suivante pour les événements Insights pour les événements de gestion
Pour obtenir la page de résultats suivante à partir d’une commande `list-insights-data`, saisissez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
Dans cette commande, la valeur pour ** est extraite du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez `--next-token` dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de gestion
AWS CLI Pour certains AWS services, il existe deux paramètres, l'un `--generate-cli-skeleton` et l'autre`--cli-input-json`, que vous pouvez utiliser pour générer un modèle JSON, que vous pouvez modifier et utiliser comme entrée pour le `--cli-input-json` paramètre. Cette section décrit comment utiliser ces paramètres avec `aws cloudtrail lookup-events`. Pour plus d'informations, consultez les [AWS CLI squelettes et les fichiers d'entrée](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Pour rechercher des événements Insights en extrayant une entrée JSON d'un fichier**
1. Créer un modèle d’entrée à utiliser avec `lookup-events` en redirigeant la sortie de `--generate-cli-skeleton` vers un fichier, comme dans l’exemple suivant.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
Le fichier modèle généré (dans ce cas, LookupEvents .txt) ressemble à ce qui suit.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L’entrée JSON doit contenir uniquement des valeurs qui sont spécifiées.
**Important**
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Pour utiliser le fichier modifié en entrée, utilisez la syntaxe `--cli-input-json file://`**, comme dans l'exemple suivant.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**Note**
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que `--cli-input-json`.
## Obtenir une entrée JSON à partir d'un fichier pour les événements Insights pour les événements de données
AWS CLI Pour certains AWS services, il existe deux paramètres, l'un `--generate-cli-skeleton` et l'autre`--cli-input-json`, que vous pouvez utiliser pour générer un modèle JSON, que vous pouvez modifier et utiliser comme entrée pour le `--cli-input-json` paramètre. Cette section décrit comment utiliser ces paramètres avec `aws cloudtrail list-insights-data`. Pour plus d'informations, consultez les [AWS CLI squelettes et les fichiers d'entrée](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Pour rechercher des événements Insights en extrayant une entrée JSON d'un fichier**
1. Créer un modèle d’entrée à utiliser avec `list-insights-data` en redirigeant la sortie de `--generate-cli-skeleton` vers un fichier, comme dans l’exemple suivant.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
Le fichier modèle généré (dans ce cas, ListInsightsData .txt) ressemble à ce qui suit.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L’entrée JSON doit contenir uniquement des valeurs qui sont spécifiées.
**Important**
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Pour utiliser le fichier modifié en entrée, utilisez la syntaxe `--cli-input-json file://`**, comme dans l'exemple suivant.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**Note**
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que `--cli-input-json`.
## Champs de résultat de la recherche
**Événements**
Liste des événements de recherche basée sur l’attribut de recherche et la plage de temps qui ont été spécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque entrée contient des informations sur la demande de recherche et inclut une représentation sous forme de chaîne de l' CloudTrail événement récupéré.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.
**CloudTrailEvent**
Chaîne JSON qui contient une représentation d’objet de l’événement renvoyé. Pour plus d’informations sur chacun des éléments renvoyés, consultez [Contenu du corps d’un enregistrement](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Chaîne qui contient le GUID de l’événement retourné.
**EventName**
Chaîne qui contient le nom de l’événement renvoyé.
**EventSource**
Le AWS service auquel la demande a été adressée.
**EventTime**
Date et heure, au format de temps UNIX, de l’événement.
**Ressources**
Liste de ressources référencées par l’événement qui a été renvoyé. Chaque entrée de ressource spécifie un type de ressource et un nom de ressource.
**ResourceName**
Chaîne qui contient le nom de la ressource référencée par l’événement.
**ResourceType**
Chaîne qui contient le type d’une ressource référencée par l’événement. Lorsque le type de ressource ne peut pas être déterminé, la valeur null est renvoyée.
**Username**
Chaîne qui contient le nom d’utilisateur du compte pour l’événement renvoyé.
**NextToken**
Chaîne pour obtenir la page de résultats suivante d’une commande `lookup-events` précédente. Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d’origine. Si aucune entrée `NextToken` n’apparaît dans la sortie, cela signifie qu’il n’y a aucun résultat à renvoyer.
Pour plus d'informations sur CloudTrail les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md) ce guide.
# Affichage des événements Insights pour les entrepôts de données d'événement
Cette section décrit comment afficher les événements Insights pour un magasin de données d'événements Insights en consultant le tableau de **bord des événements Insights** et en exécutant des exemples de requêtes. Pour plus d'informations sur la façon d'activer CloudTrail Insights sur un magasin de données d'événements, consultez[Activation d' CloudTrail Insights sur un magasin de données d'événements existant à l'aide de la console](insights-events-enable.md#insights-events-enable-lake).
CloudTrail les requêtes sont facturées en fonction de la quantité de données numérisées. Pour aider à contrôler les coûts, nous vous recommandons de limiter les requêtes en ajoutant des horodatages `eventTime` de début et de fin aux requêtes. Pour plus d'informations sur la tarification CloudTrail, consultez [Tarification AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Pour une description des champs d'enregistrement des événements Insights pour les magasins de données d'événements, voir[CloudTrail enregistrer le contenu des événements Insights pour les magasins de données d'événements](cloudtrail-insights-fields-lake.md).
**Topics**
+ [Consulter le tableau de bord Insights d'une banque de données d'événements](#insights-events-view-lake-dashboard)
+ [Affichage d'exemples de requêtes pour les événements Insights](#insights-events-lake-queries)
## Consulter le tableau de bord Insights d'une banque de données d'événements
Le tableau de **bord des événements Insights** indique la proportion globale d'événements Insights par type d'Insights, la proportion d'événements Insights par type d'Insights pour les principaux utilisateurs et services, et le nombre d'événements Insights par jour. Le tableau de bord inclut également un widget qui répertorie jusqu'à 30 jours d'événements Insights.
**Note**
Une fois que vous avez activé CloudTrail Insights pour la première fois dans le magasin de données d'événements source, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période. Pour de plus amples informations, veuillez consulter [Présentation d'événements Insights](insights-events-understanding.md).
Le tableau de **bord des événements Insights** affiche uniquement les informations relatives aux événements Insights collectés par le magasin de données d'événements sélectionné, qui sont déterminées par la configuration du magasin de données d'événements source. Par exemple, si vous configurez le magasin de données d’événement source pour activer les événements Insights sur `ApiCallRateInsight`, mais pas sur `ApiErrorRateInsight`, vous ne verrez aucune information sur les événements Insights sur `ApiErrorRateInsight`.
**Pour consulter le tableau de bord des événements Insights**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation de gauche, sous **Lake**, choisissez **Tableau de bord**.
1. Choisissez l'onglet **Tableaux de bord gérés et personnalisés**.
1. Dans les **tableaux de bord AWS gérés**, choisissez le tableau de **bord des événements Insights**.
1. Choisissez votre banque de données d'événements Insights.
1. Choisissez de filtrer les données du tableau de bord par **Plage absolue** ou **Plage relative**. Choisissez **Plage absolue** pour sélectionner une plage de dates et d'heures spécifique. Choisissez **Plage relative** pour sélectionner une plage de temps prédéfinie ou une plage personnalisée. Par défaut, le tableau de bord affiche les données des événements des dernières 24 heures.
**Note**
CloudTrail Les requêtes Lake entraînent des coûts en fonction de la quantité de données numérisées. Pour aider à contrôler les coûts, vous pouvez filtrer sur une plage de temps plus restreinte. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
1. Cliquez sur l'icône d'actualisation pour remplir les graphiques des widgets du tableau de bord. Chaque widget indique le statut de l'actualisation.
Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter [CloudTrail Tableaux de bord du lac](lake-dashboard.md).
## Affichage d'exemples de requêtes pour les événements Insights
La CloudTrail console fournit un certain nombre d'exemples de requêtes pour les événements Insights qui peuvent vous aider à commencer à écrire vos propres requêtes.
**Pour consulter des exemples de requêtes pour des événements Insights**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Requête**.
1. Sur la page **Requête**, sélectionnez l’onglet **Exemples de requêtes**.
1. Recherchez des requêtes relatives aux événements Insights. Choisissez le **nom de la requête** pour ouvrir la requête dans l'onglet **Editeur**.
![\[L'exemple montre des exemples de requêtes pour des événements Insights\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. Dans l'onglet **Éditeur**, choisissez le magasin de données d'événements Insights. Lorsque vous choisissez le magasin de données d'événements dans la liste, l'ID du magasin de données d'événements est CloudTrail automatiquement renseigné dans la `FROM` ligne de l'éditeur de requêtes.
1. Choisissez **Exécuter** pour exécuter la requête. Une fois la requête terminée, vous pouvez afficher le résultat de la commande et les résultats de la requête.
L'onglet **Sortie de commande** affiche les métadonnées relatives à votre requête, telles que le succès de la requête, le nombre d'enregistrements correspondants et la durée d'exécution de la requête.
L'onglet **Résultats de la requête** affiche les données d'événements de l'entrepôt de données d'événement sélectionné qui correspondent à votre requête.
Pour plus d'informations sur l'édition d'une requête, veuillez consulter [Création ou modification d'une requête à l'aide de la CloudTrail console](query-create-edit-query.md). Pour plus d'informations sur l'exécution d'une requête et l'enregistrement des résultats, veuillez consulter [Exécuter une requête et enregistrer les résultats de la requête avec la console](query-run-query.md).