Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exploration des détails d’activité sur un volet de profil
<a name="profile-panel-drilldown"></a>

Au cours d’une enquête, vous souhaiterez peut-être approfondir le schéma d’activité d’une entité.

Dans les volets de profil suivants, vous pouvez afficher un résumé des détails de l’activité :
+ **Volume global d’appels d’API**, à l’exception du volet de profil sur le profil de l’agent utilisateur
+ **Géolocalisations nouvellement observées**
+ **Volume global de flux VPC**
+ **Volume de flux VPC vers et depuis l’adresse IP de résultat**, pour les résultats associés à une adresse IP unique
+ **Détails du conteneur**
+ **Volume du flux VPC** pour les clusters
+ **Activité globale de l’API Kubernetes**

Les détails de l’activité peuvent répondre aux types de questions suivants :
+ Quelles adresses IP ont été utilisées ?
+ Où se trouvaient ces adresses IP ?
+ Quels appels d’API ont été effectués par chaque adresse IP, et à partir de quels services ont-ils effectué ces appels ?
+ Quels principes ou identifiants de clé d'accès (AKIDs) ont été utilisés pour passer les appels ?
+ Quelles ressources ont été utilisées pour passer ces appels ?
+ Combien d’appels ont été passés ? Combien ont abouti et ont échoué ?
+ Quel volume de données du journal de flux VPC a été envoyé vers ou depuis chaque adresse IP ?
+ Quels conteneurs étaient actifs pour un cluster, une image ou un pod spécifique ?

**Topics**
+ [Détails de l’activité pour le volume global d’appels d’API](profile-panel-drilldown-overall-api-volume.md)
+ [Détails de l’activité pour une géolocalisation](profile-panel-drilldown-new-geolocations.md)
+ [Détails de l’activité pour le volume global de flux VPC](profile-panel-drilldown-overall-vpc-volume.md)
+ [Activité globale de l’API Kubernetes impliquant le cluster EKS](profile-panel-drilldown-kubernetes-api-volume.md)

# Détails de l’activité pour le volume global d’appels d’API
<a name="profile-panel-drilldown-overall-api-volume"></a>

Les détails d’activité pour **Volume d’appels d’API global** indiquent les appels d’API qui ont été émis au cours d’une période sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

Notez que Detective a commencé à stocker et à afficher le nom du service pour les appels d’API le 14 juillet 2021. Cette date est mise en évidence sur la chronologie du volet de profil. Pour les activités effectuées avant cette date, le nom du service est **Service inconnu**.

## Contenu des détails de l’activité (utilisateurs, rôles, comptes, sessions de rôle, instances EC2, compartiments S3)
<a name="drilldown-api-volume-content"></a>

Pour les utilisateurs IAM, les rôles IAM, les comptes, les sessions de rôle, les instances EC2 et les compartiments S3, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée.

  Pour les compartiments S3, les informations reflètent les appels d’API qui ont été effectués vers le compartiment S3.

  Les appels d’API sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués. L’onglet **Adresses IP observées** indique également l’emplacement de chaque adresse IP.
+ Chaque entrée contient des informations sur les personnes qui ont passé les appels. Pour les comptes, les détails de l’activité identifient les utilisateurs ou les rôles. Pour les rôles, les détails de l’activité identifient les sessions de rôles. Pour les utilisateurs et les sessions de rôle, les détails de l'activité identifient les identifiants de clé d'accès (AKIDs).

  Notez qu'à compter du 14 juillet 2021, pour les profils de compte, les détails de l'activité indiquent les utilisateurs ou les rôles au lieu de AKIDs. Pour les profils de rôle, les détails de l'activité indiquent les sessions de rôle au lieu de AKIDs. Pour les activités qui ont lieu avant le 14 juillet 2021, l’appelant est répertorié comme **ressource inconnue**.

Les détails de l’activité contiennent les onglets suivants :

**Adresses IP observées**  
Affiche initialement la liste des adresses IP utilisées pour émettre des appels d’API.  
Vous pouvez développer chaque adresse IP pour afficher la liste des appels d’API émis à partir de cette adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont appelés. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez ensuite développer chaque appel d’API pour afficher la liste des appelants provenant de cette adresse IP. Selon le profil, l’appelant peut être un utilisateur, un rôle, une session de rôle ou un AKID.  

![\[Vue de l'onglet Adresses IP observées du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des adresses IP, des appels d'API et AKIDs. Les appels d’API sont regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**Méthode d’API par service**  
Affiche initialement la liste des appels d’API émis. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez développer chaque méthode d’API pour afficher la liste des adresses IP à partir desquelles les appels ont été émis.  
Vous pouvez ensuite développer chaque adresse IP pour afficher la liste de celles AKIDs qui ont émis cet appel d'API à partir de cette adresse IP.  

![\[Vue de la méthode d'API par onglet de service du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des appels d'API, des adresses IP et AKIDs. Les appels d’API sont regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**ID de ressource ou de clé d’accès**  
Affiche initialement la liste des utilisateurs, des rôles, des sessions de rôle ou AKIDs qui ont été utilisés pour émettre des appels d'API.  
Vous pouvez développer chaque appelant pour afficher la liste des adresses IP à partir desquelles il a émis des appels d’API.  
Vous pouvez ensuite développer chaque adresse IP pour afficher la liste des appels d’API émis à partir de cette adresse IP par cet appelant. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Vue de l'onglet Ressources du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des AKIDs adresses IP et des appels d'API regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Contenu des détails de l’activité (adresses IP)
<a name="drilldown-api-volume-content-ip"></a>

Pour les adresses IP, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis et échoués.

Les détails de l’activité contiennent les onglets suivants :

**Ressource**  
Affiche initialement la liste des ressources qui ont émis des appels d’API à partir de l’adresse IP.  
Pour chaque ressource, la liste inclut le nom, le type et le compte AWS de la ressource.  
Vous pouvez développer chaque ressource pour afficher la liste des appels d’API émis par la ressource à partir de l’adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Affichage de l’onglet Ressource des détails de l’activité sur le volet de profil du volume global d’appels d’API pour une adresse IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**Méthode d’API par service**  
Affiche initialement la liste des appels d’API émis. Les appels d’API sont regroupés en fonction des services qui les ont émis. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez développer chaque appel d’API pour afficher la liste des ressources qui ont émis l’appel d’API à partir de l’adresse IP pendant la période sélectionnée.  

![\[Affichage de la méthode d’API par onglet de service des détails de l’activité du volet de profil du volume global d’appels d’API pour une adresse IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## Tri des détails de l’activité
<a name="drilldown-api-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-api-volume-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

**Pour ajouter un filtre**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles. Par exemple, lorsque vous filtrez par méthode d’API, si vous filtrez par **Instance**, les résultats incluent toute opération d’API dont le nom `Instance` figure dans son nom. Par conséquent, `ListInstanceAssociations` et `UpdateInstanceInformation` correspondraient tous deux.

   Pour les noms de service, les méthodes d’API et les adresses IP, vous pouvez spécifier une valeur ou choisir un filtre intégré.

   Pour **Sous-chaînes d’API communes**, choisissez la sous-chaîne qui représente le type d’opération, telle que `List`, `Create` ou `Delete`. Le nom de chaque méthode d’API commence par le type d’opération.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. **Choisissez une option booléenne *Resource* ou *Service* **: Contient** ou \$1 : Ne contient pas** ; ou *API method* ou *IP address* **= Est égal à** ou **\$1 : N'équivaut pas** à définir des filtres.  
![\[Liste des filtres disponibles pour le filtre des détails de l'activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/api-volume-search.png)

Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-api-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Fenêtre temporelle mise en évidence pour le volet de profil du volume global d’appels d’API\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Interrogation des journaux bruts
<a name="query-raw-logs"></a>

Amazon Detective est intégré à Amazon Security Lake, ce qui signifie que vous pouvez interroger et récupérer les données brutes des journaux stockées par Security Lake. Pour plus de détails sur cette intégration, consultez [Intégration d'Amazon Detective à Amazon Security Lake](securitylake-integration.md).

Grâce à cette intégration, vous pouvez collecter et interroger des journaux et des événements provenant des sources suivantes, prises en charge de manière native par Security Lake.
+ AWS CloudTrail événements de gestion version 1.0 et versions ultérieures
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs version 1.0 et ultérieure
+ Journal d'audit Amazon Elastic Kubernetes Service (Amazon EKS) version 2.0

**Note**  
L’interrogation des journaux de données brutes dans Detective n’entraîne pas de frais supplémentaires. Les frais d'utilisation des autres AWS services, y compris Amazon Athena, s'appliquent toujours aux tarifs publiés.

**Pour interroger des journaux bruts**

1. Choisissez les **détails d’affichage pour la durée de validité**. 

1. À partir de là, vous pouvez commencer à **interroger les journaux bruts**. 

1. Dans le tableau d’**aperçu des journaux bruts**, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena. 

   Dans le tableau d’interrogation des journaux bruts, vous pouvez **annuler la demande de requête**, **afficher les résultats dans Amazon Athena** et **télécharger les résultats** sous la forme d’un fichier de valeurs séparées par des virgules (.csv). 

Si vous voyez des journaux dans Detective, mais que la requête n’a renvoyé aucun résultat, les raisons peuvent en être les suivantes.
+ Les journaux bruts peuvent être disponibles dans Detective avant d’apparaître dans les tableaux des journaux de Security Lake. Réessayez ultérieurement.
+ Les journaux peuvent ne pas être présents dans Security Lake. Si vous avez attendu pendant une longue période, cela indique que les journaux sont absents de Security Lake. Contactez votre administrateur Security Lake pour résoudre le problème.

# Détails de l’activité pour une géolocalisation
<a name="profile-panel-drilldown-new-geolocations"></a>

Les détails de l’activité pour les **nouvelles géolocalisations observées** indiquent les appels d’API émis à partir d’une géolocalisation pendant la période couverte par la durée de validité. Les appels d’API incluent tous les appels émis depuis la géolocalisation. Ils ne se limitent pas aux appels utilisant l’entité de résultat ou de profil. Pour les compartiments S3, les appels d’activité sont des appels d’API adressés au compartiment S3.

Detective détermine l'emplacement des demandes à l'aide des bases de MaxMind données GeoIP. MaxMind fait état d'une très grande précision de ses données au niveau des pays, bien que la précision varie en fonction de facteurs tels que le pays et le type de propriété intellectuelle. Pour plus d'informations MaxMind, consultez la section [Géolocalisation MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si vous pensez que l'une des données GeoIP est incorrecte, vous pouvez envoyer une demande de correction à Maxmind à l'adresse [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.

Pour afficher les détails de l’activité, effectuez l’une des actions suivantes :
+ Sur la carte, choisissez une géolocalisation.
+ Dans la liste, choisissez **Détails** pour une géolocalisation.

Les détails de l’activité remplacent la liste de géolocalisation. Pour revenir à la liste de géolocalisation, choisissez **Retour à tous les résultats**.

Notez que Detective a commencé à stocker et à afficher le nom du service pour les appels d’API le 14 juillet 2021. Pour les activités effectuées avant cette date, le nom du service est **Service inconnu**.

## Détails du contenu de l’activité
<a name="profile-panel-drilldown-geolocation-content"></a>

Chaque onglet fournit des informations sur tous les appels d’API émis à partir de la géolocalisation pendant la période couverte par la durée de validité.

Pour chaque adresse IP, ressource et méthode d’API, la liste indique le nombre d’appels d’API réussis et échoués.

Les détails de l’activité contiennent les onglets suivants :

**Adresses IP observées**  
Affiche initialement la liste des adresses IP utilisées pour émettre des appels d’API à partir de la géolocalisation sélectionnée.  
Vous pouvez développer chaque adresse IP pour afficher les ressources qui ont émis des appels d’API à partir de cette adresse IP. La liste affiche le nom de la ressource. Pour voir l’ID principal, passez le curseur sur le nom.  
Vous pouvez ensuite développer chaque ressource pour afficher les appels d’API spécifiques émis par cette ressource à partir de cette adresse IP. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  

![\[Vue de l’onglet Adresses IP observées du volet de géolocalisations récemment observées avec une entrée développée pour afficher la hiérarchie des adresses IP, des ressources et des méthodes d’API.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Ressource**  
Affiche initialement la liste des ressources qui ont émis des appels d’API à partir de la géolocalisation sélectionnée. La liste affiche le nom de la ressource. Pour voir l’identifiant principal, faites une pause sur le nom. Pour chaque ressource, l’onglet **Ressource** affiche également les Compte AWS associés.  
Vous pouvez développer chaque utilisateur ou rôle pour afficher la liste des appels d’API émis par cette ressource. Les appels d’API sont regroupés en fonction des services qui les ont émis. Pour les compartiments S3, le service est toujours Amazon S3. Si Detective ne parvient pas à déterminer le service à l’origine de l’appel, celui-ci est répertorié sous **Service inconnu**.  
Vous pouvez ensuite développer chaque appel d’API pour afficher la liste des adresses IP à partir desquelles la ressource a émis l’appel d’API.  

![\[Vue de l’onglet Ressources du volet des géolocalisations récemment observées, avec une entrée développée pour afficher la hiérarchie des utilisateurs ou des rôles, les méthodes d’API et les adresses IP.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## Tri des détails de l’activité
<a name="drilldown-geolocation-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-geolocation-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

**Pour ajouter un filtre**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles. Par exemple, lorsque vous filtrez par méthode d’API, si vous filtrez par **Instance**, les résultats incluent toute opération d’API dont le nom `Instance` figure dans son nom. Par conséquent, `ListInstanceAssociations` et `UpdateInstanceInformation` correspondraient tous deux.

   Pour les noms de service, les méthodes d’API et les adresses IP, vous pouvez spécifier une valeur ou choisir un filtre intégré.

   Pour **Sous-chaînes d’API communes**, choisissez la sous-chaîne qui représente le type d’opération, telle que `List`, `Create` ou `Delete`. Le nom de chaque méthode d’API commence par le type d’opération.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. Si vous disposez de plusieurs filtres, choisissez une option booléenne pour définir la manière dont ils sont connectés.  
![\[Liste des connecteurs disponibles entre les filtres individuels pour le filtre des détails de l’activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

1. Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

# Détails de l’activité pour le volume global de flux VPC
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

Pour une instance EC2, les détails de l’activité pour le **volume global de flux VPC** indiquent les interactions entre l’instance EC2 et les adresses IP pendant une plage de temps sélectionnée.

Pour un pod Kubernetes, le **volume global de flux VPC** affiche le volume global d’octets entrant et sortant de l’adresse IP attribuée au pod Kubernetes pour toutes les adresses IP de destination. L’adresse IP du pod Kubernetes n’est pas unique quand `hostNetwork:true`. Dans ce cas, le volet affiche le trafic vers d’autres pods ayant la même configuration et le nœud qui les héberge.

Pour une adresse IP, les détails de l’activité pour le **volume global de flux VPC** indiquent les interactions entre l’adresse IP et les instances EC2 au cours d’une plage de temps sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

## Détails du contenu de l’activité
<a name="drilldown-vpc-volume-content"></a>

Le contenu reflète l’activité au cours de la période sélectionnée.

Pour une instance EC2, les détails de l’activité contiennent une entrée pour chaque combinaison unique d’adresse IP, de port local, de port distant, de protocole et de direction.

Pour une adresse IP, les détails de l’activité contiennent une entrée pour chaque combinaison unique d’instance EC2, de port local, de port distant, de protocole et de direction.

Chaque entrée indique le volume du trafic entrant, le volume du trafic sortant et indique si la demande d’accès a été acceptée ou rejetée. Sur les profils de résultats, la colonne **Annotations** indique à quel moment une adresse IP est liée au résultat en cours.

![\[Détails de l’activité pour le volet de profil de volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## Tri des détails de l’activité
<a name="drilldown-vpc-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes du tableau.

Par défaut, les détails de l’activité sont d’abord triés en fonction des annotations, puis du trafic entrant.

## Filtrer les détails de l’activité
<a name="drilldown-vpc-volume-filter"></a>

Pour vous concentrer sur une activité spécifique, vous pouvez filtrer les détails de l’activité selon les valeurs suivantes :
+ Adresse IP ou instance EC2
+ Port local ou distant
+ Direction
+  Protocole
+ Si la demande a été acceptée ou rejetée

**Pour ajouter et supprimer des filtres**

1. Choisissez la zone de filtre.

1. Dans **Propriétés**, choisissez la propriété à utiliser pour le filtrage.

1. Indiquez la valeur à utiliser pour le filtrage. Le filtre prend en charge les valeurs partielles.

   Pour filtrer par adresse IP, vous pouvez soit spécifier une valeur, soit choisir un filtre intégré.

   Pour les **modèles CIDR**, vous pouvez choisir d’inclure uniquement les adresses IP publiques, les adresses IP privées ou les adresses IP correspondant à un modèle CIDR spécifique.

1. Si vous disposez de plusieurs filtres, choisissez une option booléenne pour définir la manière dont ils sont connectés.  
![\[Liste des connecteurs disponibles entre les filtres individuels pour le filtre des détails de l’activité.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. Pour supprimer une balise, choisissez le **x** situé dans l’angle supérieur droit de la balise.

1. Pour effacer tous les filtres, choisissez **Supprimer le filtre**.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-vpc-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Fenêtre temporelle surlignée pour les détails de l’activité sur le volet de profil du volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## Affichage du volume de trafic pour les lignes sélectionnées
<a name="drilldown-vpc-volume-chart-details"></a>

Lorsque vous identifiez les lignes qui présentent un intérêt, vous pouvez afficher dans les graphiques principaux le volume de trafic au fil du temps pour ces lignes.

Pour chaque ligne à ajouter aux graphiques, cochez la case correspondante. Pour chaque ligne sélectionnée, le volume est affiché sous forme de ligne sur les graphiques entrants ou sortants.

![\[Le trafic correspondant à l’activité sélectionnée détaille les lignes affichées sur les graphiques principaux du volet de profil de volume global de flux VPC.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


Pour vous concentrer sur le volume de trafic pour les entrées sélectionnées, vous pouvez masquer le volume global. Pour afficher ou masquer le volume de trafic global, activez l’option **Trafic global**.

![\[Le trafic correspondant à l’activité sélectionnée détaille les lignes affichées sur les graphiques principaux du volet de profil de volume global de flux VPC. Le trafic global est masqué.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## Affichage du trafic de flux VPC pour les clusters EKS
<a name="display-traffic-for-eks-clusters"></a>

Detective a une visibilité sur vos journaux de flux Amazon Virtual Private Cloud (Amazon VPC), qui représentent le trafic qui traverse vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). Pour les ressources Kubernetes, le contenu des journaux de flux VPC dépend de l’interface réseau de conteneurs (CNI) déployée dans le cluster EKS.

Un cluster EKS avec une configuration par défaut utilise le plug-in CNI Amazon VPC. Pour plus de détails, consultez [Managing VPC CNI dans](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html) le guide de l’utilisateur **Amazon EKS**. Le plug-in Amazon VPC CNI envoie le trafic interne avec l’adresse IP du pod et traduit l’adresse IP source en adresse IP du nœud pour les communications externes. Detective peut capturer et corréler le trafic interne au pod approprié, mais il ne peut pas faire de même pour le trafic externe.

Si vous souhaitez que Detective ait une visibilité sur le trafic externe de vos pods, activez la traduction d’adresses réseau source externe (SNAT). L’activation du SNAT comporte des limites et des inconvénients. Pour plus de détails, consultez la section [SNAT pour les pods](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html) dans le **guide de l’utilisateur Amazon EKS**.

Si vous utilisez un autre plug-in CNI, Detective dispose d’une visibilité limitée aux pods dotés de la configuration `hostNetwork:true`. Pour ces pods, le volet **VPC Flow** affiche tout le trafic vers l’adresse IP du pod. Cela inclut le trafic vers le nœud hôte et tout pod du nœud contenant la configuration `hostNetwork:true`.

Detective affiche le trafic dans le volet de **flux VPC** d’un pod EKS pour les configurations de cluster EKS suivantes :
+ Dans un cluster doté du plug-in Amazon VPC CNI, tout pod doté de la configuration `hostNetwork:false` envoie du trafic à l’intérieur du VPC du cluster.
+ Dans un cluster doté du plug-in Amazon VPC CNI et de la configuration `AWS_VPC_K8S_CNI_EXTERNALSNAT=true`, tout pod `hostNetwork:false` envoyant du trafic en dehors du VPC du cluster.
+ N’importe quel pod avec cette configuration `hostNetwork:true`. Le trafic provenant du nœud est mélangé au trafic provenant d’autres pods dotés de cette configuration `hostNetwork:true`.

Detective n’affiche pas le trafic dans le volet de **flux VPC** pour :
+ Dans un cluster doté du plug-in Amazon VPC CNI et de la configuration `AWS_VPC_K8S_CNI_EXTERNALSNAT=false`, tout pod doté de la configuration `hostNetwork:false` envoie du trafic en dehors du VPC du cluster.
+ Dans un cluster sans le plugin CNI Amazon VPC pour Kubernetes, n’importe quel pod avec la configuration `hostNetwork:false`.
+ Tout pod envoyant le trafic vers un autre pod hébergé sur le même nœud.

## Afficher le trafic de flux VPC pour Amazon partagé VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective a une visibilité sur vos journaux de flux Amazon Virtual Private Cloud (Amazon VPC) à partager : VPCs
+ Si un compte membre Detective possède un Amazon VPC partagé et que d’autres comptes non Detective l’utilisent, Detective surveille tout le trafic provenant de ce VPC et fournit une visualisation de l’ensemble du flux de trafic au sein du VPC. 
+ Si vous disposez d’une instance Amazon EC2 au sein d’un Amazon VPC partagé et que le propriétaire du VPC partagé n’est pas membre de Detective, Detective ne surveillera aucun trafic provenant du VPC. Si vous souhaitez visualiser le flux de trafic au sein du VPC, vous devez ajouter le propriétaire de l’Amazon VPC en tant que membre de votre graphique Detective.

# Activité globale de l’API Kubernetes impliquant le cluster EKS
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

Les détails d’activité pour l’**activité API Kubernetes globale impliquant le cluster EKS** indiquent le nombre d’appels d’API Kubernetes réussis et échoués qui ont été émis au cours d’une période sélectionnée.

Pour afficher les détails de l’activité pour un seul intervalle de temps, choisissez l’intervalle de temps sur le graphique.

Pour afficher les détails de l’activité pour la durée de validité actuelle, choisissez **Afficher les détails pour la durée de validité**.

## Contenu des détails de l’activité (cluster, pod, utilisateur, rôle, session de rôle)
<a name="drilldown-kubernetes-api-volume-content"></a>

Pour un cluster, un pod, un utilisateur, un rôle ou une session de rôle, les détails de l’activité contiennent les informations suivantes :
+ Chaque onglet fournit des informations sur l’ensemble des appels d’API émis pendant la période sélectionnée.

  Pour les clusters, les appels d’API se sont produits à l’intérieur du cluster.

  Pour les pods, les appels d’API ciblaient le pod.

  Pour les utilisateurs, les rôles et les sessions de rôle, les appels d’API ont été émis par des utilisateurs Kubernetes qui se sont authentifiés en tant qu’utilisateur, rôle ou session de rôle.
+ Pour chaque entrée, les détails de l’activité indiquent le nombre d’appels réussis, échoués, non autorisés et interdits.
+ Les informations incluent l’adresse IP, le type d’appel Kubernetes, l’entité affectée par l’appel et le sujet (compte de service ou utilisateur) qui a effectué l’appel. À partir des détails de l’activité, vous pouvez accéder aux profils de l’adresse IP, du sujet et de l’entité concernée.

Les détails de l’activité contiennent les onglets suivants :

**Sujet**  
Affiche initialement la liste des comptes de service et des utilisateurs utilisés pour effectuer des appels d’API.  
Vous pouvez développer chaque compte de service et utilisateur pour afficher la liste des adresses IP à partir desquelles le compte ou l’utilisateur a effectué des appels d’API.  
Vous pouvez ensuite développer chaque adresse IP pour afficher les appels d’API Kubernetes effectués par ce compte ou cet utilisateur à partir de cette adresse IP.   
Développez l’appel d’API Kubernetes pour voir le `requestURI `afin d’identifier l’action qui a été effectuée.  

![\[Vue de l’onglet Sujets du volet de volume global des appels d’API Kubernetes, avec une entrée développée pour afficher la hiérarchie des adresses IP et des appels d’API.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/kube-subject-drilldown.png)


**Adresse IP**  
Affiche initialement la liste des adresses IP à partir desquelles les appels d’API ont été effectués.  
Vous pouvez développer chaque appel pour afficher la liste des sujets Kubernetes (comptes de service et utilisateurs) qui ont effectué l’appel.  
Vous pouvez ensuite étendre chaque sujet à une liste des types d’appels d’API effectués par le sujet pendant la durée de validité.  
Développez le type d’appel d’API pour voir l’élément requestURI afin d’identifier l’action effectuée.  

![\[Vue de l'onglet Adresse IP du panneau de volume global des appels de l'API Kubernetes, avec une entrée étendue pour afficher la hiérarchie des appels d'API, des adresses IP et. AKIDs Les appels d’API sont regroupés par service\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/kube-ip-drilldown.png)


**Appel d’API Kubernetes**  
Affiche initialement la liste des verbes d’appel d’API Kubernetes.  
Vous pouvez développer chaque verbe d'API pour afficher la demande URIs associée à cette action.  
Vous pouvez ensuite développer chaque élément requestURI pour voir le sujet Kubernetes (comptes de service et utilisateurs) qui a effectué l’appel d’API.  
Développez le sujet pour voir quel sujet IPs a été utilisé pour effectuer l'appel d'API.  

![\[Vue de l'onglet Ressources du panneau Volume global des appels d'API, avec une entrée développée pour afficher la hiérarchie des AKIDs adresses IP et des appels d'API regroupés par service.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## Tri des détails de l’activité
<a name="drilldown-kubernetes-api-volume-sort"></a>

Vous pouvez trier les détails de l’activité selon l’une des colonnes de la liste.

Lorsque vous effectuez un tri à l’aide de la première colonne, seule la liste de niveau supérieur est triée. Les listes de niveau inférieur sont toujours triées en fonction du nombre d’appels d’API réussis.

## Filtrer les détails de l’activité
<a name="drilldown-kubernetes-api-volume-filter"></a>

Vous pouvez utiliser les options de filtrage pour vous concentrer sur des sous-ensembles ou des aspects spécifiques de l’activité représentés dans les détails de l’activité.

Dans tous les onglets, vous pouvez filtrer la liste en fonction de l’une des valeurs de la première colonne.

## Sélection de la plage de temps pour les détails de l’activité
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 Lorsque vous affichez les détails de l’activité pour la première fois, la plage de temps correspond soit à la durée de validité, soit à un intervalle de temps sélectionné. Vous pouvez modifier la plage horaire pour les détails de l’activité.

**Pour modifier la plage de temps pour les détails de l’activité**

1. Choisissez **Modifier**.

1. Dans la **fenêtre de modification de l’heure**, choisissez l’heure de début et de fin à utiliser.

   Pour définir la fenêtre temporelle sur la durée de validité par défaut du profil, choisissez **Définir sur la durée de validité par défaut**.

1. Choisissez **Mettre à jour la période**.

La plage de temps pour les détails de l’activité est mise en évidence sur les graphiques du volet de profil.

![\[Période mise en évidence dans le volet de profil Volume global des appels d’API\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## Utilisation des instructions du volet de profil lors d’une enquête
<a name="profile-panel-guidance"></a>

Chaque volet de profil est conçu pour fournir des réponses à des questions spécifiques qui se posent lorsque vous menez une enquête et analysez l’activité des entités associées.

Les conseils fournis pour chaque volet de profil vous aident à trouver ces réponses.

Les instructions du volet de profil commencent par une seule phrase sur le volet lui-même. Ce guide fournit une brève explication des données présentées sur le volet.

Pour afficher des instructions plus détaillées pour un volet, choisissez **Plus d’informations** dans l’en-tête du volet. Ces instructions étendues apparaissent dans le volet d’aide.

Le guide peut fournir les types d’informations suivants :
+ Vue d’ensemble du contenu du panel
+ Comment utiliser le volet pour répondre aux questions pertinentes
+ Prochaines étapes suggérées en fonction des réponses