翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# プロファイルパネルにおけるアクティビティの詳細の確認
<a name="profile-panel-drilldown"></a>

調査中に、エンティティのアクティビティのパターンをさらに調査したい場合があります。

次のプロファイルパネルでは、アクティビティの詳細の概要を表示できます。
+ [**全体的な API コール量**](ユーザーエージェントプロファイルのプロファイルパネルを除く)
+ **新たに観察された位置情報**
+ [**Overall VPC flow volume**] (全体的な VPC のフロー量)
+ [**VPC flow volume to and from the finding IP address**] (検出結果 IP アドレスの間で送受信される VPC フロー量) (単一の IP アドレスに関連付けられている検出結果に関するもの)
+ **コンテナの詳細**
+ クラスターの **[VPC フロー量]**
+ **Kubernetes API アクティビティ全体**

アクティビティの詳細を確認することで、次の種類の質問に対する回答を得ることができます。
+ 使用された IP アドレス
+ これらの IP アドレスがある場所
+ 各 IP アドレスが実行した API コール、およびそれらのコールを実行した際の実行元のサービス
+ コールの実行に使用されたプリンシパルまたはアクセスキー識別子 (AKID)
+ それらのコールに使用されたリソース
+ コールが実行された回数 成功数と失敗数
+ 各 IP アドレスとの間で送受信された VPC フローログデータの量
+ 特定のクラスター、イメージ、またはポッドでアクティブだったコンテナ

**Topics**
+ [[全体的な API コール量] のアクティビティの詳細](profile-panel-drilldown-overall-api-volume.md)
+ [ジオロケーションのアクティビティの詳細](profile-panel-drilldown-new-geolocations.md)
+ [[全体的な VPC フロー量] のアクティビティの詳細](profile-panel-drilldown-overall-vpc-volume.md)
+ [EKS クラスターに関係する全 Kubernetes API アクティビティ](profile-panel-drilldown-kubernetes-api-volume.md)

# [全体的な API コール量] のアクティビティの詳細
<a name="profile-panel-drilldown-overall-api-volume"></a>

[**全体的な API コール量**] のアクティビティの詳細は、選択した時間範囲中に発行された API コールを示します。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[**Display details for scope time**] (スコープ時間の詳細を表示) を選択します。

なお、Detective は、2021 年 7 月 14 日から API コールのサービス名の保存および表示を開始しました。その日付は、プロファイルパネルのタイムラインで強調表示されます。その日付より前に発生するアクティビティについては、サービス名は [**Unknown service**] (不明なサービス) となります。

## アクティビティの詳細 (ユーザー、ロール、アカウント、ロールセッション、EC2 インスタンス、S3 バケット) の内容
<a name="drilldown-api-volume-content"></a>

IAM ユーザー、IAM ロール、アカウント、ロールセッション、EC2 インスタンス、および S3 バケットについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。

  S3 バケットについては、情報は S3 バケットに対して実行された API コールを反映したものとなります。

  API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
+ 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。[**Observed IP addresses**] (観察された IP アドレス) のタブには、各 IP アドレスの場所も表示されます。
+ 各エントリは、コールを実行したユーザーに関する情報を表示します。アカウントについては、アクティビティの詳細でユーザーまたはロールが識別されます。ロールについては、アクティビティの詳細でロールセッションが識別されます。ユーザーおよびロールセッションについては、アクティビティの詳細でアクセスキー識別子 (AKID) が識別されます。

  2021 年 7 月 14 日現在、アカウントプロファイルについては、アクティビティの詳細では、AKID ではなく、ユーザーまたはロールが表示されることに注意してください。ロールプロファイルについては、アクティビティの詳細には、AKID ではなくロールセッションが表示されます。2021 年 7 月 14 日より前に発生するアクティビティについては、発信者は [**Unknown resource**] (不明なリソース) としてリストされます。

アクティビティの詳細には、次のタブが含まれます。

[**Observed IP addresses**] (観察された IP アドレス)  
API コールを発行するために使用される IP アドレスのリストが最初に表示されます。  
各 IP アドレスを展開して、その IP アドレスから発行された API コールのリストを表示できます。API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  
その後、各 API コールを展開して、その IP アドレスからの発信者のリストを表示できます。プロファイルに応じて、発信者は、ユーザー、ロール、ロールセッション、または AKID である場合があります。  

![\[[全体的な API コール量] パネルの [観察された IP アドレス] タブのビュー。エントリが展開され、IP アドレス、API コール、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


[**API method by service**] (サービス別の API メソッド)  
発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  
各 API メソッドを展開して、コールが発行された際の発行元となった IP アドレスのリストを表示できます。  
その後、各 IP アドレスを展開して、その IP アドレスからその API コールを発行した AKID のリストを表示できます。  

![\[[全体的な API コール量] パネルの [サービス別の API メソッド] タブのビュー。エントリが展開され、API コール、IP アドレス、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**リソースまたはアクセスキー ID**  
API コールの発行に使用されたユーザー、ロール、ロールセッション、または AKID のリストが最初に表示されます。  
各発信者を展開して、発信者が API コールを発行した際の発行元となった IP アドレスのリストを表示できます。  
その後、各 IP アドレスを展開して、その IP アドレスからその発信者によって発行された API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  

![\[[全体的な API コール量] パネルの [リソース] タブのビュー。エントリが展開され、サービス別にグループ化された AKID、IP アドレス、および API コールの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## アクティビティの詳細の内容 (IP アドレス)
<a name="drilldown-api-volume-content-ip"></a>

IP アドレスについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
+ 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。

アクティビティの詳細には、次のタブが含まれます。

**[リソース] **  
IP アドレスから API コールを発行したリソースのリストが最初に表示されます。  
リストには、各リソースについて、リソース名、タイプ、および AWS アカウントが含まれます。  
各リソースを展開して、リソースが IP アドレスから発行した API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  

![\[ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [リソース] タブのビュー。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**[API method by service] (サービス別の API メソッド)**  
発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  
各 API コールを展開して、選択した期間中に IP アドレスから API コールを発行したリソースのリストを表示できます。  

![\[ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [サービス別の API メソッド] タブのビュー。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## アクティビティの詳細のソート
<a name="drilldown-api-volume-sort"></a>

アクティビティの詳細はいずれかのリストの列でソートすることができます。

最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。

## アクティビティの詳細のフィルタリング
<a name="drilldown-api-volume-filter"></a>

フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。

すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。

**フィルターを追加するには**

1. フィルターボックスを選択します。

1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。

1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、API メソッドでフィルタリングする場合、**Instance** でフィルタリングすると、結果には名前に `Instance` が含まれるすべての API 操作が含まれます。したがって、`ListInstanceAssociations` と `UpdateInstanceInformation` の両方が一致します。

   サービス名、API メソッド、および IP アドレスについては、値を指定するか、組み込みのフィルターを選択できます。

   [**Common API substrings**] (一般的な API サブストリング) については、`List`、`Create`、`Delete` などの操作のタイプを表すサブストリングを選択します。各 API メソッド名は、操作タイプで始まります。

   [**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。

1. ブール型オプション *リソース*または*サービス*** : を含む** または **\$1: 含まない** または *API メソッド*または *IP アドレス*** = 等しい**または **\$1: フィルターの設定と等しくない** を選択します。  
![\[アクティビティ詳細フィルターで使用可能なフィルターのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/api-volume-search.png)

フィルターを削除するには、右上にある **x** アイコンを選択します。

すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。

## アクティビティの詳細の時間範囲の選択
<a name="drilldown-api-volume-time-range"></a>

 アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

**アクティビティの詳細の時間範囲を変更するには**

1. **[編集]** を選択します。

1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

   時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。

1. [**Update time window**] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

![\[[全体的な API コール量] プロファイルパネルの強調表示された時間枠\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 未処理のログのクエリ
<a name="query-raw-logs"></a>

Amazon Security Lake と Amazon Detective の統合により、Security Lake に保存されている未処理のログデータを検索して取得できます。この統合の詳細については、「[Amazon Security Lake との Amazon Detective 統合](securitylake-integration.md)」を参照してください。

この統合を使用すると、Security Lake がネイティブにサポートしている以下のソースからログとイベントを収集およびクエリできます。
+ AWS CloudTrail 管理イベントバージョン 1.0 以降
+ Amazon Virtual Private Cloud (Amazon VPC) フローログバージョン 1.0 以降
+ Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0

**注記**  
Detective で未処理のデータログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS サービスの使用料は、引き続き公開料金で適用されます。

**未処理のログのクエリを実行するには**

1. **スコープ時間の詳細表示**を選択します。

1. ここで、**[未処理のログをクエリ]** を開始できます。

1. **[未処理のログのプレビュー]** テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。

   [未処理のログをクエリ] テーブルで、**[クエリリクエストをキャンセル]**、**[Amazon Athena で結果を表示]**、**[結果をダウンロード]** (カンマ区切り値 (.csv) ファイル) を実行できます。

Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。
+ 未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後でもう一度お試しください。
+ Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。

# ジオロケーションのアクティビティの詳細
<a name="profile-panel-drilldown-new-geolocations"></a>

[**Newly observed geolocations**] (新しく観察されたジオロケーション) のアクティビティの詳細には、スコープ時間中にジオロケーションから発行された API コールが表示されます。API コールには、ジオロケーションから発行されたすべてのコールが含まれます。これらは、検出結果またはプロファイルエンティティを使用したコールに限られません。S3 バケットについては、アクティビティコールは S3 バケットに対して実行される API コールです。

Detective は、MaxMind GeoIP データベースを使用してリクエストの場所を決定します。MaxMind は、国レベルでの非常に高精度なデータを報告しますが、精度は国や IP の種類などの要因によって異なります。MaxMind の詳細については、「[MaxMind IP Geolocation](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、[MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) で Maxmind に修正リクエストを送信できます。

API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。

アクティビティの詳細を表示するには、以下のいずれかを実行します。
+ マップ上で、ジオロケーションを選択します。
+ リストで、ジオロケーションの [**Details**] (詳細) を選択します。

アクティビティの詳細は、ジオロケーションのリストを置き換えます。ジオロケーションのリストに戻るには、[**Return to all results**] (すべての結果に戻る) を選択します。

なお、Detective は、2021 年 7 月 14 日から API コールのサービス名の保存および表示を開始しました。その日付より前に発生するアクティビティについては、サービス名は [**Unknown service**] (不明なサービス) となります。

## アクティビティの詳細の内容
<a name="profile-panel-drilldown-geolocation-content"></a>

各タブには、スコープ時間中にジオロケーションから発行されたすべての API コールに関する情報が表示されます。

各 IP アドレス、リソース、および API メソッドについて、リストでは API コールの成功回数と失敗回数が表示されます。

アクティビティの詳細には、次のタブが含まれます。

[**Observed IP addresses**] (観察された IP アドレス)  
選択したジオロケーションから API コールを発行するために使用された IP アドレスのリストが最初に表示されます。  
各 IP アドレスを展開して、その IP アドレスから API コールを発行したリソースを表示できます。リストには、リソース名が表示されます。プリンシパル ID を表示するには、名前の上にカーソルを合わせます。  
その後、各リソースを展開して、その IP アドレスからそのリソースによって発行された特定の API コールを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  

![\[[Newly observed geolocations] (新しく観察されたジオロケーション) パネルの [Observed IP addresses] (観察された IP アドレス) のタブのビュー。エントリが展開され、IP アドレス、リソース、および API メソッドの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**[リソース]**   
選択したジオロケーションから API コールを発行したリソースのリストが最初に表示されます。リストには、リソース名が表示されます。プリンシパル ID を表示するには、名前の上で一時停止します。各リソースについて、**[リソース]** タブには関連する AWS アカウントも表示されます。  
各ユーザーまたはロールを展開して、そのリソースによって発行された API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。  
その後、各 API コールを展開して、リソースが API コールを発行した際の発行元である IP アドレスのリストを表示できます。  

![\[[Newly observed geolocations] (新しく観察されたジオロケーション) パネルの [Resource] (リソース) のタブのビュー。エントリが展開され、ユーザーまたはロール、API メソッド、および IP アドレスの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## アクティビティの詳細のソート
<a name="drilldown-geolocation-sort"></a>

アクティビティの詳細はいずれかのリストの列でソートすることができます。

最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。

## アクティビティの詳細のフィルタリング
<a name="drilldown-geolocation-filter"></a>

フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。

すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。

**フィルターを追加するには**

1. フィルターボックスを選択します。

1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。

1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、API メソッドでフィルタリングする場合、**Instance** でフィルタリングすると、結果には名前に `Instance` が含まれるすべての API 操作が含まれます。したがって、`ListInstanceAssociations` と `UpdateInstanceInformation` の両方が一致します。

   サービス名、API メソッド、および IP アドレスについては、値を指定するか、組み込みのフィルターを選択できます。

   [**Common API substrings**] (一般的な API サブストリング) については、`List`、`Create`、`Delete` などの操作のタイプを表すサブストリングを選択します。各 API メソッド名は、操作タイプで始まります。

   [**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。

1. 複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。  
![\[アクティビティ詳細フィルターの個々のフィルター間で使用可能なコネクタのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. フィルターを削除するには、右上にある **x** アイコンを選択します。

1. すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。

# [全体的な VPC フロー量] のアクティビティの詳細
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

EC2 インスタンスについては、[**Overall VPC flow volume**] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。

Kubernetes ポッドの場合、**[全体的な VPC フロー量]** には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。`hostNetwork:true` の場合、Kubernetes ポッドの IP アドレスは一意ではなくなります。この場合、パネルには、同じ設定を持つ他のポッドへのトラフィックと、それらのポッドをホストしているノードが表示されます。

IP アドレスについては、[**Overall VPC flow volume**] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の IP アドレスと EC2 インスタンス間のインタラクションが表示されます。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[**display details for scope time**] (スコープ時間の詳細を表示) を選択します。

## アクティビティの詳細の内容
<a name="drilldown-vpc-volume-content"></a>

コンテンツには、選択した時間範囲中のアクティビティが反映されます。

EC2 インスタンスについては、アクティビティの詳細には、IP アドレス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。

IP アドレスについては、アクティビティの詳細には、EC2 インスタンス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。

各エントリには、インバウンドトラフィックの量、アウトバウンドトラフィックの量、およびアクセスリクエストが受け入れられたか否かが表示されます。検出結果のプロファイルの [**Annotations**] (注釈) 列を確認することで、IP アドレスが現在の検出結果に関連付けられているかどうかを知ることができます。

![\[[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## アクティビティの詳細のソート
<a name="drilldown-vpc-volume-sort"></a>

テーブル内の任意の列でアクティビティの詳細をソートすることができます。

デフォルトでは、アクティビティの詳細は注釈でソートされ、次にインバウンドトラフィックでソートされます。

## アクティビティの詳細のフィルタリング
<a name="drilldown-vpc-volume-filter"></a>

特定のアクティビティに焦点を当てるには、次の値でアクティビティの詳細をフィルタリングできます。
+ IP アドレスまたは EC2 インスタンス
+ ローカルポートまたはリモートポート
+ Direction
+ プロトコル
+ リクエストが受け入れられたか拒否されたか

**フィルターを追加および削除するには**

1. フィルターボックスを選択します。

1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。

1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。

   IP アドレスでフィルタリングするには、値を指定するか、組み込みフィルターを選択します。

   [**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。

1. 複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。  
![\[アクティビティ詳細フィルターの個々のフィルター間で使用可能なコネクタのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. フィルターを削除するには、右上にある **x** アイコンを選択します。

1. すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。

## アクティビティの詳細の時間範囲の選択
<a name="drilldown-vpc-volume-time-range"></a>

 アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

**アクティビティの詳細の時間範囲を変更するには**

1. **[編集]** を選択します。

1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

   時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。

1. [**Update time window**] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

![\[[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細に関する強調表示された時間枠。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## 選択した行のトラフィック量の表示
<a name="drilldown-vpc-volume-chart-details"></a>

関心のある行を特定すると、主要なグラフで、それらの行のトラフィック量を時間の経過に合わせて表示できます。

グラフに追加する行ごとに、チェックボックスを選択します。選択した各行について、インバウンドチャートまたはアウトバウンドのグラフに量が線で表示されます。

![\[[全体的な VPC フロー量] プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


選択したエントリのトラフィック量を重点的に確認するには、全体的な量を非表示にします。全体的なトラフィックを表示したり、非表示にしたりするには、[**Overall traffic**] (全体的なトラフィック) を切り替えます。

![\[[Overall VPC flow volume] (全体的な VPC のフロー量) プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。全体的なトラフィックは非表示になります。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## EKS クラスターの VPC フロートラフィックを表示する
<a name="display-traffic-for-eks-clusters"></a>

Detective は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを通過するトラフィックを表す Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。Kubernetes リソースの場合、VPC フローログの内容は、EKS クラスターにデプロイされた Container Network Interface (CNI) によって異なります。

デフォルト設定の EKS クラスターは Amazon VPC CNI プラグインを使用します。詳細については、「**Amazon EKS ユーザーガイド**」の「[Working with the Amazon VPC CNI plugin for Kubernetes Amazon EKS add-on](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)」を参照してください。Amazon VPC CNI プラグインは、ポッドの IP アドレスを使用して内部トラフィックを送信し、送信元 IP アドレスを外部通信用ノードの IP アドレスに変換します。Detective は、内部トラフィックをキャプチャして正しいポッドに関連付けることができますが、外部トラフィックについては同じことを行うことはできません。

Detective にポッドの外部トラフィックを可視化させたい場合は、外部送信元ネットワークアドレス変換 (Source Network Address Translation: SNAT) を有効にします。SNAT の有効化には制限と欠点があります。詳細については、「**Amazon EKS ユーザーガイド**」の「[Pods の SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)」を参照してください。

別の CNI プラグインを使用する場合は、Detective が `hostNetwork:true` 設定のポッドを可視化する際に制限を受けます。これらのポッドの場合、**[VPC フロー]** パネルにはポッドの IP アドレスの全トラフィックが表示されます。このトラフィックには、ホストノード上の`hostNetwork:true` 設定の全ポッドとホストノード自体のトラフィックが含まれます。

Detective は、 **[VPC フロー]** パネルに、次の EKS クラスター設定の EKS ポッドのトラフィックを表示します。
+ Amazon VPC CNI プラグインを使用するクラスター。このクラスターには、VPC 内でトラフィックを送信する `hostNetwork:false` 設定の任意のポッドも含まれています。
+ Amazon VPC CNI プラグインと設定 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` を使用するクラスターの場合: VPC外でトラフィックを送信する `hostNetwork:false` を持つ任意のポッド。
+ `hostNetwork:true` 設定を持つ任意のポッド。本ノードのトラフィックは、`hostNetwork:true` 設定を持つ他のポッドのトラフィックと混在します。

Detective は、以下のトラフィックを **[VPC フロー]** パネルに表示しません。
+ Amazon VPC CNI プラグインと `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 設定を使用するクラスターの場合: VPC 外でトラフィックを送信する `hostNetwork:false` 設定を持つ任意のポッド。
+ Amazon VPC CNI Plugin for Kubernetes を使用していないクラスターの場合: `hostNetwork:false` 設定を持つ任意のポッド。
+ 同じノードでホストされている別のポッドにトラフィックを送信する任意のポッド。

## 共有されている Amazon VPC の VPC フロートラフィックを表示する
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective は、共有 VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。
+ Detective メンバーアカウントに共有 Amazon VPC が含まれており、その共有 VPC を使用している他の非 Detective アカウントがある場合は、Detective はその VPC からのすべてのトラフィックを監視し、VPC 内のすべてのトラフィックフローを視覚化します。
+ 共有 Amazon VPC 内に Amazon EC2 インスタンスがあり、共有所有者が Detective メンバーでない場合は、Detective は VPC からのトラフィックをモニタリングしません。VPC 内のトラフィックフローを表示する場合は、Amazon VPC 所有者を Detective グラフのメンバーとして追加する必要があります。

# EKS クラスターに関係する全 Kubernetes API アクティビティ
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

**[EKS クラスターを含む Kubernetes API アクティビティ全体]** のアクティビティの詳細には、選択した時間範囲に発行された Kubernetes API コール (コール) の成功回数と失敗回数が表示されます。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[**Display details for scope time**] (スコープ時間の詳細を表示) を選択します。

## アクティビティの詳細の内容 (クラスター、ポッド、ユーザー、ロール、ロールセッション)
<a name="drilldown-kubernetes-api-volume-content"></a>

クラスター、ポッド、ユーザー、ロール、またはロールセッションについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。

  クラスターの場合、API コールはクラスター内で行われました。

  ポッドの場合、API コールはポッドを対象としていました。

  ユーザー、ロール、ロールセッションの場合、API コールは、そのユーザー、ロール、またはロールセッションとして認証された Kubernetes ユーザーによって発行されました。
+ 各エントリについて、アクティビティの詳細では、呼び出しの成功回数、失敗回数、未許可回数、および禁止回数が表示されます。
+ 詳細には、IP アドレス、Kubernetes 呼び出しのタイプ、呼び出しの影響を受けたエンティティ、呼び出しを行ったサブジェクト (サービスアカウントまたはユーザー) も含まれます。アクティビティの詳細から、IP アドレス、サブジェクト、および影響を受けるエンティティのプロファイルにピボットできます。

アクティビティの詳細には、次のタブが含まれます。

**件名**  
API コールを発行するために使用されたサービスアカウントとユーザーのリストが最初に表示されます。  
個々のサービスアカウントとユーザーを展開することで、API コールの発行元となったアカウントまたはユーザーの IP アドレスのリストを表示できます。  
次に、各 IP アドレスを展開すると、そのアカウントまたはユーザーがその IP アドレスから行った Kubernetes API コールを表示できます。  
Kubernetes API コールを展開すると、実行されたアクションを識別するための`requestURI ` が表示されます。  

![\[[全体的な Kubernetes API コール量] パネルの [観察された IP アドレス] タブのビュー。エントリが展開され、API コールおよび IP アドレスの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/kube-subject-drilldown.png)


**IP アドレス**  
API コールの発行に使用した IP アドレスのリストが最初に表示されます。  
各呼び出しを展開すると、呼び出しを行った Kubernetes サブジェクト (サービスアカウントとユーザー) のリストが表示されます。  
次に、各サブジェクトを拡張すると、そのサブジェクトが時間範囲中に実行した API コールのタイプのリストが表示されます。  
API コールを展開すると、実行されたアクションを識別するための requestURI が表示されます。  

![\[[全体的な Kubernetes API コール量] パネルの [IP アドレス] タブのビュー。エントリが展開され、IP アドレス、API コール、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/kube-ip-drilldown.png)


**Kubernetes API コール**  
Kubernetes API コールの動詞のリストが最初に表示されます。  
API の各動詞を展開すると、そのアクションに関連付けられた requestURI が表示される。  
次に、各 requestURI を展開すると、API コールを行った Kubernetes サブジェクト (サービスアカウントとユーザー) が表示されます。  
サブジェクトを展開すると、そのサブジェクトが API コールに使用した IP が表示されます。  

![\[[全体的な API コール量] パネルの [リソース] タブのビュー。エントリが展開され、サービス別にグループ化された AKID、IP アドレス、および API コールの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## アクティビティの詳細のソート
<a name="drilldown-kubernetes-api-volume-sort"></a>

アクティビティの詳細はいずれかのリストの列でソートすることができます。

最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。

## アクティビティの詳細のフィルタリング
<a name="drilldown-kubernetes-api-volume-filter"></a>

フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。

すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。

## アクティビティの詳細の時間範囲の選択
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

**アクティビティの詳細の時間範囲を変更するには**

1. **[編集]** を選択します。

1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

   時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。

1. [**Update time window**] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

![\[[全体的な API コール量] プロファイルパネルの強調表示された時間枠\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 調査中のプロファイルパネルのガイダンスの使用
<a name="profile-panel-guidance"></a>

各プロファイルパネルは、調査を実施し、関連するエンティティのアクティビティを分析するときに発生する特定の質問に対する回答を提供するように設計されています。

各プロファイルパネルのために提供されるガイダンスは、これらの回答を見つけるのに役立ちます。

プロファイルパネルのガイダンスは、パネル自体に表示される一文から始まります。このガイダンスは、パネルで表示されるデータの簡単な説明を提供します。

パネルに関してより詳細なガイダンスを表示するには、パネルの見出しから [**More info**] (詳細情報) を選択します。この拡張ガイダンスがヘルプペインに表示されます。

ガイダンスは、次のタイプの情報を提供できます。
+ パネルコンテンツの概要
+ 関連する質問に回答するためにパネルを使用する方法
+ 回答に基づいて推奨される次のステップ