As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhando com CloudTrail Insights
AWS CloudTrail O Insights ajuda AWS os usuários a identificar e responder a atividades incomuns associadas às taxas de chamadas e taxas de erro da API, analisando continuamente os eventos CloudTrail de gerenciamento e dados. CloudTrail O Insights analisa seus eventos anteriores de gerenciamento e dados para estabelecer seus padrões normais de taxas de chamadas e taxas de erro de API, também chamados de linha de *base*. CloudTrail em seguida, gera eventos do Insights quando as taxas atuais de chamadas ou taxas de erro da API se desviam da linha de base.
Você pode coletar dois tipos de Insights, cada um para eventos de gerenciamento e dados.
**Informações sobre eventos de gerenciamento**
+ **Taxa de chamadas de API**: uma medida das chamadas de API de gerenciamento somente gravação que ocorrem por minuto em relação a um volume de chamadas de API de linha de base. Para registrar eventos do Insights na taxa de chamadas da API para eventos de gerenciamento, o armazenamento de dados da trilha ou do evento deve habilitar o Insights e registrar eventos `write` de gerenciamento.
+ **Taxa de erros de API**: uma medida das chamadas de API de gerenciamento que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida. Para registrar em log eventos do Insights sobre taxa de erros de API, a trilha ou o datastore de eventos, é necessário habilitar o Insights e registrar em log eventos de gerenciamento de `read` ou de `write`, ou eventos de gerenciamento de `read` e de `write`.
**Eventos de dados \$1 Insights**
+ **Taxa de chamadas de API** — Uma medida das chamadas de API de dados que ocorrem por minuto em relação a um volume básico de chamadas de API. Para registrar eventos do Insights na taxa de chamadas da API, a trilha deve habilitar o Insights e registrar eventos de dados.
+ **Taxa de erro da API** — Uma medida das chamadas de API de dados que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida. Para registrar eventos do Insights na taxa de erro da API, a trilha deve habilitar o Insights e registrar `read` eventos de `write` dados, ou ambos `read` e eventos de `write` dados.
**nota**
Os eventos do Insights sobre eventos de dados são suportados somente em trilhas e não em armazenamentos de dados de eventos.
CloudTrail O Insights analisa os eventos de gerenciamento e dados que ocorrem em cada região e gera um evento do Insights quando é detectada uma atividade incomum que se desvia da linha de base. Um evento do CloudTrail Insights é gerado na mesma região em que seu evento de suporte de gerenciamento ou dados é gerado.
Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o gerenciamento de eventos Insights para trilhas e armazenamentos de dados de eventos e Insights de eventos de dados. Para obter mais informações, consulte [AWS CloudTrail Preço](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Custos dos eventos do Insights](insights-events-costs.md)
+ [Entrega de eventos do Insights](insights-events-understanding.md)
+ [Registrando eventos do Insights com o CloudTrail console](insights-events-enable.md)
+ [Registrando eventos do Insights com o AWS CLI](insights-events-CLI-enable.md)
+ [Visualizar eventos do Insights para trilhas](view-insights-events.md)
+ [Visualizar eventos do Insights para armazenamentos de dados de eventos](insights-events-view-lake.md)
# Custos dos eventos do Insights
**nota**
Os eventos do Insights sobre eventos de dados são suportados somente em trilhas.
Quando você ativa os eventos do Insights em uma trilha ou armazenamento de dados de eventos existente, CloudTrail analisa os últimos 28 dias de eventos de gerenciamento e dados coletados pelo armazenamento de dados de trilhas ou eventos para estabelecer uma linha de base da atividade normal. Depois que a linha de base inicial é criada, ela é recalculada todos os dias conforme os últimos 28 dias de dados. Não há CloudTrail cobranças pela análise de linha de base.
Após a análise da linha de base, você incorre em CloudTrail cobranças por quaisquer eventos futuros de gerenciamento e dados analisados pela. CloudTrail Você incorre em cobranças com base no número de eventos de gerenciamento e dados analisados para os tipos de Insights habilitados.
Se você optar por registrar os tipos de Insights da taxa de chamada da API e da taxa de erro da API para eventos de gerenciamento de uma trilha ou armazenamento de dados de eventos que registra `read` e `write` gerencia eventos, o número total de eventos analisados será maior do que o número total de eventos de gerenciamento registrados. Isso ocorre porque CloudTrail analisará os eventos de gerenciamento somente de gravação duas vezes, uma para calcular a taxa de chamadas da API e outra para determinar a taxa de erro da API. Os eventos de gerenciamento somente leitura serão analisados uma vez para calcular a taxa de erros de API.
Da mesma forma, se você optar por registrar os tipos de Insights de taxa de chamada e taxa de erro de API para eventos de dados de uma trilha que registra `read` e `write` dados de eventos, o número total de eventos analisados será maior do que o número total de eventos de dados registrados. Isso ocorre porque CloudTrail analisará todos os eventos de dados duas vezes, uma para calcular a taxa de chamadas da API e outra para determinar a taxa de erro da API.
Você pode identificar as cobranças do Insights para eventos de gerenciamento e dados em sua fatura procurando o tipo de `DataInsightsEvents` uso `InsightsEvents` e o tipo de uso, respectivamente. Para obter mais informações, consulte [Visualizando seu CloudTrail custo e uso com AWS Cost Explorer](cloudtrail-costs.md).
Você incorrerá em cobranças separadas de Insights para trilhas e armazenamentos de dados de eventos, e Insights de eventos de dados separados para trilhas. Para saber mais sobre precificação, consulte [Precificação do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Exemplo 1 — Ative o Insights sobre eventos de gerenciamento para a taxa de chamadas da API e a taxa de erro da API em uma trilha**
Neste primeiro exemplo, você ativa o Insights em uma trilha registrando eventos de gerenciamento e opta por coletar os dois tipos de Insights. A trilha neste exemplo registra em log eventos de gerenciamento de `read` e de `write`.
+ CloudTrail analisa os eventos de gerenciamento registrados nos últimos 28 dias para formar uma linha de base. Não há CloudTrail cobranças pela análise.
+ Depois que a linha de base é criada, a trilha registra em log 300.000 eventos de gerenciamento, dos quais 270.000 são eventos de gerenciamento de `read` e 30.000 são eventos de gerenciamento de `write`.
+ Os eventos de gerenciamento de `write` são analisados duas vezes, uma para a taxa de chamadas de API e outra para a taxa de erros de API (30.000 \$1 2 = 60.000).
+ Os eventos de gerenciamento de `read` são analisados uma vez para a taxa de erros de API (270.000 \$11 = 270.000).
+ O total de eventos de gerenciamento analisados é de 330.000 (60.000 \$1 270.000). Você incorrerá em custos para analisar 330.000 eventos de gerenciamento para essa trilha. A cobrança será separada se você habilitar o Insights para outra trilha ou para um armazenamento de eventos.
**Exemplo 2 — Ative o Insights sobre eventos de gerenciamento para duas trilhas**
Neste próximo exemplo, você ativa o Insights em duas trilhas registrando eventos de gerenciamento, trilha A e trilha B. Você escolhe ativar o API Call Rate Insights somente na trilha A e o API Error Rate Insights somente na trilha B. Tanto o registro `read` de trilhas quanto os eventos `write` de gerenciamento.
+ CloudTrail analisa os eventos `write` de gerenciamento registrados nos últimos 28 dias para formar uma linha de base. Não há CloudTrail cobranças pela análise.
+ Depois de criar a linha de base, as trilhas registram 800.000 eventos de gerenciamento em log dos quais 710.000 são eventos de `read` e 90.000 são eventos de `write`.
Para a trilha A, ocorre a seguinte análise:
+ Os eventos de gerenciamento de `write` são analisados uma vez para a taxa de chamadas de API (90.000 \$1 1 = 90.000).
+ Os eventos `read` de gerenciamento não são analisados, pois analisam CloudTrail apenas os eventos `write` de gerenciamento do API Call Rate Insights.
+ O total de eventos de gerenciamento analisados é 90.000. Você incorrerá em custos para analisar 90.000 eventos de gerenciamento da trilha A.
Para a trilha B, ocorre a seguinte análise:
+ Os eventos de gerenciamento de `write` são analisados uma vez para a taxa de erros de API (90.000 \$1 1 = 90.000).
+ Os eventos de gerenciamento de `read` são analisados uma vez para a taxa de erros de API (710.000 \$11 = 710.000).
+ O total de eventos de gerenciamento analisados é 800.000 (90.000 \$1 710.000). Você incorrerá em custos para analisar 800.000 eventos de gerenciamento da trilha B.
**Exemplo 3 — Ative o Insights sobre eventos de gerenciamento para a taxa de chamadas e a taxa de erro da API em uma trilha e em um armazenamento de dados de eventos**
Neste exemplo, você ativa o Insights para a taxa de chamadas e a taxa de erro da API em uma trilha e em um armazenamento de dados de eventos, registrando eventos de gerenciamento. A trilha e o datastore de eventos registam em log eventos de gerenciamento de `read` e `write`. Você incorrerá em cobranças pelo CloudTrail Insights para o armazenamento de dados de trilhas e eventos separadamente, pois ativou o Insights em ambos.
+ CloudTrail analisa os eventos de gerenciamento registrados nos últimos 28 dias para formar uma linha de base. Não há CloudTrail cobranças pela análise.
+ Depois que a linha de base é criada, a trilha registra em log 500.000 eventos de gerenciamento, dos quais 380.000 são eventos de gerenciamento de `read` e 120.000 são eventos de gerenciamento de `write`.
Para a trilha, ocorre a seguinte análise:
+ Os eventos de gerenciamento de `write` são analisados duas vezes para a trilha, uma para a taxa de chamadas de API e outra para a taxa de erros de API (120.000 \$1 2 = 240.000).
+ Os eventos de gerenciamento de `read` são analisados uma vez para a trilha para a taxa de erros de API (380.000 \$11 = 380.000).
+ O total de eventos de gerenciamento analisados para a trilha é de 620.000 (240.000 \$1 380.000). Você incorrerá em custos para analisar 620.000 eventos de gerenciamento para a trilha.
Para o datastore de eventos, ocorre a seguinte análise:
+ Os eventos de gerenciamento de `write` são analisados duas vezes para o datastore de eventos, uma para a taxa de chamadas de API e outra para a taxa de erros de API (120.000 \$1 2 = 240.000).
+ Os eventos de gerenciamento de `read` são analisados uma vez para o datastore de eventos taxa de erros de API (380.000 \$11 = 380.000).
+ O total de eventos de gerenciamento analisados para o datastore de eventos é de 620.000 (240.000 \$1 380.000). Você incorrerá em custos para analisar 620.000 eventos de gerenciamento para o datastore de eventos.
**Exemplo 4 — Ative insights de eventos de gerenciamento e insights de eventos de dados para a taxa de chamadas e a taxa de erro da API em uma trilha**
Neste exemplo final, você ativa o Insights sobre eventos de gerenciamento e dados. A trilha neste exemplo é o registro, o `write` gerenciamento `read` e os eventos de dados.
+ CloudTrail analisa os eventos de gerenciamento e dados registrados nos últimos 28 dias para formar uma linha de base. Não há CloudTrail cobranças pela análise.
+ Depois que a linha de base é criada, a trilha registra 300.000 eventos de gerenciamento, dos quais 270.000 são eventos de gerenciamento de leitura e 30.000 são eventos de gerenciamento de gravação. A trilha também registra 400.000 eventos de dados, dos quais 340.000 são eventos de dados de leitura e 60.000 são eventos de dados de gravação.
+ Os eventos de gerenciamento de `write` são analisados duas vezes, uma para a taxa de chamadas de API e outra para a taxa de erros de API (30.000 \$1 2 = 60.000). Os eventos de gerenciamento de `read` são analisados uma vez para a taxa de erros de API (270.000 \$11 = 270.000). O total de eventos de gerenciamento analisados é de 330.000 (60.000 \$1 270.000).
+ Os eventos de `write` dados `read` e são analisados duas vezes, uma para a taxa de chamadas da API e outra para a taxa de erro da API (400.000 \$1 2). O total de eventos de dados analisados é de 800.000.
+ Você incorrerá em custos para analisar 1.130.000 eventos de gerenciamento e dados dessa trilha.
# Entrega de eventos do Insights
Ao contrário de outros tipos de eventos que CloudTrail capturam, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no uso da API da sua conta que diferem significativamente dos padrões de uso típicos da conta.
CloudTrail O local de entrega dos eventos e o tempo necessário para receber os eventos do Insights diferem entre trilhas e armazenamentos de dados de eventos.
**nota**
Os eventos do Insights sobre eventos de dados são suportados somente em trilhas.
**Entrega de eventos do Insights para trilhas**
Se você ativou eventos do Insights em uma trilha e CloudTrail detectou atividades incomuns, CloudTrail entrega os eventos do Insights na `/CloudTrail-Insight` pasta no bucket S3 de destino escolhido para sua trilha. Depois de ativar o CloudTrail Insights pela primeira vez em uma trilha, CloudTrail pode levar até 36 horas para começar a entregar eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
Se você desativar o registro de eventos do Insights em uma trilha e depois reativar os eventos do Insights, ou parar e reiniciar o registro em uma trilha, pode levar até 36 horas CloudTrail para reiniciar a entrega dos eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
**Entrega de eventos do Insights para armazenamentos de dados de eventos**
Se você habilitou os eventos do Insights em um armazenamento de dados de eventos de origem, CloudTrail entrega os eventos do Insights para o armazenamento de dados do evento de destino. Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados de eventos de origem, CloudTrail pode levar até 7 dias para começar a entregar os eventos do Insights ao armazenamento de dados do evento de destino, desde que uma atividade incomum seja detectada durante esse período.
Se você desativar o registro de eventos do Insights em um armazenamento de dados de eventos de origem e depois reativar os eventos do Insights ou interromper e reiniciar a ingestão de eventos em um armazenamento de dados de eventos de origem, pode levar até 7 dias CloudTrail para reiniciar a entrega dos eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período. Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
# Registrando eventos do Insights com o CloudTrail console
Esta seção descreve como você pode habilitar eventos do Insights em uma trilha ou armazenamento de dados de eventos existente usando o CloudTrail console.
Para obter informações sobre como criar uma nova trilha para registrar em log eventos do Insights, consulte [Criar uma trilha com o console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
Para obter informações sobre como criar um novo datastore de eventos para coletar eventos do Insights, consulte [Criar um armazenamento de dados de eventos para eventos do Insights com o console](query-event-data-store-insights.md).
**Topics**
+ [Habilitando o CloudTrail Insights em uma trilha existente com o console](#insights-events-enable-trail)
+ [Habilitando o CloudTrail Insights em um armazenamento de dados de eventos existente com o console](#insights-events-enable-lake)
## Habilitando o CloudTrail Insights em uma trilha existente com o console
Use o procedimento a seguir para ativar o CloudTrail Insights em uma trilha existente.
1. No painel de navegação esquerdo do CloudTrail console, abra a página **Trilhas** e escolha o nome da trilha.
1. Em **Eventos do Insights**, escolha **Editar**.
**nota**
Há cobranças adicionais para o registro em log de eventos do Insights. Para CloudTrail saber os preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
1. Em **Event type** (Tipo de evento), selecione **Insights events** (Eventos do Insights).
1. Em **eventos do Insights**, escolha **eventos de gerenciamento ou eventos** **de dados**.
1. Em **Tipos de insights**, escolha **Taxa de chamadas da API, Taxa de erro** da API ou ambas. Sua trilha deve registrar eventos de dados ou gerenciamento de **gravação** para registrar eventos do Insights e verificar a **taxa de chamadas da API**. Sua trilha deve registrar o gerenciamento de **leitura** ou **gravação** ou os dados para registrar eventos do Insights quanto à **taxa de erro da API**.
1. Escolha **Salvar alterações** para salvar suas alterações.
CloudTrail pode levar até 36 horas para começar a entregar eventos do Insights depois que você habilitar os eventos do Insights em uma trilha, desde que uma atividade incomum seja detectada durante esse período.
## Habilitando o CloudTrail Insights em um armazenamento de dados de eventos existente com o console
Use o procedimento a seguir para ativar o CloudTrail Insights em um armazenamento de dados de eventos existente.
Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
**nota**
Você só pode ativar o CloudTrail Insights em armazenamentos de dados de eventos contendo eventos CloudTrail de gerenciamento. Você não pode ativar o CloudTrail Insights em outros tipos de armazenamento de dados de eventos.
1. No painel de navegação esquerdo do CloudTrail console, em **Lake**, escolha **Armazenamentos de dados de eventos**.
1. Escolha o nome do armazenamento de dados de eventos.
1. Em **Eventos de gerenciamento**, escolha **Editar**.
1. Escolha **Habilitar a captura de eventos do Insights**.
1. Escolha o armazenamento de eventos de destino que coletará eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte [Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Escolha os tipos de Insights. É possível escolher a **Taxa de chamadas à API**, a **Taxa de erros da API** ou ambas. Você deve registrar eventos de gerenciamento de **gravação** para registrar em log eventos do Insights sobre a **taxa de chamadas à API**. É necessário registrar eventos de gerenciamento de **leitura** ou **gravação** para registrar em log eventos do Insights sobre a **taxa de erros da API**.
1. Escolha **Salvar alterações** para salvar suas alterações.
CloudTrail pode levar até 7 dias para começar a entregar os eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
# Registrando eventos do Insights com o AWS CLI
É possível configurar suas trilhas e seus armazenamentos de dados de eventos para registrar eventos do Insights em log usando a AWS CLI.
**nota**
Para insights de eventos de gerenciamento: para registrar eventos do Insights na taxa de chamadas da API, o armazenamento de dados de trilhas ou eventos deve registrar os eventos `write` de gerenciamento. Para registrar eventos do Insights sobre a taxa de erro da API, o armazenamento de dados de trilhas ou eventos deve ser registrado `read` ou `write` gerenciado.
Para insights de eventos de dados: para registrar eventos do Insights sobre a taxa de chamadas da API ou a taxa de erro da API, a trilha deve registrar `read` eventos de `write` dados.
**Topics**
+ [Registrando eventos do Insights para uma trilha usando o AWS CLI](#insights-events-CLI-enable-trails)
+ [Registrando eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI](#insights-events-CLI-enable-lake)
## Registrando eventos do Insights para uma trilha usando o AWS CLI
Para retornar os seletores atuais do Insights para uma trilha, execute o comando `get-insight-selectors`.
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
O exemplo de resposta a seguir mostra os seletores do Insights para uma trilha denominada `insights-trail`.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
Se a trilha não tiver o Insights ativado, o **get-insight-selectors** comando retornará a seguinte mensagem de erro: “Ocorreu um erro (InsightNotEnabledException) ao chamar a GetInsightSelectors operação: Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/trailName não tem o Insights ativado. Edite as configurações da trilha para habilitar o Insights e tente a operação novamente.”
Para configurar a trilha para registrar em log eventos do Insights, execute o comando `put-insight-selectors`. O exemplo a seguir mostra como configurar a trilha para incluir eventos do Insights. Os valores do seletor Insights podem ser `ApiCallRateInsight`, `ApiErrorRateInsight` ou ambos. Cada um InsightType pode ser habilitado para gerenciamento, dados EventCategory EventCategory ou ambos.
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
O resultado a seguir mostra o seletor de eventos do Insights que está configurado para a trilha.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## Registrando eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI
Para habilitar o Insights em um armazenamento de dados de eventos, é necessário ter um armazenamento de dados de eventos de origem que registre eventos de gerenciamento e um armazenamento de dados de eventos de destino que registre eventos do Insights.
Para ver se os eventos do Insights estão habilitados em um armazenamento de dados de eventos, execute o comando **get-insight-selectors**.
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Para ver se um armazenamento de dados de eventos está configurado para receber eventos do Insights ou eventos de gerenciamento, execute o comando **get-event-data-store**.
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
Se um datastore de eventos estiver configurado para receber eventos do Insights, sua `eventCategory` estará configurado como `Insight`.
O procedimento a seguir mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.
1. Execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de `eventCategory` deve ser `Insight`. *retention-period-days*Substitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos.
Se você estiver conectado com a conta de gerenciamento de uma organização do AWS Organizations , inclua o parâmetro `--organization-enabled` se quiser conceder ao [administrador delegado](cloudtrail-delegated-administrator.md) acesso ao armazenamento de dados de eventos.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
O seguinte é um exemplo de resposta.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
Você usará o `ARN` (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro `--insights-destination` na etapa 3.
1. Execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. *retention-period-days*Substitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro `--organization-enabled`.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
Você usará o `ARN` (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro `--event-data-store` na etapa 3.
1. Execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) para ativar os eventos do Insights. Os valores do seletor Insights podem ser `ApiCallRateInsight`, `ApiErrorRateInsight` ou ambos. Para o parâmetro `--event-data-store`, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o parâmetro `--insights-destination`, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de destino que registrará os eventos do Insights.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, CloudTrail pode levar até 7 dias para começar a entregar eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
# Visualizar eventos do Insights para trilhas
Esta seção descreve como você pode pesquisar os últimos 90 dias de eventos do Insights para uma trilha com o CloudTrail Insights ativado. Para obter informações sobre como visualizar o CloudTrail Insights para um armazenamento de dados de eventos, consulte[Visualizar o painel do Insights de um datastore de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Você pode visualizar, filtrar e baixar os eventos do Insights nos últimos 90 dias para uma trilha na página **Insights** no console.
Você pode buscar os últimos 90 dias de eventos do Insights de forma programática:
+ Para trilhas, registre eventos de gerenciamento por meio da execução do AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)comando ou da operação [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)da API.
+ Para trilhas, registre eventos de dados executando o AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)comando ou a operação [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)da API.
Para obter descrições dos campos de registro de eventos do Insights para trilhas, consulte [CloudTrail gravar conteúdo para eventos do Insights para trilhas](cloudtrail-insights-fields-trails.md).
**nota**
A página do **Insights** AWS CLI `lookup-events` e/ou o `list-insights-data` comando listam somente os eventos do Insights se você tiver ativado o Insights em uma trilha que registra eventos de gerenciamento ou de dados. Para obter informações sobre como habilitar o Insights em uma trilha, consulte [Habilitando o CloudTrail Insights em uma trilha existente com o console](insights-events-enable.md#insights-events-enable-trail) e [Registrando eventos do Insights para uma trilha usando o AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Para registrar eventos do Insights sobre a taxa de chamadas da API, a trilha deve registrar eventos `write` de gerenciamento ou dados. Para registrar eventos do Insights sobre a taxa de erro da API, a trilha deve registrar os eventos `write` de gerenciamento `read` ou dados.
**Topics**
+ [Visualizar eventos do Insights para trilhas com o console](view-insights-events-console.md)
+ [Visualizando eventos do Insights para trilhas com o AWS CLI](view-insights-events-cli.md)
# Visualizar eventos do Insights para trilhas com o console
Esta seção descreve como visualizar, pesquisar e baixar os últimos 90 dias de eventos do Insights para uma trilha na página do **Insights** no CloudTrail console. Para obter informações sobre como visualizar o CloudTrail Insights para um armazenamento de dados de eventos, consulte[Visualizar o painel do Insights de um datastore de eventos](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Depois que os eventos do Insights são registrados em log, eles são exibidos na página **Insights** por 90 dias. Não é possível excluir manualmente os eventos na página **Insights**. Como os eventos do Insights habilitados para uma trilha são armazenados no bucket do Amazon S3 configurado para essa trilha, a remoção dos eventos do Insights do bucket excluirá esses eventos.
Você pode monitorar seus registros de trilhas e ser notificado quando eventos específicos do Insights ocorrerem ativando CloudWatch os Registros. Para obter mais informações, consulte [Monitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**nota**
CloudTrail Os eventos do Insights devem estar habilitados em sua trilha para ver os eventos do Insights no console. Aguarde até 36 horas CloudTrail para entregar os primeiros eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.
Para insights de eventos de gerenciamento: para registrar eventos do Insights na taxa de chamadas da API, a trilha deve registrar eventos `write` de gerenciamento. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de `read` ou `write`.
Para insights de eventos de dados: para registrar eventos do Insights sobre a taxa de chamadas da API ou a taxa de erro da API, a trilha deve registrar `read` eventos de `write` dados.
**Para visualizar eventos do Insights**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/casa/](https://console.aws.amazon.com/cloudtrail/home/).
1. No painel de navegação, escolha **Painel** para ver todos os eventos do Insights registrados em log na sua conta nos últimos 90 dias. Você também pode visualizar os cinco eventos do Insights mais recentes na página **Painéis**.
1. Na página **Insights**, você pode selecionar a guia Insights de eventos de gerenciamento ou Insights de eventos de dados
1. Você pode filtrar eventos do Insights por fonte do evento, nome do evento ou ID do evento. Para obter mais informações sobre a filtragem de eventos do Insights, consulte [Filtrar eventos do Insights](#filtering-insights-events).
1. É possível limitar ainda mais a lista a um **intervalo relativo** ou **absoluto**.
**Contents**
+ [Filtrar eventos do Insights](#filtering-insights-events)
+ [Visualizar detalhes de eventos do Insights](#viewing-details-for-an-event)
+ [Aproximar, inclinar e baixar o gráfico](#viewing-insight-details-zoom)
+ [Alterar as configurações de intervalo de tempo do gráfico](#viewing-insight-details-timespan)
+ [Fazer download de eventos do Insights](#downloading-insights-events)
## Filtrar eventos do Insights
Por padrão, os eventos na página **Insights** são exibidos em ordem cronológica inversa pela hora de início do evento.
Você pode filtrar a lista escolhendo um dos seguintes três atributos:
**Nome do evento**
O nome do evento, normalmente a AWS API na qual níveis incomuns de atividade foram registrados.
**Origem do evento.**
O AWS serviço para o qual a solicitação foi feita, como `iam.amazonaws.com` ou`s3.amazonaws.com`. Se escolher filtrar por origem do evento, você poderá percorrer uma lista de origens de eventos.
**ID do evento**
O ID de evento do Insights. IDs Os eventos não são mostrados na tabela da página do **Insights**, mas são um atributo no qual você pode filtrar os eventos do Insights. O evento IDs de gerenciamento ou eventos de dados que são analisados para gerar eventos do Insights é diferente do evento IDs dos eventos do Insights.
![\[O filtro da lista de eventos do CloudTrail Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_events_filter.png)
A seguinte lista descreve os atributos de um evento, que não podem ser filtrados:
**Tipo de insight**
O tipo de evento do CloudTrail Insights, que é a taxa de **chamadas da API ou a taxa** **de erro da API**. O tipo **de insight de taxa de chamadas de API** analisa o gerenciamento somente de gravação ou as chamadas de API de dados que são agregadas por minuto em relação a um volume básico de chamadas de API. O tipo **de insight da taxa de erro da API** analisa as chamadas de API de gerenciamento ou de dados que resultam em códigos de erro. O erro será exibido se a chamada à API não for bem-sucedida.
**Hora de início do evento**
A hora de início do evento do Insights, medida como o primeiro minuto em que a atividade de API incomum foi registrada. Este atributo é mostrado na tabela do **Insights**, mas não é possível filtrar a hora de início do evento no console.
**Linha de base**
A linha de base representa o padrão normal de taxa de chamadas de API ou de taxa de erros, calculada diariamente. A média da linha de base é a média desses valores diários de linha de base nos sete dias que antecedem o início de um evento do Insights. Embora esse período geralmente seja de sete dias, CloudTrail arredonda o período de cálculo para um número inteiro de dias, portanto, a duração exata da linha de base pode variar um pouco.
**Média do Insight**
O número médio de chamadas para uma API ou o número médio de um erro específico que foi retornado em chamadas para uma API, que acionou o evento Insights. A média do CloudTrail Insights para o evento inicial é a taxa de ocorrências que acionaram o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.
**Mudança de taxa**
A diferença entre o valor de **Linha de base** e **média do Insight**, medido em porcentagem. Por exemplo, se a média da linha de base de um `AccessDenied` erro ocorrido é 1,0, e a média do Insight é 3,0, a variação da taxa é de 300%. Uma mudança de taxa para uma média do Insight que excede uma média de linha de base mostra uma seta para cima ao lado do valor. Se o evento Insights foi registrado porque a atividade está abaixo da média da linha de base, **Mudança de taxa** mostra uma seta para baixo ao lado da porcentagem.
Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultados estará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro de atributo diferente, o intervalo de tempo especificado será preservado.
As etapas a seguir descrevem como filtrar por atributo.
**Para filtrar por atributo**
1. Para filtrar os resultados por um atributo, escolha um atributo de pesquisa do menu suspenso e digite ou escolha um valor na caixa **Inserir um valor de pesquisa**.
1. Para remover um filtro de atributo, selecione o **X** à direita da caixa de filtros de atributos.
As etapas a seguir descrevem como filtrar por data e hora de início e de término.
**Para filtrar por data e hora de início e de término**
1. Em **Filtrar por data e hora**, escolha uma das seguintes opções:
+ **Absoluto**: permite escolher uma hora específica. Prossiga para a próxima etapa.
+ **Intervalo relativo**: selecionado por padrão. Permite escolher um período relativo à hora de início de um evento do Insights. Vá para a etapa 3.
1. Para definir um intervalo **Absoluto**, faça o seguinte.
1. Escolha o dia em que você deseja que o intervalo de tempo comece. Insira uma hora de início no dia selecionado. Para inserir uma data manualmente, digite a data no formato `yyyy/mm/dd`. As horas de início e término usam um relógio de 24 horas e os valores devem estar no formato `hh:mm:ss`. Por exemplo, para indicar uma hora de início de 18h30, digite **18:30:00**.
1. Escolha uma data de término para o intervalo no calendário ou especifique uma data e hora finais abaixo do calendário. Escolha **Aplicar**.
1. Para definir um **Intervalo relativo**, faça o seguinte.
1. Escolha um período predefinido relativo à hora de início dos eventos do Insights. Os intervalos de tempo são de 30 minutos, 1 hora, 12 horas ou 1 dia. Para especificar um período personalizado, escolha **Custom** (Personalizado).
1. Quando definir a hora relativa que você deseja, escolha **Apply** (Aplicar).
1. Para remover um filtro de intervalo de tempo, selecione o ícone de calendário à direita da caixa **Filtrar por data e hora** e escolha **Limpar e dispensar**.
## Visualizar detalhes de eventos do Insights
1. Escolha um evento do Insights na lista de resultados para mostrar os detalhes dele. A página de detalhes de um evento do Insights mostra um gráfico da linha do tempo da atividade incomum.
![\[Uma página de detalhes do CloudTrail Insights mostrando atividades incomuns da API.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Passe o mouse sobre as faixas destacadas para mostrar a hora inicial e a duração de cada evento do Insights no gráfico.
![\[Estatísticas de evento do Insights mostradas após passar o mouse sobre um evento do Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
As informações a seguir são mostradas na área do gráfico **Informações adicionais**:
+ **Insight type** (Tipo de insight). Isso pode ser taxa de chamada de API ou taxa de erros da API.
+ **Acionador**. Esse é um link para a guia **Eventos do Cloudtrail, que lista os eventos** de gerenciamento ou de dados que foram analisados para determinar a ocorrência de uma atividade incomum.
+ **Chamadas de API por minuto** ou **Erros por minuto**
+ **Baseline average** (Média da linha de base) – A taxa típica de chamadas por minuto para essa API, conforme medida aproximadamente nos sete dias anteriores em uma região específica da sua conta.
+ **Média do Insights** – a taxa de chamadas por minuto para essa API que acionou o evento do Insights. A média do CloudTrail Insights para o evento inicial é a taxa de chamadas ou erros por minuto na API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.
+ **Event source** (Fonte do evento). O endpoint do AWS serviço no qual o número incomum de chamadas ou erros de API foram registrados. Na imagem anterior, a origem é`ec2.amazonaws.com`, que é o endpoint do serviço da Amazon. EC2
+ **ID do evento de início** - O ID do evento do Insights que foi registrado em log no início da atividade incomum.
+ **ID do evento do fim** - O ID do evento Insights que foi registrado no final de uma atividade incomum.
+ **ID de evento compartilhado** - Em eventos do Insights, o **ID do evento compartilhado** é um GUID gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. **ID do evento compartilhado** é comum entre o evento do Insights de início e de término e ajuda a criar uma correlação entre ambos os eventos para identificar exclusivamente a atividade incomum.
1. Selecione a guia **Attributions** (Atribuições) para exibir informações sobre as identidades de usuário, agentes de usuário e em eventos de inishgts de taxa de chamada de API, os códigos de erro são correlacionados com atividade incomum e base de referência. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são mostrados nas tabelas da guia **Attributions** (Atribuições), ordenadas por uma média da contagem de atividade, em ordem decrescente da mais alta para a mais baixa.
1. Na guia **CloudTrail Eventos**, visualize os eventos relacionados que CloudTrail foram analisados para determinar a ocorrência de uma atividade incomum. Por padrão, um filtro já está aplicado ao nome do evento do Insights, que também é o nome da API relacionada. A guia de **CloudTrail eventos** mostra eventos CloudTrail de gerenciamento ou de dados relacionados à API em questão que ocorreram entre a hora de início (menos um minuto) e a hora de término (mais um minuto) do evento do Insights.
Conforme você seleciona outros eventos do Insights no gráfico, os eventos mostrados na tabela de **CloudTrail eventos** mudam. Esses eventos ajudam a executar uma análise mais profunda para determinar a provável causa de um evento do Insights e os motivos da atividade de API incomum.
Para mostrar todos os CloudTrail eventos que foram registrados durante a duração do evento do Insights, e não apenas aqueles da API relacionada, desative o filtro.
1. Selecione a guia **Insights event record** (Registro de eventos do Insights) para exibir os eventos de início e término do Insights no formato JSON.
1. No painel da esquerda da página de detalhes, selecionar a **Event source** (Fonte do evento) vinculada retorna à página do **Insights** filtrada por essa fonte do evento.
## Aproximar, inclinar e baixar o gráfico
É possível aplicar zoom, panorâmica e reiniciar os eixos do gráfico na página de detalhes do evento do Insights usando uma barra de ferramentas no canto direito superior.
![\[Barra de ferramentas de comando de fazer download como PNG, aplicar zoom, panorâmica, aumentar o zoom, diminuir o zoom e reiniciar os eixos.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
Da esquerda para a direita, os botões de comando na barra de ferramentas do gráfico fazem o seguinte:
+ **Download plot as a PNG (Fazer download do gráfico como PNG)** – faça download da imagem do gráfico mostrada na página de detalhes, e salve-a no formato PNG.
+ **Zoom** – arraste para selecionar uma área no gráfico que você deseja ampliar e ver com mais detalhes.
+ **Pan (Panorâmica)** – desloque o gráfico para ver datas ou horas adjacentes.
+ **Reset axes (Redefinir eixos)** – altere os eixos do gráfico de volta aos originais, limpando as configurações de zoom e panorâmica.
## Alterar as configurações de intervalo de tempo do gráfico
É possível alterar o intervalo de tempo (a duração selecionada dos eventos mostrada no eixo *x*) que é exibido no gráfico escolhendo uma configuração no canto superior direito do gráfico.
![\[Controle de intervalo de tempo para um evento do Insights.\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Fazer download de eventos do Insights
É possível fazer download do histórico de eventos registrados do Insights como um arquivo no formato CSV ou JSON. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.
**nota**
CloudTrail arquivos de histórico de eventos são arquivos de dados que contêm informações (como nomes de recursos) que podem ser configuradas por usuários individuais. Alguns dados podem ser interpretados como comandos em programas usados para ler e analisar esses dados (injeção de CSV). Por exemplo, quando CloudTrail os eventos são exportados para CSV e importados para um programa de planilhas, esse programa pode alertá-lo sobre questões de segurança. Como melhor prática de segurança, desative links ou macros de arquivos do histórico de eventos obtidos por download.
1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download. Por exemplo, você pode especificar o nome do evento, `StartInstances`, e especificar um intervalo para os últimos 12 horas de atividade.
1. Escolha **Download events** (Baixar eventos) e, em seguida, **Download as CSV** (Baixar como CSV) ou **Download as JSON** (Baixar como JSON). Você será solicitado a escolher um local para salvar o arquivo.
**nota**
O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos, antes de iniciar o processo de download, use um filtro específico ou um período mais curto para restringir os resultados.
1. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.
1. Para cancelar o download, escolha **Cancelar**. Se você cancelar um download antes que ele seja concluído, um arquivo CSV ou JSON em seu computador local pode conter apenas parte de seus eventos.
# Visualizando eventos do Insights para trilhas com o AWS CLI
Esta seção descreve como usar o `list-insights-data` comando AWS CLI `lookup-events` and para pesquisar os últimos 90 dias de eventos do Insights em busca de uma trilha com eventos do Insights ativados. Para obter informações sobre como ativar o CloudTrail Insights em uma trilha, consulte[Registrando eventos do Insights para uma trilha usando o AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**nota**
Você não pode usar o `list-insights-data` comando `lookup-events` ou para pesquisar eventos do Insights para um armazenamento de dados de eventos, no entanto, o CloudTrail Lake oferece vários exemplos de consultas para armazenamentos de dados de eventos do Insights. Para obter mais informações, consulte [Visualizar exemplos de consultas para eventos do Insights](insights-events-view-lake.md#insights-events-lake-queries).
O comando `lookup-events` apresenta as seguintes opções:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
O comando `list-insights-data` apresenta as seguintes opções:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Para obter informações gerais sobre como usar o AWS Command Line Interface, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Pré-requisitos](#aws-cli-prerequisites-for-insights)
+ [Receber ajuda da linha de comando](#getting-command-line-help-insights)
+ [Procurando eventos do Insights para eventos de gerenciamento](#looking-up-management-insights-with-the-aws-cli)
+ [Procurando eventos do Insights para eventos de dados](#looking-up-data-insights-with-the-aws-cli)
+ [Especificando o número de eventos do Insights para que os eventos de gerenciamento retornem](#specify-the-number-of-management-insights-to-return)
+ [Especificando o número de eventos do Insights para que os eventos de dados retornem](#specify-the-number-of-data-insights-to-return)
+ [Pesquisar eventos do Insights para eventos de gerenciamento por intervalo de tempo](#look-up-management-insights-by-time-range)
+ [Procurando eventos do Insights para eventos de dados por intervalo de tempo](#look-up-data-insights-by-time-range)
+ [Pesquisar eventos do Insights para eventos de gerenciamento por atributo](#look-up-management-insights-by-attributes)
+ [Exemplos de consulta de atributo](#attribute-lookup-example-insights)
+ [Pesquisando eventos do Insights para eventos de dados por dimensão](#look-up-data-insights-by-attributes)
+ [Exemplos de pesquisa de dimensões](#dimension-lookup-example-insights)
+ [Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento](#specify-next-page-of-management-results)
+ [Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento](#specify-next-page-of-data-results)
+ [Obter entrada JSON de um arquivo para eventos do Insights para eventos de gerenciamento](#json-input-from-file-managemenet-insights)
+ [Obter entrada JSON de um arquivo para eventos do Insights para eventos de dados](#json-input-from-file-data-insights)
+ [Pesquisar campos de resultados](#view-insights-events-cli-output-fields)
## Pré-requisitos
+ Para executar AWS CLI comandos, você deve instalar AWS CLI o. Para obter mais informações, consulte [Conceitos básicos do AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Certifique-se de que sua AWS CLI versão seja maior que 1.6.6. Para verificar a versão da CLI, execute **aws --version** na linha de comando.
+ Para definir a conta, a região e o formato de saída padrão para uma AWS CLI sessão, use o **aws configure** comando. Para obter mais informações, consulte [Configurar a interface de linha de comando da AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Para registrar em log eventos do Insights relativos à taxa de chamadas de API, a trilha deve registrar em log os eventos de gerenciamento de `write`. Para registrar em log eventos do Insights relativos à taxa de erros de API, a trilha deve registrar em log os eventos de gerenciamento de `read` ou `write`.
**nota**
Os CloudTrail AWS CLI comandos diferenciam maiúsculas de minúsculas.
## Receber ajuda da linha de comando
Para ver a ajuda da linha de comando para `lookup-events`, digite o comando a seguir.
```
aws cloudtrail lookup-events help
```
## Procurando eventos do Insights para eventos de gerenciamento
Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight
```
Um evento retornado tem aparência semelhante ao seguinte exemplo:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte [Pesquisar campos de resultados](#view-insights-events-cli-output-fields) neste tópico. Para ver uma explicação sobre os eventos do Insights, consulte [CloudTrail gravar conteúdo para eventos do Insights para trilhas](cloudtrail-insights-fields-trails.md).
## Procurando eventos do Insights para eventos de dados
Para ver os 50 eventos mais recentes do Insights, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Um evento retornado tem aparência semelhante ao seguinte exemplo:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Especificando o número de eventos do Insights para que os eventos de gerenciamento retornem
Para especificar o número de eventos do Insights para que os eventos de gerenciamento retornem, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
O valor padrão para**, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Especificando o número de eventos do Insights para que os eventos de dados retornem
Para especificar o número de eventos do Insights para que os eventos de dados retornem, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
O valor padrão para**, se não for especificado, é 50. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Pesquisar eventos do Insights para eventos de gerenciamento por intervalo de tempo
Os eventos do Insights para eventos de gerenciamento dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.
`--end-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.
O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.
Todos os carimbos de data/hora são exibidos em UTC.
## Procurando eventos do Insights para eventos de dados por intervalo de tempo
Os eventos do Insights para eventos de dados dos últimos 90 dias estão disponíveis para consulta. Para especificar um intervalo de tempo, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.
`--end-time ` especifica, em UTC, que apenas os eventos do Insights ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.
O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.
Todos os carimbos de data/hora são exibidos em UTC.
## Pesquisar eventos do Insights para eventos de gerenciamento por atributo
Para filtrar por um atributo, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
É possível especificar somente um par de chave-valor do atributo para cada comando **lookup-events**. Veja a seguir os valores de evento do Insights válidos para `AttributeKey`. Os nomes dos valores diferenciam maiúsculas de minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
O tamanho máximo para `AttributeValue` é de 2.000 caracteres. Os seguintes caracteres ("`_`", "` `", "`,`", "`\\n`") contam como dois caracteres até o limite de 2.000 caracteres.
### Exemplos de consulta de atributo
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventName` é `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventId` é `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventSource` é `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Pesquisando eventos do Insights para eventos de dados por dimensão
Para filtrar por uma dimensão, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
Você pode especificar somente um par de valores-chave de dimensão para cada **list-insights-events** comando. Veja a seguir os valores de evento do Insights válidos para `DimensionKey`. Os nomes dos valores diferenciam maiúsculas de minúsculas.
+ `EventId`
+ `EventName`
+ `EventSource`
O tamanho máximo para `DimensionValue` é de 2.000 caracteres. Os seguintes caracteres ("`_`", "` `", "`,`", "`\\n`") contam como dois caracteres até o limite de 2.000 caracteres.
### Exemplos de pesquisa de dimensões
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventName` é `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventId` é `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de `EventSource` é `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento
Para obter a próxima página de resultados de um comando `lookup-events`, digite o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
Nesse comando, o valor para ** é obtido do primeiro campo da saída do comando anterior.
Quando você usa `--next-token` em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Especificando a próxima página de resultados para eventos do Insights para eventos de gerenciamento
Para obter a próxima página de resultados de um comando `list-insights-data`, digite o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
Nesse comando, o valor para ** é obtido do primeiro campo da saída do comando anterior.
Quando você usa `--next-token` em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Obter entrada JSON de um arquivo para eventos do Insights para eventos de gerenciamento
O AWS CLI para alguns AWS serviços tem dois parâmetros `--generate-cli-skeleton` e`--cli-input-json`, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o `--cli-input-json` parâmetro. Esta seção descreve como usar esses parâmetros com `aws cloudtrail lookup-events`. Para obter mais informações, consulte [Esqueletos e arquivos de entrada da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo**
1. Crie um modelo de entrada para uso com `lookup-events` redirecionando os resultados `--generate-cli-skeleton` para um arquivo, como no exemplo a seguir.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
O arquivo de modelo gerado (nesse caso, LookupEvents .txt) tem a seguinte aparência.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.
**Importante**
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.
O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Para usar o arquivo editado como entrada, use a sintaxe `--cli-input-json file://`**, como no exemplo a seguir.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**nota**
É possível usar outros argumentos na mesma linha de comando como `--cli-input-json`.
## Obter entrada JSON de um arquivo para eventos do Insights para eventos de dados
O AWS CLI para alguns AWS serviços tem dois parâmetros `--generate-cli-skeleton` e`--cli-input-json`, que você pode usar para gerar um modelo JSON, que você pode modificar e usar como entrada para o `--cli-input-json` parâmetro. Esta seção descreve como usar esses parâmetros com `aws cloudtrail list-insights-data`. Para obter mais informações, consulte [Esqueletos e arquivos de entrada da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Para pesquisar os eventos do Insights obtendo a entrada JSON de um arquivo**
1. Crie um modelo de entrada para uso com `list-insights-data` redirecionando os resultados `--generate-cli-skeleton` para um arquivo, como no exemplo a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
O arquivo de modelo gerado (nesse caso, ListInsightsData .txt) tem a seguinte aparência.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados.
**Importante**
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.
O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Para usar o arquivo editado como entrada, use a sintaxe `--cli-input-json file://`**, como no exemplo a seguir.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**nota**
É possível usar outros argumentos na mesma linha de comando como `--cli-input-json`.
## Pesquisar campos de resultados
**Eventos**
Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foram especificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cada entrada contém informações sobre a solicitação de pesquisa e inclui uma representação em cadeia de caracteres do CloudTrail evento que foi recuperado.
As seguintes entradas descrevem os campos de cada evento de pesquisa.
**CloudTrailEvent**
Uma string JSON que contém uma representação do objeto do evento retornado. Para obter informações sobre cada um dos elementos retornados, consulte [Conteúdo do corpo do registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Uma string que contém a GUID do evento retornado.
**EventName**
Uma string que contém o nome do evento retornado.
**EventSource**
O AWS serviço para o qual a solicitação foi feita.
**EventTime**
A data e a hora, em formato de horário do UNIX, do evento.
**Recursos**
Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especifica um tipo e um nome do recurso.
**ResourceName**
Uma string que contém o nome do recurso referenciado pelo evento.
**ResourceType**
Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso não pode ser determinado, null é retornado.
**Nome de usuário**
Uma string que contém o nome do usuário da conta do evento retornado.
**NextToken**
Uma string para obter a próxima página de resultados de um comando `lookup-events` anterior. Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entrada `NextToken` aparecer nos resultados, significa que não há mais resultados a serem retornados.
Para obter mais informações sobre os eventos do CloudTrail Insights, consulte [Trabalhando com CloudTrail Insights](logging-insights-events-with-cloudtrail.md) este guia.
# Visualizar eventos do Insights para armazenamentos de dados de eventos
Esta seção descreve como é possível visualizar eventos do Insights para um datastore de eventos do Insights visualizando o **painel de eventos do Insights** e executando exemplos de consultas. Para obter informações sobre como habilitar o CloudTrail Insights em um armazenamento de dados de eventos, consulte[Habilitando o CloudTrail Insights em um armazenamento de dados de eventos existente com o console](insights-events-enable.md#insights-events-enable-lake).
CloudTrail as consultas incorrem em cobranças com base na quantidade de dados digitalizados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora `eventTime` de início e término nas consultas. Para obter mais informações sobre os preços do CloudTrail, consulte [Definição de preço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Para obter descrições dos campos de registro de eventos do Insights para datastores de eventos, consulte [CloudTrail gravar conteúdo para eventos do Insights para armazenamentos de dados de eventos](cloudtrail-insights-fields-lake.md).
**Topics**
+ [Visualizar o painel do Insights de um datastore de eventos](#insights-events-view-lake-dashboard)
+ [Visualizar exemplos de consultas para eventos do Insights](#insights-events-lake-queries)
## Visualizar o painel do Insights de um datastore de eventos
O **painel eventos do Insights** mostra a proporção geral de eventos do Insights por tipo de insights, a proporção de eventos do Insights por tipo de Insights para os principais usuários e serviços, e o número de eventos do Insights por dia. O painel também inclui um widget que lista até 30 dias de eventos do Insights.
**nota**
Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados do evento de origem, CloudTrail pode levar até 7 dias para começar a entregar eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período. Para obter mais informações, consulte [Entrega de eventos do Insights](insights-events-understanding.md).
O painel **Eventos do Insights** exibe apenas informações sobre os eventos do Insights coletados pelo datastore de eventos selecionado, o que é determinado pela configuração do datastore do evento de origem. Por exemplo, se você configurar o armazenamento de dados de eventos de origem para ativar eventos do Insights em `ApiCallRateInsight` mas não `ApiErrorRateInsight`, você não verá informações sobre os eventos do Insights em `ApiErrorRateInsight`.
**Para visualizar o painel de eventos do Insights**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, em **Lake**, escolha **Painel**.
1. Escolha a guia **Painéis gerenciados e personalizados**.
1. Em **Painéis gerenciados da AWS **, escolha **Painel de eventos do Insights**.
1. Escolha o datastore de eventos do Insights.
1. Escolha entre filtrar os dados do painel por um **Intervalo absoluto** ou um **Intervalo relativo**. Escolha **Intervalo absoluto** para selecionar um intervalo específico de data e hora. Escolha **Intervalo relativo** para selecionar um intervalo de tempo predefinido ou um intervalo personalizado. Por padrão, o painel exibe dados de eventos das últimas 24 horas.
**nota**
CloudTrail As consultas do Lake incorrem em custos com base na quantidade de dados digitalizados. Para ajudar a controlar os custos, é possível filtrar em um intervalo de tempo mais restrito. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
1. Escolha o ícone de atualização para preencher os elementos gráficos dos widgets do painel. Cada widget indica o status da atualização.
Para obter mais informações sobre painéis do Lake, consulte [CloudTrail Painéis do Lake](lake-dashboard.md).
## Visualizar exemplos de consultas para eventos do Insights
O CloudTrail console fornece vários exemplos de consultas para eventos do Insights que podem ajudar você a começar a escrever suas próprias consultas.
**Para visualizar exemplos de consultas para eventos do Insights**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, em **Lake**, escolha **Consulta**.
1. Na página **Query** (Consulta), escolha a guia **Sample queries** (Consultas de exemplo).
1. Pesquise consultas para eventos do Insights. Escolha o **nome da consulta** para abrir a consulta na guia **Editor**.
![\[O exemplo mostra exemplos de consultas para eventos do Insights\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. Na guia **Editor**, escolha o datastore de eventos do Insights. Quando você escolhe o armazenamento de dados do evento na lista, preenche CloudTrail automaticamente o ID do armazenamento de dados do evento na `FROM` linha do editor de consultas.
1. Para executar a consulta, escolha **Executar**. Depois que a consulta é concluída, você pode visualizar a saída do comando e os resultados da consulta.
A guia **Saída do comando** mostra metadados sobre a consulta, por exemplo, se a consulta foi bem-sucedida, o número de registros correspondentes e o tempo de execução da consulta.
A guia **Resultados da consulta** mostra os dados de eventos no armazenamento de dados de eventos selecionado que correspondem à sua consulta.
Para obter mais informações sobre a edição de uma consulta, veja [Crie ou edite uma consulta com o CloudTrail console](query-create-edit-query.md). Para obter mais informações sobre como executar uma consulta e salvar seus resultados, consulte [Executar uma consulta e salvar os resultados de consulta com o console](query-run-query.md).