本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用见 CloudTrail 解
AWS CloudTrail Insights 通过持续分析 CloudTrail 管理和数据事件,帮助 AWS 用户识别和响应与 API 调用率和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您过去的管理和数据事件,以确定您的 API 调用率和 API 错误率的正常模式,也称为*基准*。 CloudTrail 然后当前 API 调用率或错误率偏离基线时生成 Insights 事件。
您可以收集两种类型的 Insights,分别用于管理和数据事件。
**管理事件见解**
+ **API 调用率**:根据基准 API 调用量衡量每分钟发生的只写管理 API 调用。要根据管理事件的 API 调用率记录 Insights 事件,跟踪或事件数据存储必须启用 Insights 并记录`write`管理事件。
+ **API 错误率**:衡量产生错误代码的管理 API 调用。如果 API 调用不成功,就会显示错误。要针对 API 错误率记录 Insights 事件,跟踪或事件数据存储必须启用 Insights,并记录 `read` 或 `write` 管理事件或者 `read` 和 `write` 管理事件。
**数据事件见解**
+ **API 调用率** — 根据基准 API 调用量衡量每分钟发生的数据 API 调用。要按照 API 调用率记录 Insights 事件,跟踪必须启用 Insights 并记录数据事件。
+ **API 错误率** — 对生成错误代码的数据 API 调用的衡量标准。如果 API 调用不成功,就会显示错误。要按照 API 错误率记录 Insights 事件,跟踪必须启用 Insights 和日志`read`或`write`数据事件,或者两者兼`read`而有之,以及`write`数据事件。
**注意**
仅在跟踪中支持数据事件的 Insights 事件,不支持事件数据存储。
CloudTrail Insights 会分析每个区域发生的管理和数据事件,并在检测到偏离基线的异常活动时生成 Insights 事件。 CloudTrail Insights 事件是在生成其支持管理事件或数据事件的同一区域生成的。
将对 Insights 事件收取额外费用。如果您为跟踪和事件数据存储启用管理事件 Insights 以及数据事件 Insights,则需要单独付费。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [Insights 事件的成本](insights-events-costs.md)
+ [Insights 事件传送](insights-events-understanding.md)
+ [使用 CloudTrail 控制台记录 Insights 事件](insights-events-enable.md)
+ [使用记录见解事件 AWS CLI](insights-events-CLI-enable.md)
+ [查看跟踪的 Insights 事件](view-insights-events.md)
+ [查看事件数据存储的 Insights 事件](insights-events-view-lake.md)
# Insights 事件的成本
**注意**
只有跟踪支持数据事件的 Insights 事件。
当您在现有跟踪或事件数据存储上启用 Insights 事件时, CloudTrail会分析过去 28 天的管理和跟踪或事件数据存储收集的数据事件,以建立正常活动的基准。创建初始基准后,每天都会根据过去 28 天的数据重新计算基准。基线分析不 CloudTrail 收取任何费用。
基线分析完成后,您将为所分析的任何 future 管理和数据事件 CloudTrail 付费。 CloudTrail您需要根据针对启用的 Insights 类型分析的管理和数据事件的数量收取费用。
如果您选择为记录和管理事件的跟踪或事件数据存储同时记录管理事件的 API 调用率`read`和 `write` API 错误率 Insights 类型,则分析的事件总数将大于记录的管理事件总数。这是因为 CloudTrail 将对只写管理事件进行两次分析,一次用于计算 API 调用率,另一次用于确定 API 错误率。将对只读管理事件进行一次分析,以计算 API 错误率。
同样,如果您选择为记录和数据事件的跟踪同时记录数据事件的 API 调用率`read`和 `write` API 错误率 Insights 类型,则分析的事件总数将大于记录的数据事件总数。这是因为 CloudTrail 将对所有数据事件进行两次分析,一次用于计算 API 调用率,另一次用于确定 API 错误率。
您可以通过分别查找和`DataInsightsEvents`使用类型来确定账单上管理事件和数据事件的 Insights 费用。`InsightsEvents`有关更多信息,请参阅 [通过查看您的 CloudTrail 成本和使用情况 AWS Cost Explorer](cloudtrail-costs.md)。
您将为跟踪和事件数据存储分别收取 Insights 费用,为跟踪分别收取数据事件 Insights 费用。有关定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**示例 1-启用跟踪上的 API 调用率和 API 错误率的管理事件见解**
在第一个示例中,您启用 Insights on trail 记录管理事件,然后选择收集这两种 Insights 类型。此示例中的跟踪同时记录了 `read` 和 `write` 管理事件。
+ CloudTrail 分析过去 28 天内记录的管理事件以形成基准。分析不 CloudTrail 收取任何费用。
+ 创建基准后,跟踪记录了 300,000 个管理事件,其中 270,000 个是 `read` 管理事件,30,000 个是 `write` 管理事件。
+ 对 `write` 管理事件进行两次分析,一次是 API 调用率,一次是 API 错误率(30,000 \$1 2=60,000)。
+ 针对 API 错误率对 `read` 管理事件进行一次分析(270,000 \$11=270,000)。
+ 分析的管理事件总数为 330,000(60,000 \$1 270,000)。分析此跟踪的 330,000 个管理事件将产生费用。如果您为其他跟踪或事件数据存储启用了 Insights,则需要单独付费。
**示例 2-启用对两个跟踪的管理事件的见解**
在下一个示例中,您在两个跟踪上启用 Insights 记录管理事件,即跟踪 A 和跟踪 B。您选择仅在跟踪 A 上启用 API 调用率见解,仅在跟踪 B 上启用 API 错误率见解。这两个跟踪都记录`read``write`和管理事件。
+ CloudTrail 分析过去 28 天内记录的`write`管理事件以形成基准。分析不 CloudTrail 收取任何费用。
+ 创建基准后,跟踪记录了 800,000 个管理事件,其中 710,000 个是 `read` 事件,90,000 个是 `write` 事件。
对于跟踪 A,将进行以下分析:
+ 针对 API 调用率对 `write` 管理事件进行一次分析(90,000 \$1 1=90,000)。
+ 不分析`read`管理事件,因为 CloudTrail 仅分析 API 调用率 Insights 的`write`管理事件。
+ 分析的管理事件总数为 90,000。分析跟踪 A 的 90,000 个管理事件将产生费用。
对于跟踪 B,将进行以下分析:
+ 针对 API 错误率对 `write` 管理事件进行一次分析(90,000 \$1 1=90,000)。
+ 针对 API 错误率(710,000 \$11=710,000)对 `read` 管理事件进行一次分析。
+ 分析的管理事件总数为 800,000(90,000 \$1 710,000)。分析跟踪 B 的 800,000 个管理事件将产生费用。
**示例 3-针对跟踪和事件数据存储中的 API 调用率和 API 错误率启用管理事件见解**
在此示例中,您为记录管理事件的跟踪和事件数据存储启用了 API 调用率和 API 错误率的 Insights。跟踪和事件数据存储都记录 `read` 和 `write` 管理事件。当您在跟踪和事件数据存储上都启用了 CloudTrail Insights 时,您将分别为这两者收取见解费用。
+ CloudTrail 分析过去 28 天内记录的管理事件以形成基准。分析不 CloudTrail 收取任何费用。
+ 创建基准后,跟踪和事件数据存储记录了 500,000 个管理事件,其中 380,000 个是 `read` 管理事件,120,000 个是 `write` 管理事件。
对于跟踪,将进行以下分析:
+ 对跟踪的 `write` 管理事件进行两次分析,一次是 API 调用率,一次是 API 错误率(120,000 \$1 2=240,000)。
+ 针对跟踪的 API 错误率对 `read` 管理事件进行一次分析(380,000 \$11=380,000)。
+ 对跟踪分析的管理事件总数为 620,000(240,000 \$1 380,000)。分析跟踪的 620,000 个管理事件将产生费用。
对于事件数据存储,将进行以下分析:
+ 对事件数据存储的 `write` 管理事件进行两次分析,一次是 API 调用率,一次是 API 错误率(120,000 \$1 2=240,000)。
+ 针对事件数据存储的 API 错误率对 `read` 管理事件进行一次分析(380,000 \$11=380,000)。
+ 对事件数据存储分析的管理事件总数为 620,000(240,000 \$1 380,000)。分析事件数据存储的 620,000 个管理事件将产生费用。
**示例 4 — 启用管理事件见解和数据事件见解,了解跟踪上的 API 调用率和 API 错误率**
在最后一个示例中,您将启用管理和数据事件洞察。此示例中的跟踪是记录`read`、`write`管理和数据事件。
+ CloudTrail 分析过去 28 天内记录的管理和数据事件以形成基准。分析不 CloudTrail 收取任何费用。
+ 创建基准后,跟踪记录了 300,000 个管理事件,其中 270,000 个是读取管理事件,30,000 个是写入管理事件。该跟踪还记录了 400,000 个数据事件,其中 340,000 个是读取数据事件,60,000 个是写入数据事件。
+ 对 `write` 管理事件进行两次分析,一次是 API 调用率,一次是 API 错误率(30,000 \$1 2=60,000)。针对 API 错误率对 `read` 管理事件进行一次分析(270,000 \$11=270,000)。分析的管理事件总数为 330,000(60,000 \$1 270,000)。
+ 对`read`和`write`数据事件进行两次分析,一次针对 API 调用率,另一次针对 API 错误率 (400,000 \$1 2)。分析的数据事件总数为 800,000 个。
+ 分析此跟踪的 1,130,000 个管理和数据事件将产生成本。
# Insights 事件传送
与其他 CloudTrail 捕获类型的事件不同,Insights 事件仅在 CloudTrail检测到您的账户 API 使用量发生变化且与账户的典型使用模式明显不同时才会被记录。
在何处 CloudTrail 交付事件以及接收 Insights 事件所需的时间因跟踪和事件数据存储而异。
**注意**
只有跟踪支持数据事件的 Insights 事件。
**跟踪的 Insights 事件传输**
如果您已在跟踪上启用 Insights 事件并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的跟踪所选目标 S3 存储桶中的`/CloudTrail-Insight`文件夹。首次在跟踪中启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 36 小时才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
如果您关闭 Insights 事件记录跟踪然后重新启用 Insights 事件,或者停止并重新启动跟踪的日志记录,则可能需要长达 36 小时 CloudTrail 才能重新启动 Insights 事件的交付,前提是在此期间检测到异常活动。
**事件数据存储的 Insights 事件传输**
如果您已在源事件数据存储上启用 Insights 事件,则会将 Insigh CloudTrail ts 事件传送到目标事件数据存储。首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始将 Insights 事件传送到目标事件数据存储,前提是在此期间检测到异常活动。
如果您关闭源事件数据存储上的 Insights 事件记录,然后重新启用 Insights 事件,或者停止并重新启动源事件数据存储上的事件摄取,则可能需要长达 7 天的时间才能重新启动 Insights 事件的交付,前提是在此期间检测到异常活动。 CloudTrail 在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
# 使用 CloudTrail 控制台记录 Insights 事件
本节介绍如何使用 CloudTrail 控制台在现有跟踪或事件数据存储上启用 Insights 事件。
有关如何创建新的跟踪以记录 Insights 事件的更多信息,请参阅[使用控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)。
有关如何创建新的事件数据存储以收集 Insights 事件的更多信息,请参阅[使用控制台为 Insights 事件创建事件数据存储](query-event-data-store-insights.md)。
**Topics**
+ [使用控制台对现有跟踪启用 CloudTrail Insights](#insights-events-enable-trail)
+ [使用控制台在现有事件数据存储上启用 CloudTrail Insights](#insights-events-enable-lake)
## 使用控制台对现有跟踪启用 CloudTrail Insights
使用以下步骤在现有跟踪上启用 CloudTrail Insights。
1. 在 CloudTrail 控制台的左侧导航窗格中,打开 T **rail** s 页面,然后选择一个跟踪名称。
1. 在 **Insights 事件**中,选择**编辑**。
**注意**
记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1. 在 **Event type**(事件类型)中,选择 **Insights events**(Insights 事件)。
1. 在 **Insights 事件**中,选择**管理事件**或**数据事件**
1. 在 **Insights 类型**下,选择 **API 调用率、API 错误率**或两者兼而有之。您的跟踪必须记录**写入**管理事件或数据事件才能记录 Insights 事件以了解 **API 调用率**。您的跟踪必须记录**读取**或**写入**管理或数据,才能记录 Insights 事件,以了解 **API 错误率**。
1. 选择**保存更改**以保存您的更改。
CloudTrail 在跟踪上启用 Insights 事件后,最多可能需要 36 小时才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
## 使用控制台在现有事件数据存储上启用 CloudTrail Insights
使用以下步骤在现有事件数据存储上启用 CloudTrail Insights。
在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**注意**
您只能在包含 CloudTrail管理事件的事件数据存储上启用 CloudTrail Insights。您无法在其他事件数据存储类型上启用 CloudTrail Insights。
1. 在 CloudTrail 控制台左侧导航窗格的 **Lake** 下,选择**事件数据存储**。
1. 选择事件数据存储名称。
1. 在**管理事件**中,选择**编辑**。
1. 选择**启用 Insights 事件捕获**。
1. 选择将收集 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息,请参阅[要创建记录 Insights 事件的目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。
1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
1. 选择**保存更改**以保存您的更改。
CloudTrail 最多可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
# 使用记录见解事件 AWS CLI
您可以使用 AWS CLI配置跟踪和事件数据存储以记录 Insights 事件。
**注意**
对于管理事件见解:要按照 API 调用率记录 Insights 事件,跟踪或事件数据存储必须记录`write`管理事件。要按照 API 错误率记录 Insights 事件,必须记录或`write`管理跟踪`read`或事件数据存储。
对于数据事件见解:要记录有关 API 调用率或 API 错误率的 Insights 事件,跟踪必须记录`read`或`write`数据事件。
**Topics**
+ [使用记录跟踪的见解事件 AWS CLI](#insights-events-CLI-enable-trails)
+ [使用记录事件数据存储的 Insights 事件 AWS CLI](#insights-events-CLI-enable-lake)
## 使用记录跟踪的见解事件 AWS CLI
要返回跟踪的当前 Insights 选择器,请运行 `get-insight-selectors` 命令。
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
以下示例响应显示了名为 `insights-trail` 的跟踪的 Insights 选择器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
如果跟踪未启用 Insights,则该**get-insight-selectors**命令将返回以下错误消息:“调用 GetInsightSelectors 操作时出现错误 (InsightNotEnabledException):Trail arn: aws: cloudtrail: us-east-1:123456789012:trail/TrailName 未启用 Insights。Edit the trail settings to enable Insights, and then try the operation again.”
要将跟踪配置为记录 Insights 事件,请运行 `put-insight-selectors` 命令。以下示例说明如何配置跟踪以包含 Insights 事件。Insights 选择器值可以是 `ApiCallRateInsight` 和/或 `ApiErrorRateInsight`。 InsightType 可以为管理 EventCategory 或数据启用每个选项, EventCategory 或者两者兼而有之。
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
以下结果显示为跟踪配置的 Insights 事件选择器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## 使用记录事件数据存储的 Insights 事件 AWS CLI
要在事件数据存储上启用 Insights,必须有一个用于记录管理事件的源事件数据存储和一个用于记录 Insights 事件的目标事件数据存储。
要查看事件数据存储上是否启用了 Insights 事件,请运行 **get-insight-selectors** 命令。
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
要查看事件数据存储是否被配置为接收 Insights 事件或管理事件,请运行 **get-event-data-store** 命令。
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
如果某事件数据存储配置为接收 Insights 事件,则其 `eventCategory` 将设置为 `Insight`。
以下过程向您展示如何创建目标和源事件数据存储,然后启用 Insights 事件。
1. 运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令创建收集 Insights 事件的目标事件数据存储。`eventCategory` 的值必须为 `Insight`。*retention-period-days*替换为您希望在事件数据存储中保留事件的天数。
如果您使用 AWS Organizations 组织的管理账户登录,则如果要向[委托管理员](cloudtrail-delegated-administrator.md)授予对事件数据存储的访问权限,请包含 `--organization-enabled` 参数。
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
以下为响应示例。
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
您将使用响应中的 `ARN`(或 ARN 的 ID 后缀)作为步骤 3 中参数 `--insights-destination` 的值。
1. 请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令以创建记录管理事件的源事件数据存储。默认情况下,事件数据存储会记录所有的管理事件。您无需指定任何高级事件选择器即可记录所有管理事件。*retention-period-days*替换为您希望在事件数据存储中保留事件的天数。如果您正在创建组织事件数据存储,请包括 `--organization-enabled` 参数。
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
以下为响应示例。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
您将使用响应中的 `ARN`(或 ARN 的 ID 后缀)作为步骤 3 中参数 `--event-data-store` 的值。
1. 请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) 命令以启用 Insights 事件。Insights 选择器值可以是 `ApiCallRateInsight` 和/或 `ApiErrorRateInsight`。对于 `--event-data-store` 参数,请指定记录管理事件并将启用 Insights 的源事件数据存储的 ARN(或 ARN 的 ID 后缀)。对于 `--insights-destination` 参数,请指定将记录 Insights 事件的目标事件数据存储的 ARN(或 ARN 的 ID 后缀)。
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
以下结果显示为事件数据存储配置的 Insights 事件选择器。
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
首次在事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
# 查看跟踪的 Insights 事件
本节介绍如何为启用了 Insights 的跟踪查询过去 90 天的 CloudTrail Insights 事件。有关如何查看事件数据存储的 CloudTrail Insights 的信息,请参阅[查看事件数据存储的 Insights 控制面板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
您可以从控制台上的 **Insights** 页面查看、筛选和下载跟踪的过去 90 天的 Insights 事件。
您可以通过编程方式获取最近 90 天的 Insights 事件:
+ For Trails 通过运行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API 操作来记录管理事件。
+ 对于 Trails,通过运行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API 操作来记录数据事件。
有关跟踪的 Insights 事件记录字段的描述,请参阅[CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
**注意**
**只有在记录管理事件 AWS CLI `lookup-events`或数据事件的跟踪上启用了 Insights 时,Insights 页面和/或`list-insights-data`命令才会列出 Insights 事件。**有关对跟踪启用 Insights 的信息,请参阅[使用控制台对现有跟踪启用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-trail)和[使用记录跟踪的见解事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
要按照 API 调用率记录 Insights 事件,跟踪必须记录`write`管理事件或数据事件。要按照 API 错误率记录 Insights 事件,跟踪必须记录`read``write`管理事件或数据事件。
**Topics**
+ [使用控制台查看跟踪的 Insights 事件](view-insights-events-console.md)
+ [使用查看路径的见解事件 AWS CLI](view-insights-events-cli.md)
# 使用控制台查看跟踪的 Insights 事件
本节介绍如何从 CloudTrail 控制台的 Insights 页面查看、查找和下载过去 90 天内跟踪的 **Insights** 事件。有关如何查看事件数据存储的 CloudTrail Insights 的信息,请参阅[查看事件数据存储的 Insights 控制面板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
记录跟踪的 Insights 事件后,事件将显示在 **Insights**页面上 90 天。您不能从 **Insights** 页面上手动删除事件。由于为某个跟踪启用的 Insights 事件存储在为该跟踪配置的 Amazon S3 存储桶中,因此从存储桶中移除 Insights 事件将删除这些事件。
通过启用 CloudWatch 日志,您可以监控跟踪日志,并在发生特定 Insights 事件时收到通知。有关更多信息,请参阅 [使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。
**注意**
CloudTrail 必须在您的跟踪中启用 Insights 事件,才能在控制台中查看 Insights 事件。如果在此期间检测到异常活动 CloudTrail ,则允许最多 36 小时的时间来发布第一个 Insights 事件。
对于管理事件见解:要按照 API 调用率记录 Insights 事件,跟踪必须记录`write`管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 `read` 或 `write` 管理事件。
对于数据事件见解:要记录有关 API 调用率或 API 错误率的 Insights 事件,跟踪必须记录`read`或`write`数据事件。
**查看 Insights 事件**
1. 登录 AWS 管理控制台 并在家中打开 CloudTrail 主机 [https://console.aws.amazon.com/cloudtrail//](https://console.aws.amazon.com/cloudtrail/home/)。
1. 在导航窗格中,选择 **Insights** 以查看过去 90 天内在您的账户中记录的所有 Insights 事件。您还可以从**控制面板**页面查看五个最新的 Insights 事件。
1. 在 **Insights** 页面上,您可以选择管理事件见解或数据事件见解选项卡
1. 您可以按事件源、事件名称或事件 ID 筛选 Insights 事件。有关筛选 Insights 事件的更多信息,请参阅[筛选 Insights 事件](#filtering-insights-events)。
1. 您可以进一步将列表限制为仅显示某个**相对范围**或**绝对范围**。
**Contents**
+ [筛选 Insights 事件](#filtering-insights-events)
+ [查看 Insights 事件详细信息](#viewing-details-for-an-event)
+ [缩放、平移和下载图表](#viewing-insight-details-zoom)
+ [更改图表时间跨度设置](#viewing-insight-details-timespan)
+ [下载 Insights 事件](#downloading-insights-events)
## 筛选 Insights 事件
默认情况下,**Insights** 页面上的事件按事件开始时间倒序显示。
您可以通过选择以下三个属性之一来筛选列表:
**事件名称**
事件的名称,通常是记录异常活动级别的 AWS API。
**事件源**
向其发出请求的 AWS 服务,例如`iam.amazonaws.com`或`s3.amazonaws.com`。如果您选择按事件源筛选,则可以滚动浏览事件源列表。
**事件 ID**
Insights 事件的 ID。事件 IDs 不会显示在 **Insights** 页面表格中,但它们是您可以根据它们筛选 Insights 事件的属性。为生成 Insights 事件而进行分析的管理事件或数据事件与 Insights 事件不同。 IDs IDs
![\[CloudTrail Insights 事件列表过滤器。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_events_filter.png)
以下列表介绍了事件的属性,这些属性不可筛选:
**Insights 类型**
CloudTrail Insights 事件的类型,可以是 **API 调用率**或 **API 错误率**。**API 调用率**洞察类型根据基准 API 调用量分析每分钟汇总的只写管理或数据 API 调用。**API 错误率**洞察类型分析导致错误代码的管理或数据 API 调用。如果 API 调用不成功,就会显示错误。
**事件开始时间**
Insights 事件的开始时间,测量方式为记录异常活动的第一分钟。此属性显示在 **Insights** 表中,但无法在控制台中通过事件开始时间筛选。
**基线平均值**
基准表示 API 调用率或错误率活动的正常模式(每天计算)。基准平均值是指 Insights 事件开始前七天内这些每日基准的平均值。虽然此周期通常为七天,但会将计算周期 CloudTrail 四舍五入为整数天,因此确切的基准持续时间可能会略有不同。
**Insight 平均值**
触发 Insights 事件的 API 的平均调用次数,或调用 API 时返回的特定错误的平均数。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的发生率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内发生的速率。
**速率变更**
以百分比表示**基线平均值**和 **Insight 平均值**的区别。例如,如果 `AccessDenied` 发生错误的基线平均值为 1.0,并且 Insight 平均值为 3.0,那么速率变更为 300%。超过基线平均值的 Insight 平均值的速率变更在该值旁边显示向上箭头。如果因活动低于基线平均值而记录了 Insights 事件,**比率变动**在百分比旁边显示向下箭头。
如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。
以下步骤介绍如何按属性筛选。
**按属性筛选**
1. 要按属性筛选结果,请从下拉菜单中选择查找属性,然后在**输入查找值**框中键入或选择值。
1. 要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 **X**。
以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。
**按开始日期和时间与结束日期和时间筛选**
1. 在**按日期和时间筛选**中,选择以下选项之一:
+ **绝对**:供您选择具体的时间。继续执行下一步。
+ **相对范围**:默认选中。让您选择相对于 Insights 事件开始时间的时间段。继续执行步骤 3。
1. 要设置**绝对范围**,请执行以下操作。
1. 选择希望时间范围开始的日期。输入所选日期的开始时间。要手动输入日期,请使用 `yyyy/mm/dd` 格式键入日期。开始时间和结束时间使用 24 小时制,且值必须采用 `hh:mm:ss` 格式。例如,要指示开始时间为下午 6:30,请输入 **18:30:00**。
1. 在日历上选择范围的结束日期,或在日历下方指定结束日期和时间。选择**应用**。
1. 要设置**相对范围**,请执行以下操作。
1. 选择相对于 Insights 事件开始时间的预设时间段。预设时间范围包括 30 分钟、1 小时、12 小时或 1 天。要指定自定义时间范围,请选择**自定义**。
1. 设置了所需的相对时间后,请选择**应用**。
1. 要删除时间范围筛选条件,请选择**按日期和时间筛选**框右侧的日历图标,然后选择**清除并关闭**。
## 查看 Insights 事件详细信息
1. 选择 Insights 列表中的事件以显示其详细信息。Insights 事件的详细信息页面显示异常活动时间表的图表。
![\[显示异常 API 活动的 CloudTrail 见解详情页面。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 将鼠标悬停在突出显示的带上,以显示图表中的每个 Insights 事件的开始时间和持续时间。
![\[将鼠标悬停在 Insights 事件上后显示的见解事件统计信息。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
**其他信息**图表区域显示以下信息:
+ **见解类型**:该类型可以是 API 调用率或 API 错误率。
+ **触发器**:这是指向 **Cloudtrail 事件**选项卡的链接,该选项卡列出了为确定发生了异常活动而分析的管理事件或数据事件。
+ **每分钟 API 调用数**或**每分钟错误数**
+ **基线平均值**:在您账户中特定区域内,大约前七天内测量的每分钟对记录 Insights 事件的 API 的典型调用速率。
+ **Insights 平均值**:触发 Insights 事件的此 API 的每分钟调用速率。启动事件的 CloudTrail Insights 平均值是触发 Insights 事件的 API 上每分钟的调用率或错误率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内,每分钟 API 调用的速率。
+ **事件源**:记录异常数量的 API 调用或错误的 AWS 服务端点。在上图中,源是`ec2.amazonaws.com`,这是 Amazon 的服务终端节点 EC2。
+ **开始事件 ID**:异常活动开始时记录的 Insights 事件 ID。
+ **结束事件 ID**:异常活动结束时记录的 Insights 事件 ID。
+ **共享事件 ID**-在 Insights 事件中,**共享事件 ID** 是 Insights 生成的 GUID,用于唯一标识 CloudTrail Insights 事件的开始和结束对。**共享事件 ID** 在开始和结束 Insights 事件之间是通用的,并且有助于在这两个事件建立关联以唯一地标识异常活动。
1. 选择**归因**选项卡,可查看有关与异常活动和基准活动相关的用户身份、用户代理、API 调用率 Insights 事件和错误代码的信息。在**归因**选项卡上的表格中显示最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。
1. 在**CloudTrail 事件**选项卡上,查看相关事件,这些事件 CloudTrail经过分析以确定发生了异常活动。默认情况下,已对 Insights 事件名称应用了筛选条件,该名称也是相关 API 的名称。**CloudTrail 事件**选项卡显示在 Insights 事件的开始时间(减去一分钟)和结束时间(加一分钟)之间发生的与主题 API 相关的 CloudTrail 管理事件或数据事件。
当您在图表中选择其他 Insights 事件时,事件表中显示**CloudTrail 的事件会发生**变化。这些事件可帮助您执行更深入的分析,以确定 Insights 事件的可能原因以及异常 API 活动的原因。
要显示在 Insights 事件持续时间内记录的所有 CloudTrail 事件,而不仅仅是相关 API 的事件,请关闭过滤器。
1. 选择 **Insights 事件记录**选项卡以查看 JSON 格式的 Insights 开始和结束事件。
1. 选择链接的**事件源**将返回由该事件源筛选的 **Insights** 页面。
## 缩放、平移和下载图表
您可以使用右上角的工具栏缩放、平移和重置 Insights 事件详细信息页面上图表的轴。
![\[以 PNG 格式下载、缩放、平移、放大、缩小和重置轴命令工具栏。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
从左到右,图表工具栏上的命令按钮执行以下操作:
+ **以 png 格式下载图**:下载详细信息页面上显示的图表图像,并将其保存为 PNG 格式。
+ **缩放**:拖动以选择图表上要放大的区域并更详细地查看。
+ **平移**:移动图表以查看相邻的日期或时间。
+ **重置轴**:将图表轴更改回原始状态,同时清除缩放和平移设置。
## 更改图表时间跨度设置
您可以更改时间跨度:事件显示在 *x* 轴上的所选持续时间:通过选择图表右上角的设置显示在图表中。
![\[Insights 事件的时间跨度控制。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## 下载 Insights 事件
您可以采用 CSV 或 JSON 格式的文件形式下载记录的 Insights 事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。
**注意**
CloudTrail 事件历史文件是包含可由个人用户配置的信息(例如资源名称)的数据文件。有些数据在用来读取和分析该数据的程序中有可能被解释为命令(CSV 注入)。例如,将 CloudTrail 事件导出为 CSV 并导入到电子表格程序时,该程序可能会警告您注意安全问题。作为安全最佳实践,请禁用来自下载的事件历史记录文件中的链接或宏。
1. 指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称 `StartInstances`,并指定过去 12 小时的活动的时间范围。
1. 选择**下载事件**,然后选择**下载为 CSV**或**下载为 JSON**。系统会提示您选择保存文件的位置。
**注意**
您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。
1. 下载完成后,打开文件以查看您指定的事件。
1. 要取消下载,请选择**取消**。如果在下载完成之前取消下载,则本地计算机上的 CSV 或 JSON 文件可能只包含部分事件。
# 使用查看路径的见解事件 AWS CLI
本节介绍如何使用 AWS CLI `lookup-events`和`list-insights-data`命令为启用了 Insights 事件的跟踪查找过去 90 天的 Insights 事件。有关如何在跟踪上启用 CloudTrail Insights 的信息,请参阅[使用记录跟踪的见解事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
**注意**
您不能使用`lookup-events`或`list-insights-data`命令为事件数据存储查找 Insights 事件,但是,La CloudTrail ke 提供了许多针对 Insights 事件数据存储的示例查询。有关更多信息,请参阅 [查看 Insights 事件的示例查询](insights-events-view-lake.md#insights-events-lake-queries)。
此 `lookup-events` 命令具有以下选项:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
此 `list-insights-data` 命令具有以下选项:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
有关使用的一般信息 AWS Command Line Interface,请参阅《[AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**Contents**
+ [先决条件](#aws-cli-prerequisites-for-insights)
+ [获取命令行帮助](#getting-command-line-help-insights)
+ [查找管理事件的 Insights 事件](#looking-up-management-insights-with-the-aws-cli)
+ [查找数据事件的 Insights 事件](#looking-up-data-insights-with-the-aws-cli)
+ [指定要返回的管理事件的 Insights 事件的数量](#specify-the-number-of-management-insights-to-return)
+ [指定要返回的数据事件的 Insights 事件数量](#specify-the-number-of-data-insights-to-return)
+ [按时间范围查找管理事件的 Insights 事件](#look-up-management-insights-by-time-range)
+ [按时间范围查找数据事件的 Insights 事件](#look-up-data-insights-by-time-range)
+ [按属性查找管理事件的 Insights 事件](#look-up-management-insights-by-attributes)
+ [属性查找示例](#attribute-lookup-example-insights)
+ [按维度查找数据事件的 Insights 事件](#look-up-data-insights-by-attributes)
+ [维度查询示例](#dimension-lookup-example-insights)
+ [为管理事件指定 Insights 事件的下一页结果](#specify-next-page-of-management-results)
+ [为管理事件指定 Insights 事件的下一页结果](#specify-next-page-of-data-results)
+ [从文件中获取管理事件的 Insights 事件的 JSON 输入](#json-input-from-file-managemenet-insights)
+ [从文件中获取数据事件的 Insights 事件的 JSON 输入](#json-input-from-file-data-insights)
+ [查找输出字段](#view-insights-events-cli-output-fields)
## 先决条件
+ 要运行 AWS CLI 命令,必须安装 AWS CLI。有关更多信息,请参阅 [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 确保您的 AWS CLI 版本高于 1.6.6。要验证 CLI 版本,请在命令行上运行 **aws --version**。
+ 要为 AWS CLI 会话设置账户、区域和默认输出格式,请使用**aws configure**命令。有关更多信息,请参阅[配置 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 要针对 API 调用率记录 Insights 事件,跟踪必须记录 `write` 管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 `read` 或 `write` 管理事件。
**注意**
这些 CloudTrail AWS CLI 命令区分大小写。
## 获取命令行帮助
要查看 `lookup-events` 的命令行帮助,请键入以下命令。
```
aws cloudtrail lookup-events help
```
## 查找管理事件的 Insights 事件
要查看 50 个最新的 Insights 事件,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight
```
返回的事件看起来与下面的示例相似,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
有关输出中与查找相关的字段的说明,请参阅这一主题中的[查找输出字段](#view-insights-events-cli-output-fields)部分。有关 Insights 事件中的字段的说明,请参阅 [CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
## 查找数据事件的 Insights 事件
要查看 50 个最新的 Insights 事件,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
返回的事件看起来与下面的示例相似,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 指定要返回的管理事件的 Insights 事件的数量
要指定要返回的管理事件的 Insights 事件数量,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
的默认值(如果未指定)为 50。**可能的值介于 1 和 50 之间。以下示例返回一个结果。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## 指定要返回的数据事件的 Insights 事件数量
要指定要返回的数据事件的 Insights 事件数量,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
的默认值(如果未指定)为 50。**可能的值介于 1 和 50 之间。以下示例返回一个结果。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 按时间范围查找管理事件的 Insights 事件
过去 90 天内管理事件的见解事件可供查找。要指定时间范围,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` 指定仅返回在指定时间或之后(采用 UTC)发生的 Insights 事件。如果指定的开始时间晚于指定的结束时间,则将返回错误。
`--end-time ` 指定仅返回在指定时间或之前(采用 UTC)发生的 Insights 事件。如果指定的结束时间早于指定的开始时间,则将返回错误。
默认开始时间为过去 90 天内提供数据的最早日期。默认结束时间为在最接近当前时间发生事件的时间。
所有时间戳均采用 UTC 显示。
## 按时间范围查找数据事件的 Insights 事件
过去 90 天的数据事件洞察事件可供查找。要指定时间范围,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` 指定仅返回在指定时间或之后(采用 UTC)发生的 Insights 事件。如果指定的开始时间晚于指定的结束时间,则将返回错误。
`--end-time ` 指定仅返回在指定时间或之前(采用 UTC)发生的 Insights 事件。如果指定的结束时间早于指定的开始时间,则将返回错误。
默认开始时间为过去 90 天内提供数据的最早日期。默认结束时间为在最接近当前时间发生事件的时间。
所有时间戳均采用 UTC 显示。
## 按属性查找管理事件的 Insights 事件
要按属性进行筛选,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
您只能为每个 **lookup-events** 命令指定一个属性密钥-值对。以下是 `AttributeKey` 的有效 Insights 事件值。值的名称区分大小写。
+ `EventId`
+ `EventName`
+ `EventSource`
`AttributeValue` 的最大长度为 2000 个字符。在 2000 个字符限制中,以下字符(“`_`”、“` `”、“`,`”、“`\\n`”)算作两个字符。
### 属性查找示例
以下示例命令返回 `EventName` 值为 `PutRule` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
以下示例命令返回 `EventId` 值为 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
以下示例命令返回 `EventSource` 值为 `iam.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## 按维度查找数据事件的 Insights 事件
要按维度筛选,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
您只能为每个**list-insights-events**命令指定一个维度键值对。以下是 `DimensionKey` 的有效 Insights 事件值。值的名称区分大小写。
+ `EventId`
+ `EventName`
+ `EventSource`
`DimensionValue` 的最大长度为 2000 个字符。在 2000 个字符限制中,以下字符(“`_`”、“` `”、“`,`”、“`\\n`”)算作两个字符。
### 维度查询示例
以下示例命令返回 `EventName` 值为 `PutObject` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
以下示例命令返回 `EventId` 值为 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
以下示例命令返回 `EventSource` 值为 `s3.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 为管理事件指定 Insights 事件的下一页结果
要从 `lookup-events` 命令获取下一页结果,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
在此命令中,的**值取自上一个命令输出的第一个字段。
在命令中使用 `--next-token` 时,您必须使用与上一个命令中相同的参数。例如,假设您运行以下命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
要获取下一页结果,您的下一个命令将如下所示。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 为管理事件指定 Insights 事件的下一页结果
要从 `list-insights-data` 命令获取下一页结果,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
在此命令中,的**值取自上一个命令输出的第一个字段。
在命令中使用 `--next-token` 时,您必须使用与上一个命令中相同的参数。例如,假设您运行以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
要获取下一页结果,您的下一个命令将如下所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 从文件中获取管理事件的 Insights 事件的 JSON 输入
AWS CLI 对于某些 AWS 服务,有两个参数,即`--generate-cli-skeleton`和`--cli-input-json`,可用于生成 JSON 模板,您可以修改该模板并将其用作`--cli-input-json`参数的输入。本部分介绍如何将这些参数和 `aws cloudtrail lookup-events` 结合使用。有关更多信息,请参阅 [AWS CLI skeletons and input files](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**通过从文件中获取 JSON 输入来查找 Insights 事件**
1. 通过将 `lookup-events` 输出重定向到文件来创建与 `--generate-cli-skeleton` 结合使用的输入模板,如以下示例所示。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
生成的模板文件(在本例中为 LookupEvents .txt)如下所示。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 可使用文本编辑器根据需要修改 JSON。JSON 输入只能包含指定的值。
**重要**
必须先从模板中删除所有空值,然后才能使用该模板。
以下示例指定一个时间范围和要返回的结果的最大数目。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 要使用编辑后的文件作为输入,请使用语法 `--cli-input-json file://`**,如下例所示。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注意**
您可在 `--cli-input-json` 所在的命令行中使用其他参数。
## 从文件中获取数据事件的 Insights 事件的 JSON 输入
AWS CLI 对于某些 AWS 服务,有两个参数,即`--generate-cli-skeleton`和`--cli-input-json`,可用于生成 JSON 模板,您可以修改该模板并将其用作`--cli-input-json`参数的输入。本部分介绍如何将这些参数和 `aws cloudtrail list-insights-data` 结合使用。有关更多信息,请参阅 [AWS CLI skeletons and input files](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**通过从文件中获取 JSON 输入来查找 Insights 事件**
1. 通过将 `list-insights-data` 输出重定向到文件来创建与 `--generate-cli-skeleton` 结合使用的输入模板,如以下示例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
生成的模板文件(在本例中为 ListInsightsData .txt)如下所示。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 可使用文本编辑器根据需要修改 JSON。JSON 输入只能包含指定的值。
**重要**
必须先从模板中删除所有空值,然后才能使用该模板。
以下示例指定一个时间范围和要返回的结果的最大数目。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 要使用编辑后的文件作为输入,请使用语法 `--cli-input-json file://`**,如下例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注意**
您可在 `--cli-input-json` 所在的命令行中使用其他参数。
## 查找输出字段
**Events**
基于查找属性和已指定的时间范围的查找事件的列表。该事件列表按时间进行排序,最新的事件排在第一位。每个条目都包含有关查找请求的信息,并包含检索到 CloudTrail 的事件的字符串表示形式。
以下条目描述每个查找事件中的字段。
**CloudTrailEvent**
一个包含已返回事件的对象表示形式的 JSON 字符串。有关已返回的每个元素的信息,请参阅[记录正文内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
**EventId**
一个包含已返回事件的 GUID 的字符串。
**EventName**
一个包含已返回事件的名称的字符串。
**EventSource**
向其发出请求的 AWS 服务。
**EventTime**
事件的日期和时间(采用 UNIX 时间格式)。
**资源**
由已返回的事件引用的资源列表。每个资源条目指定一个资源类型和一个资源名称。
**ResourceName**
一个包含由事件引用的资源名称的字符串。
**ResourceType**
一个包含由事件引用的资源类型的字符串。如果无法确定资源类型,则返回 null。
**用户名**
一个包含已返回事件的账户用户名称的字符串。
**NextToken**
用于从上一个 `lookup-events` 命令获取下一页结果的字符串。要使用该令牌,参数必须与原始命令中的参数相同。如果输出中未显示任何 `NextToken` 条目,则不再返回结果。
有关 CloudTrail Insights 事件的更多信息,请参阅本指南[使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)中的。
# 查看事件数据存储的 Insights 事件
本节介绍如何通过查看 **Insights 事件控制面板**和运行示例查询来查看 Insights 事件数据存储的 Insights 事件。有关如何在事件数据存储上启用 CloudTrail Insights 的信息,请参阅[使用控制台在现有事件数据存储上启用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-lake)。
CloudTrail 查询会根据扫描的数据量收取费用。为了帮助控制成本,我们建议您通过为查询添加开始和结束 `eventTime` 时间戳,来限制查询。有关 CloudTrail 定价的更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
有关事件数据存储的 Insights 事件记录字段的描述,请参阅[CloudTrail 为事件数据存储记录 Insights 事件的内容](cloudtrail-insights-fields-lake.md)。
**Topics**
+ [查看事件数据存储的 Insights 控制面板](#insights-events-view-lake-dashboard)
+ [查看 Insights 事件的示例查询](#insights-events-lake-queries)
## 查看事件数据存储的 Insights 控制面板
**Insights 事件控制面板**按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户和服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。
**注意**
首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。有关更多信息,请参阅 [Insights 事件传送](insights-events-understanding.md)。
**Insights 事件**控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 `ApiCallRateInsight` 上启用 Insights 事件,而不是 `ApiErrorRateInsight`,则您将不会看到有关 `ApiErrorRateInsight` 上的 Insights 事件的信息。
**查看 Insights 事件控制面板**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在左侧导航窗格中,在 **Lake** 下,选择**控制面板**。
1. 选择**托管和自定义控制面板**选项卡。
1. 从 **AWS 托管的控制面板**中,选择 **Insights 事件控制面板**。
1. 选择您的 Insights 事件数据存储。
1. 选择按**绝对范围**或**相对范围**筛选控制面板数据。选择**绝对范围**,以选择特定的日期和时间范围。选择**相对范围**,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。
**注意**
CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1. 选择刷新图标以填充控制面板小组件的图形。每个小组件都指明刷新的状态。
有关 Lake 控制面板的更多信息,请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。
## 查看 Insights 事件的示例查询
CloudTrail 控制台提供了一系列针对 Insights 事件的示例查询,可以帮助您开始编写自己的查询。
**查看 Insights 事件的示例查询**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**查询**。
1. 在**查询**页面上,选择**示例查询**选项卡。
1. 搜索 Insights 事件的查询。选择**查询名称**以在**编辑器**选项卡中打开查询。
![\[示例显示 Insights 事件的示例查询\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. 在**编辑器**选项卡上,选择 Insights 事件数据存储。当您从列表中选择事件数据存储时, CloudTrail会在查询编辑器的`FROM`行中自动填充事件数据存储 ID。
1. 选择**运行**以运行查询。在查询完成后,您可以查看命令输出和查询结果。
**命令输出**选项卡显示有关查询的元数据,例如查询是否成功、匹配的记录数量以及查询的运行时间。
**查询结果**选项卡显示选定事件数据存储中与查询匹配的事件数据。
有关编辑查询的更多信息,请参阅 [使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)。有关运行查询和保存查询结果的更多信息,请参阅[使用控制台运行查询并保存查询结果](query-run-query.md)。