本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 查看跟踪的 Insights 事件
本节介绍如何为启用了 Insights 的跟踪查询过去 90 天的 CloudTrail Insights 事件。有关如何查看事件数据存储的 CloudTrail Insights 的信息,请参阅[查看事件数据存储的 Insights 控制面板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
您可以从控制台上的 **Insights** 页面查看、筛选和下载跟踪的过去 90 天的 Insights 事件。
您可以通过编程方式获取最近 90 天的 Insights 事件:
+ For Trails 通过运行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API 操作来记录管理事件。
+ 对于 Trails,通过运行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API 操作来记录数据事件。
有关跟踪的 Insights 事件记录字段的描述,请参阅[CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
**注意**
**只有在记录管理事件 AWS CLI `lookup-events`或数据事件的跟踪上启用了 Insights 时,Insights 页面和/或`list-insights-data`命令才会列出 Insights 事件。**有关对跟踪启用 Insights 的信息,请参阅[使用控制台对现有跟踪启用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-trail)和[使用记录跟踪的见解事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
要按照 API 调用率记录 Insights 事件,跟踪必须记录`write`管理事件或数据事件。要按照 API 错误率记录 Insights 事件,跟踪必须记录`read``write`管理事件或数据事件。
**Topics**
+ [使用控制台查看跟踪的 Insights 事件](view-insights-events-console.md)
+ [使用查看路径的见解事件 AWS CLI](view-insights-events-cli.md)
# 使用控制台查看跟踪的 Insights 事件
本节介绍如何从 CloudTrail 控制台的 Insights 页面查看、查找和下载过去 90 天内跟踪的 **Insights** 事件。有关如何查看事件数据存储的 CloudTrail Insights 的信息,请参阅[查看事件数据存储的 Insights 控制面板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
记录跟踪的 Insights 事件后,事件将显示在 **Insights**页面上 90 天。您不能从 **Insights** 页面上手动删除事件。由于为某个跟踪启用的 Insights 事件存储在为该跟踪配置的 Amazon S3 存储桶中,因此从存储桶中移除 Insights 事件将删除这些事件。
通过启用 CloudWatch 日志,您可以监控跟踪日志,并在发生特定 Insights 事件时收到通知。有关更多信息,请参阅 [使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。
**注意**
CloudTrail 必须在您的跟踪中启用 Insights 事件,才能在控制台中查看 Insights 事件。如果在此期间检测到异常活动 CloudTrail ,则允许最多 36 小时的时间来发布第一个 Insights 事件。
对于管理事件见解:要按照 API 调用率记录 Insights 事件,跟踪必须记录`write`管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 `read` 或 `write` 管理事件。
对于数据事件见解:要记录有关 API 调用率或 API 错误率的 Insights 事件,跟踪必须记录`read`或`write`数据事件。
**查看 Insights 事件**
1. 登录 AWS 管理控制台 并在家中打开 CloudTrail 主机 [https://console.aws.amazon.com/cloudtrail//](https://console.aws.amazon.com/cloudtrail/home/)。
1. 在导航窗格中,选择 **Insights** 以查看过去 90 天内在您的账户中记录的所有 Insights 事件。您还可以从**控制面板**页面查看五个最新的 Insights 事件。
1. 在 **Insights** 页面上,您可以选择管理事件见解或数据事件见解选项卡
1. 您可以按事件源、事件名称或事件 ID 筛选 Insights 事件。有关筛选 Insights 事件的更多信息,请参阅[筛选 Insights 事件](#filtering-insights-events)。
1. 您可以进一步将列表限制为仅显示某个**相对范围**或**绝对范围**。
**Contents**
+ [筛选 Insights 事件](#filtering-insights-events)
+ [查看 Insights 事件详细信息](#viewing-details-for-an-event)
+ [缩放、平移和下载图表](#viewing-insight-details-zoom)
+ [更改图表时间跨度设置](#viewing-insight-details-timespan)
+ [下载 Insights 事件](#downloading-insights-events)
## 筛选 Insights 事件
默认情况下,**Insights** 页面上的事件按事件开始时间倒序显示。
您可以通过选择以下三个属性之一来筛选列表:
**事件名称**
事件的名称,通常是记录异常活动级别的 AWS API。
**事件源**
向其发出请求的 AWS 服务,例如`iam.amazonaws.com`或`s3.amazonaws.com`。如果您选择按事件源筛选,则可以滚动浏览事件源列表。
**事件 ID**
Insights 事件的 ID。事件 IDs 不会显示在 **Insights** 页面表格中,但它们是您可以根据它们筛选 Insights 事件的属性。为生成 Insights 事件而进行分析的管理事件或数据事件与 Insights 事件不同。 IDs IDs
![\[CloudTrail Insights 事件列表过滤器。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_events_filter.png)
以下列表介绍了事件的属性,这些属性不可筛选:
**Insights 类型**
CloudTrail Insights 事件的类型,可以是 **API 调用率**或 **API 错误率**。**API 调用率**洞察类型根据基准 API 调用量分析每分钟汇总的只写管理或数据 API 调用。**API 错误率**洞察类型分析导致错误代码的管理或数据 API 调用。如果 API 调用不成功,就会显示错误。
**事件开始时间**
Insights 事件的开始时间,测量方式为记录异常活动的第一分钟。此属性显示在 **Insights** 表中,但无法在控制台中通过事件开始时间筛选。
**基线平均值**
基准表示 API 调用率或错误率活动的正常模式(每天计算)。基准平均值是指 Insights 事件开始前七天内这些每日基准的平均值。虽然此周期通常为七天,但会将计算周期 CloudTrail 四舍五入为整数天,因此确切的基准持续时间可能会略有不同。
**Insight 平均值**
触发 Insights 事件的 API 的平均调用次数,或调用 API 时返回的特定错误的平均数。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的发生率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内发生的速率。
**速率变更**
以百分比表示**基线平均值**和 **Insight 平均值**的区别。例如,如果 `AccessDenied` 发生错误的基线平均值为 1.0,并且 Insight 平均值为 3.0,那么速率变更为 300%。超过基线平均值的 Insight 平均值的速率变更在该值旁边显示向上箭头。如果因活动低于基线平均值而记录了 Insights 事件,**比率变动**在百分比旁边显示向下箭头。
如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。
以下步骤介绍如何按属性筛选。
**按属性筛选**
1. 要按属性筛选结果,请从下拉菜单中选择查找属性,然后在**输入查找值**框中键入或选择值。
1. 要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 **X**。
以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。
**按开始日期和时间与结束日期和时间筛选**
1. 在**按日期和时间筛选**中,选择以下选项之一:
+ **绝对**:供您选择具体的时间。继续执行下一步。
+ **相对范围**:默认选中。让您选择相对于 Insights 事件开始时间的时间段。继续执行步骤 3。
1. 要设置**绝对范围**,请执行以下操作。
1. 选择希望时间范围开始的日期。输入所选日期的开始时间。要手动输入日期,请使用 `yyyy/mm/dd` 格式键入日期。开始时间和结束时间使用 24 小时制,且值必须采用 `hh:mm:ss` 格式。例如,要指示开始时间为下午 6:30,请输入 **18:30:00**。
1. 在日历上选择范围的结束日期,或在日历下方指定结束日期和时间。选择**应用**。
1. 要设置**相对范围**,请执行以下操作。
1. 选择相对于 Insights 事件开始时间的预设时间段。预设时间范围包括 30 分钟、1 小时、12 小时或 1 天。要指定自定义时间范围,请选择**自定义**。
1. 设置了所需的相对时间后,请选择**应用**。
1. 要删除时间范围筛选条件,请选择**按日期和时间筛选**框右侧的日历图标,然后选择**清除并关闭**。
## 查看 Insights 事件详细信息
1. 选择 Insights 列表中的事件以显示其详细信息。Insights 事件的详细信息页面显示异常活动时间表的图表。
![\[显示异常 API 活动的 CloudTrail 见解详情页面。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 将鼠标悬停在突出显示的带上,以显示图表中的每个 Insights 事件的开始时间和持续时间。
![\[将鼠标悬停在 Insights 事件上后显示的见解事件统计信息。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
**其他信息**图表区域显示以下信息:
+ **见解类型**:该类型可以是 API 调用率或 API 错误率。
+ **触发器**:这是指向 **Cloudtrail 事件**选项卡的链接,该选项卡列出了为确定发生了异常活动而分析的管理事件或数据事件。
+ **每分钟 API 调用数**或**每分钟错误数**
+ **基线平均值**:在您账户中特定区域内,大约前七天内测量的每分钟对记录 Insights 事件的 API 的典型调用速率。
+ **Insights 平均值**:触发 Insights 事件的此 API 的每分钟调用速率。启动事件的 CloudTrail Insights 平均值是触发 Insights 事件的 API 上每分钟的调用率或错误率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内,每分钟 API 调用的速率。
+ **事件源**:记录异常数量的 API 调用或错误的 AWS 服务端点。在上图中,源是`ec2.amazonaws.com`,这是 Amazon 的服务终端节点 EC2。
+ **开始事件 ID**:异常活动开始时记录的 Insights 事件 ID。
+ **结束事件 ID**:异常活动结束时记录的 Insights 事件 ID。
+ **共享事件 ID**-在 Insights 事件中,**共享事件 ID** 是 Insights 生成的 GUID,用于唯一标识 CloudTrail Insights 事件的开始和结束对。**共享事件 ID** 在开始和结束 Insights 事件之间是通用的,并且有助于在这两个事件建立关联以唯一地标识异常活动。
1. 选择**归因**选项卡,可查看有关与异常活动和基准活动相关的用户身份、用户代理、API 调用率 Insights 事件和错误代码的信息。在**归因**选项卡上的表格中显示最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。
1. 在**CloudTrail 事件**选项卡上,查看相关事件,这些事件 CloudTrail经过分析以确定发生了异常活动。默认情况下,已对 Insights 事件名称应用了筛选条件,该名称也是相关 API 的名称。**CloudTrail 事件**选项卡显示在 Insights 事件的开始时间(减去一分钟)和结束时间(加一分钟)之间发生的与主题 API 相关的 CloudTrail 管理事件或数据事件。
当您在图表中选择其他 Insights 事件时,事件表中显示**CloudTrail 的事件会发生**变化。这些事件可帮助您执行更深入的分析,以确定 Insights 事件的可能原因以及异常 API 活动的原因。
要显示在 Insights 事件持续时间内记录的所有 CloudTrail 事件,而不仅仅是相关 API 的事件,请关闭过滤器。
1. 选择 **Insights 事件记录**选项卡以查看 JSON 格式的 Insights 开始和结束事件。
1. 选择链接的**事件源**将返回由该事件源筛选的 **Insights** 页面。
## 缩放、平移和下载图表
您可以使用右上角的工具栏缩放、平移和重置 Insights 事件详细信息页面上图表的轴。
![\[以 PNG 格式下载、缩放、平移、放大、缩小和重置轴命令工具栏。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
从左到右,图表工具栏上的命令按钮执行以下操作:
+ **以 png 格式下载图**:下载详细信息页面上显示的图表图像,并将其保存为 PNG 格式。
+ **缩放**:拖动以选择图表上要放大的区域并更详细地查看。
+ **平移**:移动图表以查看相邻的日期或时间。
+ **重置轴**:将图表轴更改回原始状态,同时清除缩放和平移设置。
## 更改图表时间跨度设置
您可以更改时间跨度:事件显示在 *x* 轴上的所选持续时间:通过选择图表右上角的设置显示在图表中。
![\[Insights 事件的时间跨度控制。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## 下载 Insights 事件
您可以采用 CSV 或 JSON 格式的文件形式下载记录的 Insights 事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。
**注意**
CloudTrail 事件历史文件是包含可由个人用户配置的信息(例如资源名称)的数据文件。有些数据在用来读取和分析该数据的程序中有可能被解释为命令(CSV 注入)。例如,将 CloudTrail 事件导出为 CSV 并导入到电子表格程序时,该程序可能会警告您注意安全问题。作为安全最佳实践,请禁用来自下载的事件历史记录文件中的链接或宏。
1. 指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称 `StartInstances`,并指定过去 12 小时的活动的时间范围。
1. 选择**下载事件**,然后选择**下载为 CSV**或**下载为 JSON**。系统会提示您选择保存文件的位置。
**注意**
您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。
1. 下载完成后,打开文件以查看您指定的事件。
1. 要取消下载,请选择**取消**。如果在下载完成之前取消下载,则本地计算机上的 CSV 或 JSON 文件可能只包含部分事件。
# 使用查看路径的见解事件 AWS CLI
本节介绍如何使用 AWS CLI `lookup-events`和`list-insights-data`命令为启用了 Insights 事件的跟踪查找过去 90 天的 Insights 事件。有关如何在跟踪上启用 CloudTrail Insights 的信息,请参阅[使用记录跟踪的见解事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
**注意**
您不能使用`lookup-events`或`list-insights-data`命令为事件数据存储查找 Insights 事件,但是,La CloudTrail ke 提供了许多针对 Insights 事件数据存储的示例查询。有关更多信息,请参阅 [查看 Insights 事件的示例查询](insights-events-view-lake.md#insights-events-lake-queries)。
此 `lookup-events` 命令具有以下选项:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
此 `list-insights-data` 命令具有以下选项:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
有关使用的一般信息 AWS Command Line Interface,请参阅《[AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**Contents**
+ [先决条件](#aws-cli-prerequisites-for-insights)
+ [获取命令行帮助](#getting-command-line-help-insights)
+ [查找管理事件的 Insights 事件](#looking-up-management-insights-with-the-aws-cli)
+ [查找数据事件的 Insights 事件](#looking-up-data-insights-with-the-aws-cli)
+ [指定要返回的管理事件的 Insights 事件的数量](#specify-the-number-of-management-insights-to-return)
+ [指定要返回的数据事件的 Insights 事件数量](#specify-the-number-of-data-insights-to-return)
+ [按时间范围查找管理事件的 Insights 事件](#look-up-management-insights-by-time-range)
+ [按时间范围查找数据事件的 Insights 事件](#look-up-data-insights-by-time-range)
+ [按属性查找管理事件的 Insights 事件](#look-up-management-insights-by-attributes)
+ [属性查找示例](#attribute-lookup-example-insights)
+ [按维度查找数据事件的 Insights 事件](#look-up-data-insights-by-attributes)
+ [维度查询示例](#dimension-lookup-example-insights)
+ [为管理事件指定 Insights 事件的下一页结果](#specify-next-page-of-management-results)
+ [为管理事件指定 Insights 事件的下一页结果](#specify-next-page-of-data-results)
+ [从文件中获取管理事件的 Insights 事件的 JSON 输入](#json-input-from-file-managemenet-insights)
+ [从文件中获取数据事件的 Insights 事件的 JSON 输入](#json-input-from-file-data-insights)
+ [查找输出字段](#view-insights-events-cli-output-fields)
## 先决条件
+ 要运行 AWS CLI 命令,必须安装 AWS CLI。有关更多信息,请参阅 [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 确保您的 AWS CLI 版本高于 1.6.6。要验证 CLI 版本,请在命令行上运行 **aws --version**。
+ 要为 AWS CLI 会话设置账户、区域和默认输出格式,请使用**aws configure**命令。有关更多信息,请参阅[配置 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 要针对 API 调用率记录 Insights 事件,跟踪必须记录 `write` 管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 `read` 或 `write` 管理事件。
**注意**
这些 CloudTrail AWS CLI 命令区分大小写。
## 获取命令行帮助
要查看 `lookup-events` 的命令行帮助,请键入以下命令。
```
aws cloudtrail lookup-events help
```
## 查找管理事件的 Insights 事件
要查看 50 个最新的 Insights 事件,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight
```
返回的事件看起来与下面的示例相似,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
有关输出中与查找相关的字段的说明,请参阅这一主题中的[查找输出字段](#view-insights-events-cli-output-fields)部分。有关 Insights 事件中的字段的说明,请参阅 [CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
## 查找数据事件的 Insights 事件
要查看 50 个最新的 Insights 事件,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
返回的事件看起来与下面的示例相似,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 指定要返回的管理事件的 Insights 事件的数量
要指定要返回的管理事件的 Insights 事件数量,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
的默认值(如果未指定)为 50。**可能的值介于 1 和 50 之间。以下示例返回一个结果。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## 指定要返回的数据事件的 Insights 事件数量
要指定要返回的数据事件的 Insights 事件数量,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
的默认值(如果未指定)为 50。**可能的值介于 1 和 50 之间。以下示例返回一个结果。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 按时间范围查找管理事件的 Insights 事件
过去 90 天内管理事件的见解事件可供查找。要指定时间范围,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` 指定仅返回在指定时间或之后(采用 UTC)发生的 Insights 事件。如果指定的开始时间晚于指定的结束时间,则将返回错误。
`--end-time ` 指定仅返回在指定时间或之前(采用 UTC)发生的 Insights 事件。如果指定的结束时间早于指定的开始时间,则将返回错误。
默认开始时间为过去 90 天内提供数据的最早日期。默认结束时间为在最接近当前时间发生事件的时间。
所有时间戳均采用 UTC 显示。
## 按时间范围查找数据事件的 Insights 事件
过去 90 天的数据事件洞察事件可供查找。要指定时间范围,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` 指定仅返回在指定时间或之后(采用 UTC)发生的 Insights 事件。如果指定的开始时间晚于指定的结束时间,则将返回错误。
`--end-time ` 指定仅返回在指定时间或之前(采用 UTC)发生的 Insights 事件。如果指定的结束时间早于指定的开始时间,则将返回错误。
默认开始时间为过去 90 天内提供数据的最早日期。默认结束时间为在最接近当前时间发生事件的时间。
所有时间戳均采用 UTC 显示。
## 按属性查找管理事件的 Insights 事件
要按属性进行筛选,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
您只能为每个 **lookup-events** 命令指定一个属性密钥-值对。以下是 `AttributeKey` 的有效 Insights 事件值。值的名称区分大小写。
+ `EventId`
+ `EventName`
+ `EventSource`
`AttributeValue` 的最大长度为 2000 个字符。在 2000 个字符限制中,以下字符(“`_`”、“` `”、“`,`”、“`\\n`”)算作两个字符。
### 属性查找示例
以下示例命令返回 `EventName` 值为 `PutRule` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
以下示例命令返回 `EventId` 值为 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
以下示例命令返回 `EventSource` 值为 `iam.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## 按维度查找数据事件的 Insights 事件
要按维度筛选,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
您只能为每个**list-insights-events**命令指定一个维度键值对。以下是 `DimensionKey` 的有效 Insights 事件值。值的名称区分大小写。
+ `EventId`
+ `EventName`
+ `EventSource`
`DimensionValue` 的最大长度为 2000 个字符。在 2000 个字符限制中,以下字符(“`_`”、“` `”、“`,`”、“`\\n`”)算作两个字符。
### 维度查询示例
以下示例命令返回 `EventName` 值为 `PutObject` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
以下示例命令返回 `EventId` 值为 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
以下示例命令返回 `EventSource` 值为 `s3.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 为管理事件指定 Insights 事件的下一页结果
要从 `lookup-events` 命令获取下一页结果,请键入以下命令。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
在此命令中,的**值取自上一个命令输出的第一个字段。
在命令中使用 `--next-token` 时,您必须使用与上一个命令中相同的参数。例如,假设您运行以下命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
要获取下一页结果,您的下一个命令将如下所示。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 为管理事件指定 Insights 事件的下一页结果
要从 `list-insights-data` 命令获取下一页结果,请键入以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
在此命令中,的**值取自上一个命令输出的第一个字段。
在命令中使用 `--next-token` 时,您必须使用与上一个命令中相同的参数。例如,假设您运行以下命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
要获取下一页结果,您的下一个命令将如下所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 从文件中获取管理事件的 Insights 事件的 JSON 输入
AWS CLI 对于某些 AWS 服务,有两个参数,即`--generate-cli-skeleton`和`--cli-input-json`,可用于生成 JSON 模板,您可以修改该模板并将其用作`--cli-input-json`参数的输入。本部分介绍如何将这些参数和 `aws cloudtrail lookup-events` 结合使用。有关更多信息,请参阅 [AWS CLI skeletons and input files](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**通过从文件中获取 JSON 输入来查找 Insights 事件**
1. 通过将 `lookup-events` 输出重定向到文件来创建与 `--generate-cli-skeleton` 结合使用的输入模板,如以下示例所示。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
生成的模板文件(在本例中为 LookupEvents .txt)如下所示。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 可使用文本编辑器根据需要修改 JSON。JSON 输入只能包含指定的值。
**重要**
必须先从模板中删除所有空值,然后才能使用该模板。
以下示例指定一个时间范围和要返回的结果的最大数目。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 要使用编辑后的文件作为输入,请使用语法 `--cli-input-json file://`**,如下例所示。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注意**
您可在 `--cli-input-json` 所在的命令行中使用其他参数。
## 从文件中获取数据事件的 Insights 事件的 JSON 输入
AWS CLI 对于某些 AWS 服务,有两个参数,即`--generate-cli-skeleton`和`--cli-input-json`,可用于生成 JSON 模板,您可以修改该模板并将其用作`--cli-input-json`参数的输入。本部分介绍如何将这些参数和 `aws cloudtrail list-insights-data` 结合使用。有关更多信息,请参阅 [AWS CLI skeletons and input files](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**通过从文件中获取 JSON 输入来查找 Insights 事件**
1. 通过将 `list-insights-data` 输出重定向到文件来创建与 `--generate-cli-skeleton` 结合使用的输入模板,如以下示例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
生成的模板文件(在本例中为 ListInsightsData .txt)如下所示。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 可使用文本编辑器根据需要修改 JSON。JSON 输入只能包含指定的值。
**重要**
必须先从模板中删除所有空值,然后才能使用该模板。
以下示例指定一个时间范围和要返回的结果的最大数目。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 要使用编辑后的文件作为输入,请使用语法 `--cli-input-json file://`**,如下例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注意**
您可在 `--cli-input-json` 所在的命令行中使用其他参数。
## 查找输出字段
**Events**
基于查找属性和已指定的时间范围的查找事件的列表。该事件列表按时间进行排序,最新的事件排在第一位。每个条目都包含有关查找请求的信息,并包含检索到 CloudTrail 的事件的字符串表示形式。
以下条目描述每个查找事件中的字段。
**CloudTrailEvent**
一个包含已返回事件的对象表示形式的 JSON 字符串。有关已返回的每个元素的信息,请参阅[记录正文内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
**EventId**
一个包含已返回事件的 GUID 的字符串。
**EventName**
一个包含已返回事件的名称的字符串。
**EventSource**
向其发出请求的 AWS 服务。
**EventTime**
事件的日期和时间(采用 UNIX 时间格式)。
**资源**
由已返回的事件引用的资源列表。每个资源条目指定一个资源类型和一个资源名称。
**ResourceName**
一个包含由事件引用的资源名称的字符串。
**ResourceType**
一个包含由事件引用的资源类型的字符串。如果无法确定资源类型,则返回 null。
**用户名**
一个包含已返回事件的账户用户名称的字符串。
**NextToken**
用于从上一个 `lookup-events` 命令获取下一页结果的字符串。要使用该令牌,参数必须与原始命令中的参数相同。如果输出中未显示任何 `NextToken` 条目,则不再返回结果。
有关 CloudTrail Insights 事件的更多信息,请参阅本指南[使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)中的。