本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Detective 中查看大量实体的详细信息
<a name="high-volume-entities"></a>

在[行为图](behavior-graph-data-about.md)中，Amazon Detective 跟踪实体之间的关系。例如，每个行为图都会跟踪 AWS 用户何时创建 AWS 角色以及 EC2 实例何时连接到 IP 地址。

当一个实体在一段时间内有太多关系时，Detective 无法存储所有关系。如果在当前范围时间内发生这种情况，Detective 会通知您。Detective 还提供了大量实体出现的列表。

## 什么是大量实体？
<a name="high-volume-entity-about"></a>

在给定的时间间隔内，实体可能是大量连接的起点或目的地。例如，一个 EC2 实例可能有来自数百万个 IP 地址的连接。

Detective 对在每个时间间隔内可以容纳的连接数量设有限制。如果实体超过该限制，则 Detective 将丢弃该时间间隔内的连接。

例如，假设每个时间间隔的限制为 1 亿个连接。如果 EC2 实例在一段时间间隔内被超过 1 亿个 IP 地址连接，则 Detective 会丢弃该时间间隔内的连接。

但是，您也许可以根据关系另一端的实体来分析该活动。继续举例来说，虽然一个 EC2 实例可能连接到数百万个 IP 地址，但单个 IP 地址连接到的 EC2 实例数量要少得多。每个 IP 地址配置文件都提供有关该 IP 地址所连接的 EC2 实例的详细信息。

## 在配置文件上查看大量实体通知
<a name="high-volume-entity-profile-notification"></a>

如果调查发现或实体配置文件的范围时间包含实体的超长时间间隔，则 Detective 会在调查发现或实体配置文件的顶部显示一条通知。为了调查发现配置文件，该通知是针对相关实体的。

该通知中包括具有超长时间间隔的关系列表。每个列表条目都包含对关系的描述以及超长时间间隔的起始时间。

超长时间间隔可能表明存在可疑活动。要了解同时发生了哪些其他活动，您可以将调查重点放在超长时间间隔上。大量实体通知包括将范围时间设置为该时间间隔的选项。

**要将范围时间设置为超长时间间隔**

1. 在大量实体通知中，选择时间间隔。

1. 在弹出式菜单上，选择**应用范围时间**。

## 查看当前范围时间内的大量实体列表
<a name="high-volume-entity-list"></a>

**大量实体**页面包含当前范围时间内的超长时间间隔和实体的列表。

**要显示大量实体页面**

1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。

1. 在 Detective 导航窗格中，选择**大量实体**。

列表中的每个条目都包含以下信息：
+ 超长时间间隔的起始时间
+ 实体的标识符和类型
+ 关系的描述，例如“从 IP 地址连接的 EC2 实例”

您可以按任何一列对列表进行筛选和排序。您也可以导航到相关实体的实体配置文件。

**要导航到实体的配置文件**

1. 在**大量实体**列表中，选择要从中导航的行。

1. 选择**使用超长范围时间查看配置文件**。

当您要使用此选项导航到实体配置文件时，范围时间设置如下：
+ 范围时间从超长时间间隔前 30 天开始。
+ 范围时间在超长时间间隔结束时结束。