本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在配置文件面板上浏览活动详细信息
<a name="profile-panel-drilldown"></a>

在调查期间，您可能需要进一步调查某个实体的活动模式。

在以下配置文件面板中，您可以显示活动详细信息摘要：
+ **API 调用总量**，但用户代理配置文件上的配置文件面板除外
+ **观察到新的地理位置**
+ **VPC 的总流量**
+ 对于与单个 IP 地址关联的调查发现，**进出调查发现 IP 地址的 VPC 流量**
+ **容器详细信息**
+ **集群的 VPC 流量**
+ **Kubernetes API 的总活动度**

活动详情可以回答以下类型的问题：
+ 使用了哪些 IP 地址？
+ 这些 IP 地址位于哪里？
+ 每个 IP 地址都调用了哪些 API，以及这些调用来自哪些服务？
+ 使用了哪些主体或访问密钥标识符 (AKIDs) 来拨打电话？
+ 使用了哪些资源来进行调用？
+ 进行了多少次调用？ 成功和失败的调用各有多少次？
+ 发送到每个 IP 地址或从每个 IP 地址发送的 VPC 流量日志数据量是多少？
+ 在特定集群、映像或容器组（pod）中，哪些容器处于活动状态？

**Topics**
+ [API 调用总量的活动详细信息](profile-panel-drilldown-overall-api-volume.md)
+ [地理位置的活动详细信息](profile-panel-drilldown-new-geolocations.md)
+ [VPC 总流量的活动详细信息](profile-panel-drilldown-overall-vpc-volume.md)
+ [涉及 EKS 集群的 Kubernetes API 活动总量](profile-panel-drilldown-kubernetes-api-volume.md)

# API 调用总量的活动详细信息
<a name="profile-panel-drilldown-overall-api-volume"></a>

**API 调用总量**的活动详细信息显示了在选定时间范围内发出的 API 调用。

要显示单个时间间隔的活动详细信息，请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息，请选择**显示范围时间的详细信息**。

请注意，Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。该日期会在配置文件面板时间轴上突出显示。对于在该日期之前发生的活动，服务名称为**未知服务**。

## 活动详细信息的内容（用户、角色、账户、角色会话、EC2 实例、S3 存储桶）
<a name="drilldown-api-volume-content"></a>

对于 IAM 用户、IAM 角色、账户、角色会话、EC2 实例和 S3 存储桶，活动详细信息包含以下信息：
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。

  对于 S3 存储桶，该信息反映了对 S3 存储桶进行的 API 调用。

  API 调用按调用它们的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。
+ 对于每个条目，活动详细信息显示成功和失败的调用次数。**观察到的 IP 地址**选项卡还显示每个 IP 地址的位置。
+ 每个条目都显示进行调用者的信息。对于账户，活动详细信息可用于确定用户或角色。对于角色而言，活动详细信息可用于确定角色会话。对于用户和角色会话，活动详细信息标识了访问密钥标识符 (AKIDs)。

  请注意，自 2021 年 7 月 14 日起，对于账户资料，活动详情显示的是用户或角色，而不是 AKIDs。对于角色配置文件，活动详细信息显示的是角色会话，而不是 AKIDs。对于 2021 年 7 月 14 日之前发生的活动，调用者被列为**未知资源**。

活动详细信息包含以下选项卡：

**观察到的 IP 地址**  
最初显示用于发出 API 调用的 IP 地址列表。  
您可以展开每个 IP 地址，显示从该 IP 地址发出的 API 调用列表。API 调用按调用它们的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
然后，您可以展开每个 API 调用，显示来自该 IP 地址的调用者列表。根据不同的配置文件，调用者可能是用户、角色、角色会话或 AKID。  

![\[“整体 API 调用量” 面板的 “观察到的 IP 地址” 选项卡的视图，条目展开后显示了 IP 地址、API 调用和的层次结构 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**按服务划分的 API 方法**  
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
您可以扩展每个 API 方法，显示发出调用的 IP 地址列表。  
然后，您可以展开每个 IP 地址以显示从该 IP 地址发出该 API 调用的列表。 AKIDs   

![\[“整体 API 调用量” 面板的 “按服务划分的 API 方法” 选项卡的视图，其中一个条目展开后显示了 API 调用的层次结构、IP 地址和 AKIDs。API 调用按服务进行分组。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**资源或访问密钥 ID**  
最初显示用户、角色、角色会话或用于发 AKIDs 出 API 调用的用户列表。  
您可以展开每个调用者，显示调用者发出 API 调用的 IP 地址列表。  
然后，您可以展开每个 IP 地址，显示该调用者从该 IP 地址发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  

![\[“整体 API 调用量” 面板的 “资源” 选项卡视图，条目展开后显示按服务分组的 IP 地址和 API 调用的层次结构。 AKIDs\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## 活动详细信息的内容（IP 地址）
<a name="drilldown-api-volume-content-ip"></a>

对于 IP 地址，活动详细信息包含以下信息：
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。
+ 对于每个条目，活动详细信息显示成功和失败的调用次数。

活动详细信息包含以下选项卡：

**资源**  
最初显示从 IP 地址发出 API 调用的资源列表。  
对于每种资源，列表都包括资源名称、类型和 AWS 账户。  
您可以展开每种资源，显示该资源从 IP 地址发出的 API 调用列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  

![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的资源选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**按服务划分的 API 方法**  
最初显示已发出的 API 调用的列表。API 调用按发出调用的服务进行分组。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
您可以展开每个 API 调用，显示在所选时间段内从 IP 地址发出 API 调用的资源列表。  

![\[查看 IP 地址 API 调用总量配置文件面板上活动详细信息的按服务划分的 API 方法选项卡。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## 对活动详细信息进行排序
<a name="drilldown-api-volume-sort"></a>

您可以按列表中的任何一列对活动详细信息进行排序。

使用第一列进行排序时，只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。

## 筛选活动详细信息
<a name="drilldown-api-volume-filter"></a>

您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。

在所有选项卡上都可以根据第一列中的任何值筛选列表。

**添加筛选器**

1. 选择筛选器框。

1. 从**属性**中，选择要用于筛选的属性。

1. 提供用于筛选的值。筛选器支持部分值。例如，按 API 方法进行筛选时，如果按 **Instance** 进行筛选，则结果就会包括名称中包含 `Instance` 的任何 API 操作。因此，`ListInstanceAssociations` 和 `UpdateInstanceInformation` 都能匹配。

   对于服务名称、API 方法和 IP 地址，您可以指定一个值或选择一个内置筛选器。

   对于**常用 API 子字符串**，请选择表示操作类型的子字符串，例如 `List`、`Create` 或 `Delete`。每个 API 方法名称都以操作类型开头。

   对于 **CIDR 模式**，您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。

1. 选择布尔值选项*Resource*或 *Service***：包含**或**！ ****: 不包含；或*API method*或 *IP address* **= 等于**或！ : 不等于**设置过滤器。  
![\[活动详情筛选器的可用筛选器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/api-volume-search.png)

要删除筛选器，请选择标签右上角的 **x** 标记。

要清除所有筛选器，请选择**清除筛选器**。

## 为活动详细信息选择时间范围
<a name="drilldown-api-volume-time-range"></a>

 首次显示活动详细信息时，时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

**要更改活动详细信息的时间范围**

1. 选择**编辑**。

1. 在**编辑时间窗口**上，选择要使用的开始和结束时间。

   要将时间窗口设置为配置文件的默认范围时间，请选择**设置为默认范围时间**。

1. 选择**更新时间窗口**。

活动详细信息的时间范围在配置文件面板图表上突出显示。

![\[API 调用总量配置文件面板的突出显示时间窗口\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 查询原始日志
<a name="query-raw-logs"></a>

Amazon Detective 与 Amazon Security Lake 集成，这意味着您可以查询和检索 Security Lake 存储的原始日志数据。有关此集成的更多信息，请参阅[Amazon Detective 与亚马逊安全湖集成](securitylake-integration.md)。

使用此集成，您可以从 Security Lake 原生支持的以下来源收集和查询日志与事件。
+ AWS CloudTrail 管理事件版本 1.0 及更高版本
+ 亚马逊 Virtual Private Cloud（亚马逊 VPC）流日志 1.0 及更高版本
+ 亚马逊 Elastic Kubernetes Service（亚马逊 EKS）审核日志版本 2.0

**注意**  
在 Detective 中查询原始数据日志不会产生额外费用。其他 AWS 服务（包括 Amazon Athena）的使用费仍按公布的费率收取。

**查询原始日志**

1. 选择**显示时间范围的详细信息**。

1. 在此处，您可以开始**查询原始日志**。

1. 在**原始日志预览**表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。

   在查询原始日志表中，您可以**取消查询请求**，**在 Amazon Athena 中查看结果**，并**下载结果** [下载为逗号分隔值（.csv）文件]。

如果您在 Detective 中看到日志，但查询未返回任何结果，则可能是由于以下原因而引起的。
+ 原始日志可能会先在 Detective 中可用，然后才显示在 Security Lake 日志表中。请稍后重试。
+ Security Lake 中可能缺少日志。如果您等待了很长时间，则表示 Security Lake 中缺少日志。要解决该问题，请联系您的 Security Lake 管理员。

# 地理位置的活动详细信息
<a name="profile-panel-drilldown-new-geolocations"></a>

**新观察到的地理位置**的活动详细信息显示了在范围时间内从地理位置发出的 API 调用。API 调用包括从地理位置发出的所有调用。它们不限于使用调查发现或配置文件实体的调用。对于 S3 存储桶，活动调用是对 S3 存储桶进行的 API 调用。

Detective 使用 MaxMind GeoIP 数据库确定请求的位置。 MaxMind 尽管准确性因国家和知识产权类型等因素而异，但它们在国家一级的数据的准确性非常高。有关的更多信息 MaxMind，请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何 GeoIP 数据不正确，可以通过 “更正地理数据” 向 Maxmind 提交更[MaxMind 正](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2 

API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。

要显示活动详细信息，请执行以下操作之一：
+ 在地图上选择一个地理位置。
+ 在列表中，选择地理位置的**详细信息**。

活动详细信息取代了地理位置列表。要返回到地理位置列表，请选择**返回到所有结果**。

请注意，Detective 从 2021 年 7 月 14 日起开始存储和显示 API 调用的服务名称。对于在该日期之前发生的活动，服务名称为**未知服务**。

## 活动详细信息的内容
<a name="profile-panel-drilldown-geolocation-content"></a>

每个选项卡都提供了范围时间内从地理位置发出的所有 API 调用的信息。

对于每个 IP 地址、资源和 API 方法，列表显示成功和失败的 API 调用次数。

活动详细信息包含以下选项卡：

**观察到的 IP 地址**  
最初显示用于从所选地理位置发出 API 调用的 IP 地址列表。  
您可以展开每个 IP 地址，显示从该 IP 地址发出 API 调用的资源。列表显示资源名称。要查看主体 ID，请将鼠标悬停在名称上。  
然后，您可以展开每个资源，显示该资源从该 IP 地址发出的特定 API 调用。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  

![\[查看新观察到的地理位置面板中的观察到的 IP 地址选项卡，其中一个条目已展开，显示 IP 地址、资源和 API 方法的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**资源**  
最初显示从所选地理位置发出 API 调用的资源列表。列表显示资源名称。要查看主体 ID，请在名称上暂停一下。对于每种资源，**资源**选项卡还会显示关联的 AWS 账户。  
您可以展开每个用户或角色，显示该资源发出的 API 调用的列表。API 调用按发出调用的服务进行分组。对于 S3 存储桶，服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务，则该调用将列在**未知服务**下。  
然后，您可以展开每个 API 调用，显示资源发出 API 调用的 IP 地址列表。  

![\[查看新观察到的地理位置面板中的资源选项卡，其中一个条目已展开，显示用户或角色、API 方法和 IP 地址的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## 对活动详细信息进行排序
<a name="drilldown-geolocation-sort"></a>

您可以按列表中的任何一列对活动详细信息进行排序。

使用第一列进行排序时，只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。

## 筛选活动详细信息
<a name="drilldown-geolocation-filter"></a>

您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。

在所有选项卡上都可以根据第一列中的任何值筛选列表。

**添加筛选器**

1. 选择筛选器框。

1. 从**属性**中，选择要用于筛选的属性。

1. 提供用于筛选的值。筛选器支持部分值。例如，按 API 方法进行筛选时，如果按 **Instance** 进行筛选，则结果就会包括名称中包含 `Instance` 的任何 API 操作。因此，`ListInstanceAssociations` 和 `UpdateInstanceInformation` 都能匹配。

   对于服务名称、API 方法和 IP 地址，您可以指定一个值或选择一个内置筛选器。

   对于**常用 API 子字符串**，请选择表示操作类型的子字符串，例如 `List`、`Create` 或 `Delete`。每个 API 方法名称都以操作类型开头。

   对于 **CIDR 模式**，您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。

1. 如果您有多个筛选器，请选择 Boolean 选项来设置这些筛选器的连接方式。  
![\[活动详细信息筛选器的各个筛选器之间的可用连接器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. 要删除筛选器，请选择标签右上角的 **x** 标记。

1. 要清除所有筛选器，请选择**清除筛选器**。

# VPC 总流量的活动详细信息
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

对于 EC2 实例，**VPC 的总流量**的活动详细信息显示了选定时间范围内该 EC2 实例与 IP 地址之间的交互情况。

对于 Kubernetes 容器组，**VPC 的总流量**显示所有目标 IP 地址的 Kubernetes 容器组（pod）分配的 IP 地址的进出字节总量。在 `hostNetwork:true` 时，Kubernetes 容器组（pod）的 IP 地址不是唯一的。在这种情况下，面板会显示到具有相同配置的其他容器组（pod）的流量以及托管它们的节点。

对于 IP 地址，**VPC 的总流量**的活动详细信息显示了选定时间范围内该 IP 地址与 EC2 实例之间的交互情况。

要显示单个时间间隔的活动详细信息，请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息，请选择**显示范围时间的详细信息**。

## 活动详细信息的内容
<a name="drilldown-vpc-volume-content"></a>

内容反映所选时间范围内的活动。

对于 EC2 实例，活动详细信息包含 IP 地址、本地端口、远程端口、协议和方向的每个唯一组合的条目。

对于 IP 地址，活动详细信息包含 EC2 实例、本地端口、远程端口、协议和方向的每个唯一组合的条目。

每个条目都显示入站流量、出站流量以及访问请求是被接受还是被拒绝。在调查发现配置文件上，**注释**列会指示 IP 地址何时与当前调查发现相关。

![\[VPC 的总流量配置文件面板的活动详细信息。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## 对活动详细信息进行排序
<a name="drilldown-vpc-volume-sort"></a>

您可以按表中的任何一列对活动详细信息进行排序。

默认情况下，活动详细信息首先按照注释排序，然后按照入站流量排序。

## 筛选活动详细信息
<a name="drilldown-vpc-volume-filter"></a>

要关注特定活动，您可以按以下值筛选活动详细信息：
+ IP 地址或 EC2 实例
+ 本地或远程端口
+ 方向
+ 协议
+ 请求是被接受还是被拒绝

**要添加和删除筛选器**

1. 选择筛选器框。

1. 从**属性**中，选择要用于筛选的属性。

1. 提供用于筛选的值。筛选器支持部分值。

   要按 IP 地址进行筛选，您可以指定一个值或选择一个内置筛选器。

   对于 **CIDR 模式**，您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。

1. 如果您有多个筛选器，请选择 Boolean 选项来设置这些筛选器的连接方式。  
![\[活动详细信息筛选器的各个筛选器之间的可用连接器列表。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. 要删除筛选器，请选择标签右上角的 **x** 标记。

1. 要清除所有筛选器，请选择**清除筛选器**。

## 为活动详细信息选择时间范围
<a name="drilldown-vpc-volume-time-range"></a>

 首次显示活动详细信息时，时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

**要更改活动详细信息的时间范围**

1. 选择**编辑**。

1. 在**编辑时间窗口**上，选择要使用的开始和结束时间。

   要将时间窗口设置为配置文件的默认范围时间，请选择**设置为默认范围时间**。

1. 选择**更新时间窗口**。

活动详细信息的时间范围在配置文件面板图表上突出显示。

![\[在 VPC 的总流量配置文件面板上突出显示活动详细信息的时间窗口。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## 显示选定行的流量
<a name="drilldown-vpc-volume-chart-details"></a>

当您确定了感兴趣的行，就可以在主图表上显示这些行在一段时间内的流量。

对于要添加到图表中的每行，请选中该复选框。对于选定的每行，容量在入站或出站图表上显示为一条线。

![\[选定活动详细信息行的流量显示在 VPC 的总流量配置文件面板的主图表上。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


要关注所选条目的流量，您可以隐藏总流量。要显示或隐藏总流量，请切换**总流量**。

![\[选定活动详细信息行的流量显示在 VPC 总流量配置文件面板的主图表上。总流量是隐藏的。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## 显示 EKS 集群的 VPC 流量
<a name="display-traffic-for-eks-clusters"></a>

Detective 可以查看 Amazon Virtual Private Cloud (Amazon VPC) 流量日志，这些日志代表了穿越 Amazon Elastic Kubernetes Service (Amazon EKS)集群的流量。对于 Kubernetes 资源，VPC 流日志的内容取决于 EKS 集群中部署的容器网络接口（CNI）。

默认配置的 EKS 集群使用 Amazon VPC CNI 插件。有关更多详细信息，请参阅《Amazon EKS 用户指南》中的[管理 VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)****。Amazon VPC CNI 插件使用容器组（pod）的 IP 地址发送内部流量，并将源 IP 地址转换为节点的 IP 地址以进行外部通信。Detective 可以捕获内部流量并将其关联到正确的容器组（pod），但却无法捕获外部流量。

如果您要 Detective 能够发现容器组（pod）的外部流量，请启用外部源网络地址转换 (SNAT)。启用 SNAT 有其局限性和缺点。有关更多详细信息，请参阅《Amazon EKS 用户指南》中的[容器组（pod）SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)****。

如果您使用不同的 CNI 插件，Detective 对具有 `hostNetwork:true` 的容器组（pod）的可见性就会受到限制。对于这些容器组（pod），**VPC 流量**面板会显示发往容器组（pod）的 IP 地址的所有流量。这包括到主机节点的流量，以及任何具有 `hostNetwork:true` 配置的节点上容器组（pod）的流量。

Detective 在 EKS 容器组（pod）的 **VPC 流量**面板中显示以下 EKS 集群配置的流量：
+ 在具有 Amazon VPC CNI 插件的集群中，任何向群集 VPC 内发送流量的具有配置 `hostNetwork:false` 的容器组（pod）。
+ 在具有 Amazon VPC CNI 插件和配置 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` 的集群中，任何向群集 VPC 外发送流量的具有 `hostNetwork:false` 的容器组（pod）。
+ 任何具有配置 `hostNetwork:true` 的容器组（pod）。来自该节点的流量会与来自其他具有配置 `hostNetwork:true` 的容器组（pod）的流量混合在一起。

Detective 不会在 **VPC 流量**面板中显示以下各项的流量：
+ 在具有 Amazon VPC CNI 插件和配置 `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 的集群中，任何向集群 VPC 外发送流量的具有配置 `hostNetwork:false` 的容器组（pod）。
+ 在没有针对 Kubernetes 的 Amazon VPC CNI 插件的集群中，任何具有配置 `hostNetwork:false` 的容器组（pod）。
+ 任何向托管在同一节点中的另一个容器组发送流量的容器组（pod）。

## 显示共享的 Amazon 的 VPC 流量 VPCs
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective 可以查看您共享的亚马逊虚拟私有云（亚马逊 VPC）流日志 VPCs：
+ 如果 Detective 成员账户拥有共享 Amazon VPC，且还有其他非 Detective 账户使用共享 VPC，则 Detective 将监控来自该 VPC 的所有流量，并提供有关该 VPC 内所有流量的可视化。
+ 如果您在共享 Amazon VPC 内有一个 Amazon EC2 实例，且共享 VPC 所有者不是 Detective 成员，则 Detective 将不会监控来自该 VPC 的任何流量。如果您想查看 VPC 内的流量，则必须将 Amazon VPC 所有者添加为 Detective 图的成员。

# 涉及 EKS 集群的 Kubernetes API 活动总量
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

**涉及 EKS 集群的 Kubernetes API 总体活动**的活动详细信息显示了在选定时间范围内发出的成功和失败的 Kubernetes API 调用次数。

要显示单个时间间隔的活动详细信息，请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息，请选择**显示范围时间的详细信息**。

## 活动详细信息的内容（集群、容器组（pod）、用户、角色、角色会话）
<a name="drilldown-kubernetes-api-volume-content"></a>

对于集群、容器组（pod）、用户、角色或角色会话，活动详细信息包含以下信息：
+ 每个选项卡都提供所选时间范围内发出的 API 调用集的信息。

  对于集群，API 调用发生在集群内部。

  对于容器组（pod），API 调用以容器组（pod）为目标。

  对于用户、角色和角色会话，API 调用是由经过身份验证为该用户、角色或角色会话的 Kubernetes 用户发出的。
+ 对于每个条目，活动详细信息都显示成功、失败、未经授权和禁止的调用次数。
+ 这些信息包括 IP 地址、Kubernetes 调用类型、受调用影响的实体以及进行调用的主体（服务账户或用户）。从活动详细信息中，您可以转到 IP 地址、主题和受影响实体的配置文件。

活动详细信息包含以下选项卡：

**主题**  
最初显示用于进行 API 调用的服务账户和用户列表。  
您可以展开每个服务账户和用户，显示该账户或用户进行 API 调用的 IP 地址列表。  
然后，您可以展开每个 IP 地址，显示该账户或用户从该 IP 地址发出的 Kubernetes API 调用。  
展开 Kubernetes API 调用，查看 `requestURI ` 以确定已完成的操作。  

![\[查看 Kubernetes API 调用总量面板的主题选项卡，其中一个条目已展开，显示 IP 地址和 API 调用的层次结构。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/kube-subject-drilldown.png)


**IP 地址**  
最初显示发出 API 调用的 IP 地址列表。  
您可以展开每个调用，显示发出该调用的 Kubernetes 主题（服务账号和用户）列表。  
然后，您可以将每个主题扩展为该主题在范围时间内进行的 API 调用类型列表。  
展开 API 调用类型，查看 requestURI 以确定已完成的操作。  

![\[整体 Kubernetes API 调用量面板的 IP 地址选项卡视图，其中一个条目展开后显示了 API 调用的层次结构、IP 地址和。 AKIDsAPI 调用按服务进行分组\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/kube-ip-drilldown.png)


**Kubernetes API 调用**  
最初显示 Kubernetes API 调用动词列表。  
您可以展开每个 API 动词以显示与该操作URIs 关联的请求。  
然后，您可以展开每个 requestURI，查看进行 API 调用的 Kubernetes 主题（服务账号和用户）。  
展开主题以查看 IPs 该主题使用哪个主体进行了 API 调用。  

![\[“整体 API 调用量” 面板的 “资源” 选项卡视图，条目展开后显示按服务分组的 IP 地址和 API 调用的层次结构。 AKIDs\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## 对活动详细信息进行排序
<a name="drilldown-kubernetes-api-volume-sort"></a>

您可以按列表中的任何一列对活动详细信息进行排序。

使用第一列进行排序时，只对顶层列表进行排序。较低层列表始终按成功的 API 调用次数排序。

## 筛选活动详细信息
<a name="drilldown-kubernetes-api-volume-filter"></a>

您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。

在所有选项卡上都可以根据第一列中的任何值筛选列表。

## 为活动详细信息选择时间范围
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 首次显示活动详细信息时，时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

**要更改活动详细信息的时间范围**

1. 选择**编辑**。

1. 在**编辑时间窗口**上，选择要使用的开始和结束时间。

   要将时间窗口设置为配置文件的默认范围时间，请选择**设置为默认范围时间**。

1. 选择**更新时间窗口**。

活动详细信息的时间范围在配置文件面板图表上突出显示。

![\[API 调用总量配置文件面板的突出显示时间窗口\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 在调查期间使用配置文件面板指南
<a name="profile-panel-guidance"></a>

每个配置文件面板都旨在为在进行调查和分析相关实体的活动时出现的特定问题提供答案。

为每个配置文件面板提供的指南有助于您找到这些答案。

配置文件面板指南以面板本身的一句话开头。本指南简要说明了面板上显示的数据。

要显示面板的更详细指南，请从面板标题中选择**更多信息**。此扩展指南显示在帮助窗格中。

该指南可以提供以下类型的信息：
+ 面板内容概述
+ 如何使用面板回答相关问题
+ 根据答案建议的后续步骤