本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 事件資料存放區的 Insights 事件 CloudTrail 記錄內容 事件資料存放區的AWS CloudTrail Insights 事件記錄包括與其 JSON 結構中其他 CloudTrail 事件不同的欄位,有時稱為*承載*。事件資料存放區的 CloudTrail Insights 事件記錄包含下列欄位: **注意** `insightValue`、`baselineValue`、 `insightAverage`和 `baselineAverage` 欄位內的 `attributions``insightContext`將於 2025 年 6 月 23 日開始棄用。 + **`eventVersion`** – 日誌事件格式的版本。 **選用:**False + **`eventCategory`** – 事件的類別。值一律`Insight`適用於 Insights 事件。 **選用:**False + **`eventType`** – 事件類型。值一律`AwsCloudTrailInsight`適用於 Insights 事件。 **選用:**False + **`eventID`** – CloudTrail 產生的 GUID,以唯一識別每個事件。您可以使用這個值來識別單一事件。例如,您可以使用此 ID 做為主索引鍵,從可搜尋的資料庫中擷取日誌資料。 **選用:**False + **`eventTime`** – Insights 事件開始或停止的時間,以國際標準時間 (UTC) 表示。 **選用:**False + **`awsRegion`** – Insights 事件發生 AWS 區域 的 ,例如 `us-east-2`。 **選用:**False + **`recipientAccountId`** – 代表收到此事件的帳戶 ID。 **選用:**True + **`sharedEventID`** – CloudTrail Insights 產生的 GUID,用於唯一識別 Insights 事件。 在起始和結束 Insights 事件之間`sharedEventID`很常見,有助於連接這兩個事件以唯一識別異常活動。您可以將 `sharedEventID` 視為整體 Insights 事件 ID。 **選用:**False + **`addendum`** – 如果事件交付延遲,或記錄事件後現有事件的其他資訊變成可用,則附錄欄位會顯示事件延遲原因的相關資訊。如果現有事件中缺少,附錄欄位會包含缺少的資訊,以及缺失的原因。另請參閱 `addendum` 中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。 **選用:**True + **`insightSource`** – 收集已分析之管理事件的來源事件資料存放區。 **選用:**False + **`insightState`** – 事件是開始或結束 Insights 事件。此值可以為 `Start` 或 `End`。 **選用:**False + **`insightEventSource`** – AWS 服務 是異常活動的來源,例如 `ec2.amazonaws.com`。 **選用:**False + **`insightEventName`** – Insights 事件的名稱,通常是異常活動來源的 API 名稱。 **選用:**False + **`insightErrorCode`** – 異常活動的錯誤代碼。另請參閱 `errorCode` 中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。 **選用:**True + **`insightType`** – Insights 事件的類型。此值可以為 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。 **選用:**False + **`insightContext`** – 包含 Insights 事件基礎觸發的相關資訊,例如使用者身分、使用者代理程式、歷史平均值或*基準*,以及 Insights 持續時間和平均值。 **選用:**False + **`baselineAverage`** – 在 Insights 事件之帳戶主體 API 的基準期間,每分鐘 API 呼叫或錯誤的平均次數,計算時間是 Insights 事件開始之前的七天。 **選用:**False + **`insightAverage`** – 對於開始的 Insights 事件,此值是異常活動開始期間每分鐘 API 呼叫或錯誤的平均數量。針對結束 Insights 事件,此值是異常活動期間每分鐘平均 API 呼叫或錯誤次數。 **選用:**False + **`baselineDuration`** – 基準期間 (在主體 API 上測量正常活動的期間) 的持續時間,以分鐘為單位。 至少`baselineDuration`為 Insights 事件之前的七天 (10080 分鐘)。此欄位會出現在開始和結束 Insights 事件中。`baselineDuration` 測量的結束時間永遠是 Insights 事件的開始。 **選用:**False + **`insightDuration`** – Insights 事件的持續時間,以分鐘為單位 (主體 API 上異常活動的開始到結束期間)。 `insightDuration`同時發生在開始和結束 Insights 事件中。 **選用:**False + **`attributions`** – 包括與異常和基準活動相關的使用者身分、使用者代理程式或錯誤碼的相關資訊。 **選用:**True **注意** `insightValue`、`baselineValue`、 `insightAverage`和 `baselineAverage` 欄位內的 `attributions``insightContext`將於 2025 年 6 月 23 日開始棄用。 + **`attribute`** – 包含屬性類型。此值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,這些值只會出現在個別屬性中一次。不同的屬性值可以有不同的 `userIdentityArn`、 `userAgent`或 `errorCode`值,但每個屬性執行個體只會包含一個 `userIdentityArn`、 `userAgent`或 的值`errorCode`。 **選用:**False + **`insightValue`** – 在異常活動期間進行的 API 呼叫或錯誤上發生的首要屬性值。 **選用:**False + **`insightAverage`** – 在 `insightValue` 欄位中屬性的異常活動期間,每分鐘 API 呼叫或錯誤的次數。 **選用:**False + **`baselineValue`** – 導致正常活動期間所記錄的 API 呼叫或錯誤的主要屬性值。 **選用:**False + **`baselineAverage`** – `baselineValue`欄位中屬性的 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。 **選用:**False + **`insight`** – 造成 API 呼叫的前五個屬性值,或在異常活動期間進行的錯誤。它也會顯示屬性在異常活動期間所做的 API 呼叫或錯誤的平均數量。 **選用:**False + **`value`** – 導致 API 呼叫或在異常活動期間進行的錯誤的屬性。 **選用:**False + **`average`** – 在 `value` 欄位中屬性的異常活動期間,每分鐘 API 呼叫或錯誤的平均數量。 **選用:**False + **`baseline`** – 在正常活動期間對 API 呼叫或錯誤做出最大貢獻的前五個屬性值。它也會顯示正常活動期間屬性值所記錄的 API 呼叫或錯誤的平均數量。 **選用:**False + **`value`** – 在正常活動期間導致 API 呼叫或錯誤的屬性。 **選用:**False + **`average`** – `value`欄位中屬性的 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。 **選用:**False