本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 CloudTrail Insights
AWS CloudTrail Insights 透過持續分析 CloudTrail 管理和資料事件,協助 AWS 使用者識別和回應與 API 呼叫率和 API 錯誤率相關的異常活動。CloudTrail Insights 會分析您過去的管理和資料事件,以建立 API 呼叫率和 API 錯誤率的正常模式,也稱為*基準*。然後,當目前的 API 呼叫率或錯誤率偏離基準時,CloudTrail 會產生 Insights 事件。
您可以收集兩種類型的 Insights,每個都用於管理和資料事件。
**管理事件洞見**
+ **API 呼叫率** – 針對基準 API 呼叫量,測量每分鐘發生的唯寫管理 API 呼叫。若要在管理事件的 API 呼叫率上記錄 Insights 事件,追蹤或事件資料存放區必須啟用 Insights 和日誌`write`管理事件。
+ **API 錯誤率** – 導致錯誤碼的管理 API 呼叫的測量。如果 API 呼叫失敗,則顯示錯誤。若要在 API 錯誤率上記錄 Insights 事件,追蹤或事件資料存放區必須啟用 Insights 和日誌`read`或`write`管理事件,或同時啟用 `read` `write`和管理事件。
**資料事件洞見**
+ **API 呼叫率** – 針對基準 API 呼叫量,測量每分鐘發生的資料 API 呼叫。若要在 API 呼叫率上記錄 Insights 事件,追蹤必須啟用 Insights 和記錄資料事件。
+ **API 錯誤率** – 測量導致錯誤碼的資料 API 呼叫。如果 API 呼叫失敗,則顯示錯誤。若要在 API 錯誤率上記錄 Insights 事件,線索必須啟用 Insights 和日誌`read`或`write`資料事件,或同時啟用 `read`和 `write` 資料事件。
**注意**
資料事件的 Insights 事件僅支援追蹤,不支援事件資料存放區。
CloudTrail Insights 會分析每個區域中發生的管理和資料事件,並在偵測到異常活動偏離基準時產生 Insights 事件。CloudTrail Insights 事件會在與其支援管理或資料事件產生的相同區域中產生。
Insights 事件會產生額外費用。如果您同時為線索和事件資料存放區以及資料事件 Insights 啟用管理事件 Insights,則會另外向您收取費用。如需詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [Insights 事件的成本](insights-events-costs.md)
+ [Insights 事件的交付](insights-events-understanding.md)
+ [使用 CloudTrail 主控台記錄 Insights 事件](insights-events-enable.md)
+ [使用 記錄 Insights 事件 AWS CLI](insights-events-CLI-enable.md)
+ [檢視追蹤的 Insights 事件](view-insights-events.md)
+ [檢視事件資料存放區的 Insights 事件](insights-events-view-lake.md)
# Insights 事件的成本
**注意**
資料事件的 Insights 事件僅支援追蹤。
當您在現有的線索或事件資料存放區上啟用 Insights 事件時,CloudTrail 會分析過去 28 天的管理和由線索或事件資料存放區收集的資料事件,以建立正常活動的基準。建立初始基準之後,基準會在資料過去 28 天內每天重新計算。基準分析不收取 CloudTrail 費用。
在基準分析之後,您會針對 CloudTrail 分析的任何未來管理和資料事件產生 CloudTrail 費用。根據針對已啟用的 Insights 類型分析的管理和資料事件數量,會產生費用。
如果您選擇為記錄和管理事件的線索或事件資料存放區記錄 API 呼叫率`read`和 API 錯誤率 Insights 類型,則分析的事件`write`總數將大於記錄的管理事件總數。這是因為 CloudTrail 會分析唯寫管理事件兩次,一次用於計算 API 呼叫率,另一次用於判斷 API 錯誤率。唯讀管理事件將分析一次,以計算 API 錯誤率。
同樣地,如果您選擇為記錄和資料事件的線索記錄 API 呼叫率`read`和 API 錯誤率 Insights 類型`write`,則分析的事件總數將大於記錄的資料事件總數。這是因為 CloudTrail 會分析所有資料事件兩次,一次用於計算 API 呼叫率,另一次用於判斷 API 錯誤率。
您可以分別尋找 和 `InsightsEvents``DataInsightsEvents`用量類型,以識別 帳單上 Insights 的管理和資料事件費用。如需詳細資訊,請參閱[使用 檢視您的 CloudTrail 成本和用量 AWS Cost Explorer](cloudtrail-costs.md)。
您將針對線索和事件資料存放區產生個別的 Insights 費用,以及針對線索產生個別的資料事件 Insights。如需定價的詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**範例 1:針對追蹤的 API 呼叫率和 API 錯誤率啟用管理事件的洞見**
在此第一個範例中,您會在線索記錄管理事件上啟用 Insights,並選擇收集這兩種 Insights 類型。此範例中的線索同時記錄 `read``write`和管理事件。
+ CloudTrail 會分析過去 28 天內記錄的管理事件,以形成基準。分析無需支付 CloudTrail 費用。
+ 建立基準後,線索會記錄 300,000 個管理事件,其中 270,000 個是`read`管理事件,30,000 個是`write`管理事件。
+ `write` 管理事件會分析兩次,一次用於 API 呼叫率,一次用於 API 錯誤率 (30,000 \$1 2=60,000)。
+ `read` 管理事件會針對 API 錯誤率 (270,000 \$11=270,000) 分析一次。
+ 分析的總管理事件為 330,000 (60,000 \$1 270,000)。分析此線索的 330,000 個管理事件會產生成本。如果您為其他線索或事件資料存放區啟用 Insights,則會另外收費。
**範例 2 – 啟用兩個線索管理事件的洞見**
在此下一個範例中,您會在兩個線索記錄管理事件上啟用 Insights,即線索 A 和線索 B。您可以選擇僅在線索 A 上啟用 API 呼叫率 Insights,並在線索 B 上啟用 API 錯誤率 Insights。兩個線索都記錄`read``write`和管理事件。
+ CloudTrail 會分析過去 28 天內記錄的`write`管理事件,以形成基準。分析無需支付 CloudTrail 費用。
+ 建立基準後,線索會記錄 800,000 個管理事件,其中 710,000 個是`read`事件,90,000 個是`write`事件。
對於線索 A,會發生下列分析:
+ `write` 管理事件會針對 API 呼叫率 (90,000 \$1 1=90,000) 分析一次。
+ 不會分析`read`管理事件,因為 CloudTrail 只會分析 API 呼叫率 Insights 的`write`管理事件。
+ 分析的總管理事件為 90,000。分析線索 A 的 90,000 個管理事件會產生成本。
對於線索 B,會發生下列分析:
+ `write` 管理事件會針對 API 錯誤率 (90,000 \$1 1=90,000) 分析一次。
+ `read` 管理事件會針對 API 錯誤率 (710,000 \$11=710,000) 分析一次。
+ 分析的總管理事件為 800,000 (90,000 \$1 710,000)。分析線索 B 的 800,000 個管理事件會產生成本。
**範例 3:針對追蹤和事件資料存放區上的 API 呼叫率和 API 錯誤率啟用管理事件的洞見**
在此範例中,您會在線索和事件資料存放區記錄管理事件上啟用 Insights for API 呼叫率和 API 錯誤率。追蹤和事件資料存放區都是記錄`read``write`和管理事件。當您在兩者上啟用 Insights 時,會針對追蹤和事件資料存放區分別產生 CloudTrail Insights 的費用。
+ CloudTrail 會分析過去 28 天內記錄的管理事件,以形成基準。分析無需支付 CloudTrail 費用。
+ 建立基準後,追蹤和事件資料存放區日誌 500,000 個管理事件,其中 380,000 個是`read`管理事件,120,000 個是`write`管理事件。
對於線索,會發生下列分析:
+ `write` 管理事件會針對線索分析兩次,一次針對 API 呼叫率,一次針對 API 錯誤率 (120,000 \$1 2=240,000)。
+ `read` 管理事件會針對 API 錯誤率 (380,000 \$11=380,000) 的線索分析一次。
+ 針對追蹤分析的總管理事件為 620,000 (240,000 \$1 380,000)。分析線索的 620,000 個管理事件會產生成本。
對於事件資料存放區,會發生下列分析:
+ `write` 管理事件會針對事件資料存放區分析兩次,一次針對 API 呼叫率,一次針對 API 錯誤率 (120,000 \$1 2=240,000)。
+ `read` 管理事件會針對 API 錯誤率的事件資料存放區分析一次 (380,000 \$11=380,000)。
+ 針對事件資料存放區分析的總管理事件為 620,000 (240,000 \$1 380,000)。分析事件資料存放區的 620,000 個管理事件會產生成本。
**範例 4 – 在線索上啟用管理事件 Insights 和資料事件 Insights for API 呼叫率和 API 錯誤率**
在此最終範例中,您會在管理和資料事件上啟用 Insights。此範例中的線索是記錄`read``write`和管理與資料事件。
+ CloudTrail 會分析過去 28 天內記錄的管理和資料事件,以形成基準。分析無需支付 CloudTrail 費用。
+ 建立基準後,線索會記錄 300,000 個管理事件,其中 270,000 個是讀取管理事件,30,000 個是寫入管理事件。追蹤也會記錄 400,000 個資料事件,其中 340,000 個是讀取資料事件,60,000 個是寫入資料事件。
+ `write` 管理事件會分析兩次,一次用於 API 呼叫率,一次用於 API 錯誤率 (30,000 \$1 2=60,000)。`read` 管理事件會針對 API 錯誤率 (270,000 \$11=270,000) 分析一次。分析的總管理事件為 330,000 (60,000 \$1 270,000)。
+ `read` 和 `write`資料事件會分析兩次,一次用於 API 呼叫率,一次用於 API 錯誤率 (400,000 \$1 2)。分析的資料事件總數為 800,000。
+ 分析此線索的 1,130,000 個管理和資料事件會產生成本。
# Insights 事件的交付
與 CloudTrail 擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用方式發生變更,且與帳戶的一般使用模式有很大差異時,才會加以記錄。
在不同的追蹤和事件資料存放區之間,CloudTrail 在何處傳遞事件以及接收 Insights 事件所需的時間會有所不同。
**注意**
資料事件的 Insights 事件僅支援追蹤。
**追蹤的 Insights 事件傳遞**
如果您已啟用追蹤上的 Insights 事件,且 CloudTrail 偵測到異常的活動,CloudTrail 會為您的追蹤將 Insights 事件傳遞至所選目的地 S3 儲存貯體中的 `/CloudTrail-Insight` 資料夾。在線索上第一次啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 36 小時才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
如果您關閉追蹤記錄的 Insights 事件,然後重新啟用 Insights 事件,或停止並重新啟動追蹤記錄,CloudTrail 最多可能需要 36 小時才能重新啟動傳遞 Insights 事件,前提是在此期間偵測到異常活動。
**事件資料存放區的 Insights 事件傳遞**
如果您已啟用來源事件資料存放區上的 Insights 事件,CloudTrail 會將 Insights 事件傳遞到目的地事件資料存放區。在您第一次在來源事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始將 Insights 事件交付至目的地事件資料存放區,前提是在此期間偵測到異常活動。
如果您關閉來源事件資料存放區上的 Insights 事件記錄,然後重新啟用 Insights 事件,或停止並重新啟動來源事件資料存放區上的事件擷取,則 CloudTrail 最多可能需要 7 天才能重新啟動傳遞 Insights 事件,前提是在此期間偵測到異常活動。擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
# 使用 CloudTrail 主控台記錄 Insights 事件
本節說明如何使用 CloudTrail 主控台在現有的線索或事件資料存放區上啟用 Insights 事件。
如需如何建立新的線索以記錄 Insights 事件的詳細資訊,請參閱 [使用主控台建立追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)。
如需如何建立新的事件資料存放區以收集 Insights 事件的詳細資訊,請參閱 [使用主控台建立 Insights 事件的事件資料存放區](query-event-data-store-insights.md)。
**Topics**
+ [使用主控台在現有線索上啟用 CloudTrail Insights](#insights-events-enable-trail)
+ [使用主控台在現有事件資料存放區上啟用 CloudTrail Insights](#insights-events-enable-lake)
## 使用主控台在現有線索上啟用 CloudTrail Insights
使用下列程序在現有線索上啟用 CloudTrail Insights。
1. 在 CloudTrail 主控台的左導覽窗格中,開啟**追蹤**頁面,選擇追蹤名稱。
1. 在 **Insights 事件**中,選擇**編輯**。
**注意**
記錄 Insights 事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
1. 在 **Event type** (事件類型) 中,選擇 **Insights events** (Insights 事件)。
1. 在 **Insights 事件**中選擇**管理事件**或**資料事件**
1. 在 **Insights 類型**下,選擇 **API 呼叫率、API 錯誤率**或兩者。您的線索必須記錄**寫入**管理或資料事件,以記錄 **API 呼叫速率**的 Insights 事件。您的線索必須記錄**讀取**或**寫入**管理或資料,以記錄 **API 錯誤率**的 Insights 事件。
1. 選擇**儲存變更**,以儲存您所做的變更。
在線索上啟用 Insights 事件後,CloudTrail 最多可能需要 36 小時才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
## 使用主控台在現有事件資料存放區上啟用 CloudTrail Insights
使用下列程序在現有事件資料存放區上啟用 CloudTrail Insights。
擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**注意**
您只能在包含 CloudTrail 管理事件的事件資料存放區上啟用 CloudTrail Insights。您無法在其他事件資料存放區類型上啟用 CloudTrail Insights。
1. 在 CloudTrail 主控台的左側導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區名稱。
1. 在**管理事件**中,選擇**編輯**。
1. 選擇**啟用 Insights 事件擷取**。
1. 選擇將收集 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 [若要建立會記錄 Insights 事件的目的地事件資料存放區](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。
1. 選擇 Insights 類型。您可以選擇 **API 呼叫率**、**API 錯誤率**,或兩者。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
1. 選擇**儲存變更**,以儲存您所做的變更。
CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
# 使用 記錄 Insights 事件 AWS CLI
您可以使用 AWS CLI設定您的追蹤和事件資料存放區,以記錄 Insights 事件。
**注意**
對於管理事件 Insights:若要在 API 呼叫率上記錄 Insights 事件,追蹤或事件資料存放區必須記錄`write`管理事件。若要以 API 錯誤率記錄 Insights 事件,追蹤或事件資料存放區必須記錄`read`或`write`管理。
對於資料事件 Insights:若要在 API 呼叫率或 API 錯誤率上記錄 Insights 事件,追蹤必須記錄 `read`或 `write` 資料事件。
**Topics**
+ [使用 記錄線索的 Insights 事件 AWS CLI](#insights-events-CLI-enable-trails)
+ [使用 記錄事件資料存放區的 Insights 事件 AWS CLI](#insights-events-CLI-enable-lake)
## 使用 記錄線索的 Insights 事件 AWS CLI
若要傳回線索的目前 Insights 選擇器,請執行 `get-insight-selectors`命令。
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
下列範例回應顯示名為 之線索的 Insights 選擇器`insights-trail`。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
如果追蹤未啟用 Insights,**get-insight-selectors**命令會傳回下列錯誤訊息:「呼叫 GetInsightSelectors 操作時發生錯誤 (InsightNotEnabledException):Trail arn:aws:cloudtrail:us-east-1:123456789012:trail/trailName 未啟用 Insights。Edit the trail settings to enable Insights, and then try the operation again." (呼叫 GetInsightSelectors 操作時,發生錯誤 (InsightNotEnabledException):追蹤名稱未啟用 Insights。編輯追蹤設定以啟用 Insights,然後再試一次操作。)
若要設定您的追蹤記錄 Insights 事件,請執行 `put-insight-selectors` 命令。下面的範例顯示如何設定追蹤以包含 Insights 事件。Insights 選取器值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight` (或兩者)。每個 InsightType 都可以為管理 EventCategory 或資料 EventCategory 或兩者啟用。
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
下列結果顯示針對追蹤設定的 Insights 事件選取器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## 使用 記錄事件資料存放區的 Insights 事件 AWS CLI
若要在事件資料存放區上啟用 Insights 事件,您需要擁有會記錄管理事件的來源事件資料存放區和會記錄 Insights 事件的目的地事件資料存放區。
若要檢視是否在事件資料存放區上啟用 Insights 事件,請執行 **get-insight-selectors** 命令。
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
若要檢視事件資料存放區是否設定為接收 Insights 事件或管理事件,請執行 **get-event-data-store** 命令。
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
如果事件資料存放區設定為接收 Insights 事件,`eventCategory`則會將其設定為 `Insight`。
以下程序將向您說明如何建立目的地和來源事件資料存放區,然後啟用 Insights 事件。
1. 執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令來建立會收集 Insights 事件的目的地事件資料存放區。`eventCategory` 的值必須為 `Insight`。使用您希望在事件資料存放區中保留事件的天數來替換 *retention-period-days*。
若您要用 AWS Organizations 組織的管理帳戶登入,請加入 `--organization-enabled` 參數 (如果您希望向[委派的管理員](cloudtrail-delegated-administrator.md)授予存取事件資料存放區的權限)。
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
以下是回應範例。
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
您將使用來自回應的 `ARN` (或 ARN 的 ID 尾碼),作為步驟 3 中 `--insights-destination` 參數的值。
1. 執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令以建立記錄管理事件的來源事件資料存放區。依預設,事件資料存放區會記錄所有管理事件。如果想要記錄所有管理事件,您不需要指定進階事件選取器。使用您希望在事件資料存放區中保留事件的天數來替換 *retention-period-days*。若您要建立組織事件資料存放區,請加入 `--organization-enabled` 參數。
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
以下是回應範例。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
您將使用來自回應的 `ARN` (或 ARN 的 ID 尾碼),作為步驟 3 中 `--event-data-store` 參數的值。
1. 執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) 命令以啟用 Insights 事件。Insights 選取器值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight` (或兩者)。對於 `--event-data-store` 參數,指定來源事件資料存放區的 ARN (或 ARN 的 ID 尾碼),該存放區會記錄管理事件並且將啟用 Insights。對於 `--insights-destination` 參數,指定目的地事件資料存放區的 ARN (或 ARN 的 ID 尾碼),該存放區將會記錄 Insights 事件。
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
下列結果顯示針對事件資料存放區設定的 Insights 事件選取器。
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
在您第一次在事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
# 檢視追蹤的 Insights 事件
本節說明如何在啟用 CloudTrail Insights 的情況下,查詢追蹤過去 90 天的 Insights 事件。如需如何檢視事件資料存放區的 CloudTrail Insights 的詳細資訊,請參閱 [檢視事件資料存放區的 Insights 儀表板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
您可以從 主控台的 Insights 頁面檢視、篩選和下載過去 90 天的 **Insights** 事件。
您可以以程式設計方式擷取 Insights 事件的最後 90 天:
+ 對於透過執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API 操作的線索記錄管理事件。
+ 對於透過執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html) API 操作記錄資料事件的線索。
如需追蹤的 Insights 事件記錄欄位說明,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
**注意**
如果您已在記錄管理或資料事件的線索上啟用 Insights, **Insights** 頁面和 AWS CLI `lookup-events` 或 `list-insights-data`命令只會列出 Insights 事件。如需在線索上啟用 Insights 的詳細資訊,請參閱 [使用主控台在現有線索上啟用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-trail)和 [使用 記錄線索的 Insights 事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
若要在 API 呼叫率上記錄 Insights 事件,線索必須記錄`write`管理或資料事件。若要以 API 錯誤率記錄 Insights 事件,追蹤必須記錄`read`或`write`管理 或 資料事件。
**Topics**
+ [使用主控台檢視線索的 Insights 事件](view-insights-events-console.md)
+ [使用 檢視線索的 Insights 事件 AWS CLI](view-insights-events-cli.md)
# 使用主控台檢視線索的 Insights 事件
本節說明如何從 CloudTrail 主控台的 Insights 頁面檢視、查詢和下載過去 90 天的 **Insights** 事件。如需如何檢視事件資料存放區的 CloudTrail Insights 的詳細資訊,請參閱 [檢視事件資料存放區的 Insights 儀表板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
記錄線索的 Insights 事件後,事件會在 **Insights** 頁面上顯示 90 天。您無法從 **Insights (深入分析)** 頁面手動刪除事件。由於針對線索啟用的 Insights 事件會存放在針對該線索設定的 Amazon S3 儲存貯體中,因此從儲存貯體中移除 Insights 事件將會刪除這些事件。
您可以啟用 CloudWatch Logs 來監控追蹤日誌,並在發生特定 Insights 事件時收到通知。如需詳細資訊,請參閱[使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。
**注意**
CloudTrail Insights 事件必須在您的線索中啟用,才能在主控台中查看 Insights 事件。如果在此期間偵測到異常活動,CloudTrail 最多需要 36 小時才能交付第一個 Insights 事件。
對於管理事件 Insights:若要在 API 呼叫率上記錄 Insights 事件,追蹤必須記錄`write`管理事件。若要在 API 錯誤率上記錄 Insights 事件,追蹤必須記錄`read`或`write`管理事件。
對於資料事件 Insights:若要在 API 呼叫率或 API 錯誤率上記錄 Insights 事件,追蹤必須記錄 `read`或 `write` 資料事件。
**檢視 Insights 事件**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/home/](https://console.aws.amazon.com/cloudtrail/home/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Insights** 以查看您帳戶在過去 90 天內記錄的所有 Insights 事件。您也可以從**儀表板**頁面檢視五個最新的 Insights 事件。
1. 在 **Insights** 頁面上,您可以選取管理事件 Insights 或資料事件 Insights 索引標籤
1. 您可以依事件來源、事件名稱或事件 ID 篩選 Insights 事件。如需有關篩選 Insights 事件的詳細資訊,請參閱[篩選 Insights 事件](#filtering-insights-events)。
1. 您可以進一步將清單限制為**相對範圍**或**絕對範圍**。
**Contents**
+ [篩選 Insights 事件](#filtering-insights-events)
+ [檢視 Insights 事件的詳細資訊](#viewing-details-for-an-event)
+ [縮放、平移和下載圖表](#viewing-insight-details-zoom)
+ [變更圖表時間範圍設定](#viewing-insight-details-timespan)
+ [下載 Insights 事件](#downloading-insights-events)
## 篩選 Insights 事件
根據預設, **Insights** 頁面上的事件會依事件開始時間的反向時間順序顯示。
您可以從下列三個屬性中選擇其中一個來篩選清單:
**事件名稱**
事件的名稱,通常是記錄異常活動層級的 AWS API。
**事件來源**
提出請求 AWS 的服務,例如 `iam.amazonaws.com`或 `s3.amazonaws.com`。如果您選擇依事件來源篩選,您可以捲動事件來源清單。
**事件 ID**
Insights 事件的 ID。事件 ID不會顯示在 **Insights** 頁面資料表中,但它們是您可以用來篩選 Insights 事件的屬性。分析以產生 Insights 事件的管理事件或資料事件的事件 IDs 與 Insights 事件的事件 IDs 不同。
![\[CloudTrail Insights 事件清單篩選條件。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_events_filter.png)
下列清單說明無法篩選之事件的屬性:
**洞見類型**
CloudTrail Insights 事件的類型可以是 **API 呼叫率**或 **API 錯誤率**。**API 呼叫率**洞見類型會根據基準 API 呼叫量,分析每分鐘彙總的唯寫管理或資料 API 呼叫。**API 錯誤率**洞見類型會分析導致錯誤代碼的管理或資料 API 呼叫。如果 API 呼叫失敗,則顯示錯誤。
**事件開始時間**
Insights 事件的開始時間,計算方式為記錄異常活動的第一分鐘。此屬性顯示於 **Insights** 資料表,但您無法在主控台中篩選事件開始時間。
**基準平均值**
基準代表 API 呼叫率或錯誤率活動的正常模式,每日計算。基準平均值是 Insights 事件開始前七天內這些每日基準的平均值。雖然此期間通常為七天,但 CloudTrail 會將計算期間四捨五入為整數天數,因此確切的基準持續時間可能會略有不同。
**Insight 平均值**
觸發 Insights 事件的 API 呼叫平均數,或呼叫 API 時傳回的特定錯誤的平均數。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件的發生率。一般而言,這是異常活動的第一分鐘。結束事件的 Insights 平均值是異常活動持續時間 (開始 Insights 事件和結束 Insights 事件之間) 的發生率。
**發生率變化**
**Baseline average** (基準平均值) 和 **Insight average** (Insight 平均值) 之間的差異 (以百分比測量)。例如,如果 `AccessDenied` 錯誤發生率的基準平均值為 1.0,而 Insight 平均值為 3.0,則發生率變化為 300%。超過基準平均值的 Insight 平均值發生率變化會在數值旁顯示向上箭號。如果因為活動低於基準平均值而記錄 Insights 事件,**Rate change** (發生率變化) 會在百分比旁顯示向下箭頭。
如果在您所選擇的屬性或時間下沒有記錄的事件,則結果清單會是空的。除了時間範圍之外,您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件,則會保留您指定的時間範圍。
下列步驟說明如何依屬性進行篩選。
**依屬性篩選**
1. 若要依屬性篩選結果,請從下拉式選單中選擇查詢屬性,然後在**輸入查詢值**方塊中輸入或選擇值。
1. 若要移除屬性篩選條件,請選擇屬性篩選條件方塊右側的 **X**。
下列步驟說明如何依開始與結束日期及時間進行篩選。
**依開始與結束日期及時間進行篩選**
1. 從**依日期和時間篩選**中,選擇下列其中一項:
+ **絕對範圍** - 可讓您選擇特定時間。繼續進行下一個步驟。
+ **相對範圍** - 預設選取。可讓您選擇與 Insights 事件開始時間相關的時段。繼續步驟 3。
1. 若要設定**絕對範圍**,請執行下列動作。
1. 選擇您希望時間範圍開始的日期。輸入所選日期的開始時間。若要手動輸入日期,請以 `yyyy/mm/dd` 格式輸入日期。開始和結束時間使用 24 小時制,且值必須是格式 `hh:mm:ss`。例如,若要指示下午 6:30 的開始時間,請輸入 **18:30:00**。
1. 選擇行事曆上範圍的結束日期,或在行事曆下方指定結束日期與時間。選擇**套用**。
1. 若要設定**相對範圍**,請執行下列動作。
1. 選擇與 Insights 事件開始時間相關的預設時段。預設時間範圍包括 30 分鐘、1 小時、12 小時或 1 天。若要指定自訂時間範圍,請選擇 **Custom** (自訂)。
1. 設定您想要的相對時間後,選擇 **Apply** (套用)。
1. 若要移除時間範圍篩選條件,請選擇**依日期和時間篩選**方塊右側的行事曆圖示,然後選擇**清除並關閉**。
## 檢視 Insights 事件的詳細資訊
1. 在結果清單中選擇 Insights 事件,以顯示其詳細資訊。Insights 事件的詳細資訊頁面會顯示異常活動時間表的圖表。
![\[顯示異常 API 活動的 CloudTrail Insights 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 將滑鼠停留在反白顯示的頻帶上,以顯示圖表中每個 Insights 事件的開始事件和持續期間。
![\[將滑鼠停留在 Insights 事件上後,所顯示的 Insights 事件統計資料。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
下列資訊會顯示在圖表的 **Additional information** (其他資訊) 區域中:
+ **Insight type** (Insight 類型)。這可以是 API 呼叫率或 API 錯誤率。
+ **觸發條件**。這是 **Cloudtrail 事件**索引標籤的連結,其中列出為了判斷發生異常活動而分析的管理或資料事件。
+ **每分鐘 API 呼叫**或**每分鐘錯誤**
+ **Baseline average** (基準平均值) - 記錄 Insights 事件的 API 的每分鐘典型發生率 (大約前 7 天內在您帳戶的特定區域中測量)。
+ **Insights average** (Insights 平均值) - 觸發 Insights 事件的此 API 的每分鐘發生率。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件之 API 的每分鐘呼叫率或錯誤率。一般而言,這是異常活動的第一分鐘。結束事件的 Insights 平均值是在異常活動持續期間 (開始 Insights 事件和結束 Insights 事件之間),每分鐘 API 呼叫率或錯誤率。
+ **Event source** (事件來源)。記錄異常 API 呼叫次數或錯誤 AWS 的服務端點。在上述影像中,來源為 `ec2.amazonaws.com`,這是 Amazon EC2 的服務端點。
+ **Start event ID** (開始事件 ID) - 異常活動開始時記錄的 Insights 事件 ID。
+ **End event ID** (結束事件 ID) - 異常活動結束時記錄的 Insights 事件 ID。
+ **Shared event ID** (共用事件 ID) - 在 Insights 事件中,**Shared event ID** (共用事件 ID) 是由 CloudTrail Insights 產生的 GUID,用於唯一識別一組開始和結束 Insights 事件。**Shared event ID** (共用事件 ID) 在開始和結束 Insights 事件之間共用,有助於在這兩個事件之間建立關聯以唯一識別異常活動。
1. 選擇 **Attributions** (歸因) 索引標籤,可檢視有關使用者身分、使用者代理程式、API 呼叫率 Insights 事件,以及與異常和基準活動相關的錯誤代碼的資訊。**Attributions** (歸因) 索引標籤上的資料表中最多會顯示五個使用者身分、五個使用者代理程式和五個錯誤碼,按活動計數的平均值按從高到低的降序排列。
1. 在 **CloudTrail 事件**索引標籤上,檢視 CloudTrail 所分析的相關事件,以判斷發生的異常活動。依預設,Insights 事件名稱已套用篩選器,這也是相關 API 的名稱。**CloudTrail 事件**索引標籤會顯示 CloudTrail 管理或與主體 API 相關的資料事件,這些事件發生在 Insights 事件的開始時間 (減去一分鐘) 和結束時間 (加上一分鐘) 之間。
當您在圖表中選取其他 Insights 事件時,**CloudTrail 事件**資料表中顯示的事件變更。這些事件可協助您執行更深入的分析,以判斷 Insights 事件的可能原因,以及異常 API 活動的原因。
若要顯示 Insights 事件持續期間記錄的所有 CloudTrail 事件,而不僅是相關 API 的事件,請關閉篩選器。
1. 選擇 **Insights event record** (Insights 事件記錄) 索引標籤,以 JSON 格式檢視 Insights 開始和結束事件。
1. 選擇連結的 **Event source **(事件來源) 會返回由該事件來源篩選的 **Insights ** 頁面。
## 縮放、平移和下載圖表
您可以使用右上角的工具列來縮放、平移和重設 Insights 事件詳細資訊頁面上的圖表軸。
![\[下載為 PNG、縮放、平移、放大、縮小和重設軸指令工具列。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
圖表工具列上的命令按鈕從左到右執行以下作業:
+ **Download plot as a PNG** (下載散佈圖為 PNG) - 下載詳細資訊頁面上顯示的圖表影像,並將其儲存為 PNG 格式。
+ **Zoom (縮放)** - 拖曳以在圖表上選取您要放大並更詳細地查看的區域。
+ **Pan (平移)** - 移動圖表以查看相鄰的日期或時間。
+ **Reset axes (重置軸)** - 將圖表軸變更回原始軸,清除縮放和平移設定。
## 變更圖表時間範圍設定
您可以變更時間範圍,也就是顯示在 *x* 軸 上的所選事件持續期間 - 透過選擇圖表右上角的設定來顯示在圖表中。
![\[Insights 事件的時間範圍控制。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## 下載 Insights 事件
您可以將已記錄的 Insights 事件歷史記錄以 CSV 或 JSON 檔案格式下載。善用篩選條件和時間範圍,減少下載的檔案大小。
**注意**
CloudTrail 事件歷史記錄檔案屬資料檔案,內含個別使用者可設定的資訊 (如資源名稱)。有些資料在用來讀取與分析資料 (CSV injection) 的程式中很可能會被解譯為命令。例如,將 CloudTrail 事件匯出至 CSV 並匯入至試算表程式時,該程式可能會提醒您關於安全方面的考量。安全最佳實務是停用下載事件歷史記錄檔中的連結或巨集。
1. 指定您要下載之事件的篩選條件和時間範圍。例如,您可以指定事件名稱 `StartInstances`,並指定過去 12 小時活動的時間範圍。
1. 選擇 **Download events** (下載事件),然後選擇 **Download as CSV** (下載為 CSV) 或 **Download as JSON** (下載為 JSON)。系統會提示您選擇儲存檔案的位置。
**注意**
您的下載可能需要一些時間才能完成。如需更快速的結果,請在您開始下載程序之前,使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。
1. 下載完成後,請開啟檔案,以檢視您指定的事件。
1. 若要取消下載,請選擇**取消**。如果您在下載完成之前取消下載,本機電腦上的 CSV 或 JSON 檔案可能只包含部分事件。
# 使用 檢視線索的 Insights 事件 AWS CLI
本節說明如何使用 AWS CLI `lookup-events`和 `list-insights-data`命令來查詢過去 90 天的 Insights 事件,以取得已啟用 Insights 事件的線索。如需有關如何在線索上啟用 CloudTrail Insights 的資訊,請參閱 [使用 記錄線索的 Insights 事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
**注意**
您無法使用 `lookup-events`或 `list-insights-data`命令來查詢事件資料存放區的 Insights 事件,不過,CloudTrail Lake 為 Insights 事件資料存放區提供許多範例查詢。如需詳細資訊,請參閱[檢視 Insights 事件的範例查詢](insights-events-view-lake.md#insights-events-lake-queries)。
此 `lookup-events` 命令提供以下選項:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
此 `list-insights-data` 命令提供以下選項:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
如需使用 的一般資訊 AWS Command Line Interface,請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**Contents**
+ [先決條件](#aws-cli-prerequisites-for-insights)
+ [取得命令列說明](#getting-command-line-help-insights)
+ [查詢管理事件的 Insights 事件](#looking-up-management-insights-with-the-aws-cli)
+ [查詢 Insights 事件以取得資料事件](#looking-up-data-insights-with-the-aws-cli)
+ [指定要傳回的管理事件 Insights 事件數量](#specify-the-number-of-management-insights-to-return)
+ [指定要傳回的資料事件 Insights 事件數目](#specify-the-number-of-data-insights-to-return)
+ [依時間範圍查詢管理事件的 Insights 事件](#look-up-management-insights-by-time-range)
+ [依時間範圍查詢資料事件的 Insights 事件](#look-up-data-insights-by-time-range)
+ [依屬性查詢管理事件的 Insights 事件](#look-up-management-insights-by-attributes)
+ [屬性查詢範例](#attribute-lookup-example-insights)
+ [依維度查詢資料事件的 Insights 事件](#look-up-data-insights-by-attributes)
+ [維度查詢範例](#dimension-lookup-example-insights)
+ [為管理事件指定 Insights 事件結果的下一頁](#specify-next-page-of-management-results)
+ [為管理事件指定 Insights 事件結果的下一頁](#specify-next-page-of-data-results)
+ [從管理事件的 Insights 事件檔案中取得 JSON 輸入](#json-input-from-file-managemenet-insights)
+ [從資料事件的 Insights 事件檔案中取得 JSON 輸入](#json-input-from-file-data-insights)
+ [查詢輸出欄位](#view-insights-events-cli-output-fields)
## 先決條件
+ 若要執行 AWS CLI 命令,您必須安裝 AWS CLI。如需詳細資訊,請參閱 [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 請確定您的 AWS CLI 版本大於 1.6.6。若要驗證 CLI 版本,請在命令列上執行 **aws --version**。
+ 若要設定 AWS CLI 工作階段的帳戶、區域和預設輸出格式,請使用 **aws configure**命令。如需詳細資訊,請參閱[設定 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 若要在 API 呼叫率上記錄 Insights 事件,追蹤必須記錄`write`管理事件。若要在 API 錯誤率上記錄 Insights 事件,追蹤必須記錄`read`或`write`管理事件。
**注意**
CloudTrail AWS CLI 命令區分大小寫。
## 取得命令列說明
若要查看 `lookup-events` 的命令列說明,請輸入下列命令:
```
aws cloudtrail lookup-events help
```
## 查詢管理事件的 Insights 事件
若要查看 50 個最新的 Insights 事件,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight
```
傳回的事件看起來類似下列範例:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
如需輸出中查詢相關欄位的說明,請參閱本主題中的[查詢輸出欄位](#view-insights-events-cli-output-fields)。如需 Insights 事件中欄位的說明,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
## 查詢 Insights 事件以取得資料事件
若要查看 50 個最新的 Insights 事件,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
傳回的事件看起來類似下列範例:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 指定要傳回的管理事件 Insights 事件數量
若要為要傳回的管理事件指定 Insights 事件數量,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
若未指定 ** 的預設值為 50。可能值為 1 到 50。下列範例會傳回一個結果。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## 指定要傳回的資料事件 Insights 事件數目
若要為要傳回的資料事件指定 Insights 事件數量,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
若未指定 ** 的預設值為 50。可能值為 1 到 50。下列範例會傳回一個結果。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 依時間範圍查詢管理事件的 Insights 事件
過去 90 天的管理事件洞見事件可供查詢。若要指定時間範圍,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` 指定 (UTC) 只會傳回在所指定時間或之後發生的 Insights 事件。如果指定的開始時間晚於指定的結束時間,則會傳回錯誤。
`--end-time ` 指定 (UTC) 只會傳回在所指定時間或之前發生的 Insights 事件。如果指定的結束時間早於指定的開始時間,則會傳回錯誤。
預設的開始時間是過去 90 天內可使用資料的最早日期。預設的結束時間是在最接近目前時間所發生之事件的時間。
所有時間戳記均會以 UTC 顯示。
## 依時間範圍查詢資料事件的 Insights 事件
過去 90 天的資料事件洞見事件可供查詢。若要指定時間範圍,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` 指定 (UTC) 只會傳回在所指定時間或之後發生的 Insights 事件。如果指定的開始時間晚於指定的結束時間,則會傳回錯誤。
`--end-time ` 指定 (UTC) 只會傳回在所指定時間或之前發生的 Insights 事件。如果指定的結束時間早於指定的開始時間,則會傳回錯誤。
預設的開始時間是過去 90 天內可使用資料的最早日期。預設的結束時間是在最接近目前時間所發生之事件的時間。
所有時間戳記均會以 UTC 顯示。
## 依屬性查詢管理事件的 Insights 事件
若要依屬性進行篩選,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
您只能為每個 **lookup-events** 命令指定一個屬性鍵/值對。以下是 `AttributeKey` 的有效 Insights 事件值。值名稱區分大小寫。
+ `EventId`
+ `EventName`
+ `EventSource`
的長度上限為 `AttributeValue` 2000 個字元。下列字元 ('`_`'、'` `'、'`,`'、'`\\n`') 計算為 2000 個字元限制的兩個字元。
### 屬性查詢範例
下列範例命令會傳回 `EventName` 值為 `PutRule` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
下列範例命令會傳回 `EventId` 值為 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
下列範例命令會傳回 `EventSource` 值為 `iam.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## 依維度查詢資料事件的 Insights 事件
若要依維度篩選,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
每個**list-insights-events**命令只能指定一個維度鍵/值對。以下是 `DimensionKey` 的有效 Insights 事件值。值名稱區分大小寫。
+ `EventId`
+ `EventName`
+ `EventSource`
的長度上限為 `DimensionValue` 2000 個字元。下列字元 ('`_`'、'` `'、'`,`'、'`\\n`') 計算為 2000 個字元限制的兩個字元。
### 維度查詢範例
下列範例命令會傳回 `EventName` 值為 `PutObject` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
下列範例命令會傳回 `EventId` 值為 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
下列範例命令會傳回 `EventSource` 值為 `s3.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 為管理事件指定 Insights 事件結果的下一頁
若要從 `lookup-events` 命令取得下一頁的結果,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
在此命令中,** 的值取自先前命令輸出的第一個欄位。
當您在命令中使用 `--next-token` 時,必須使用與先前命令相同的參數。例如,假設您執行下列命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
若要取得下一頁的結果,您的下一個命令會如下所示。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 為管理事件指定 Insights 事件結果的下一頁
若要從 `list-insights-data` 命令取得下一頁的結果,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
在此命令中,** 的值取自先前命令輸出的第一個欄位。
當您在命令中使用 `--next-token` 時,必須使用與先前命令相同的參數。例如,假設您執行下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
若要取得下一頁的結果,您的下一個命令會如下所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 從管理事件的 Insights 事件檔案中取得 JSON 輸入
AWS CLI 某些 AWS 服務的 有兩個參數 `--generate-cli-skeleton`和 `--cli-input-json`,可用來產生 JSON 範本,您可以修改並用作`--cli-input-json`參數的輸入。本節說明如何搭配使用這些參數與 `aws cloudtrail lookup-events`。如需詳細資訊,請參閱[AWS CLI 骨架和輸入檔案](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**從檔案取得 JSON 輸入來查詢 Insights 事件**
1. 將 `lookup-events` 輸出重新導向至檔案,以建立與 `--generate-cli-skeleton` 搭配使用的輸入範本,如下列範例所示。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
所產生的範本檔案 (在此情況下為 LookupEvents.txt) 如下。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 視需要使用文字編輯器來修改 JSON。JSON 輸入只能包含所指定的值。
**重要**
必須先從範本移除所有空白值或 null 值,才能使用它。
下列範例指定時間範圍以及要傳回的結果數目上限。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 若要使用編輯過的檔案做為輸入,請使用語法 `--cli-input-json file://`**,如下列範例所示。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注意**
您可以在與 `--cli-input-json` 相同的命令列上使用其他引數。
## 從資料事件的 Insights 事件檔案中取得 JSON 輸入
AWS CLI 某些 AWS 服務的 有兩個參數 `--generate-cli-skeleton`和 `--cli-input-json`,可用來產生 JSON 範本,您可以修改並用作`--cli-input-json`參數的輸入。本節說明如何搭配使用這些參數與 `aws cloudtrail list-insights-data`。如需詳細資訊,請參閱[AWS CLI 骨架和輸入檔案](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**從檔案取得 JSON 輸入來查詢 Insights 事件**
1. 將 `list-insights-data` 輸出重新導向至檔案,以建立與 `--generate-cli-skeleton` 搭配使用的輸入範本,如下列範例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
產生的範本檔案 (在此案例中為 ListInsightsData.txt) 如下所示。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 視需要使用文字編輯器來修改 JSON。JSON 輸入只能包含所指定的值。
**重要**
必須先從範本移除所有空白值或 null 值,才能使用它。
下列範例指定時間範圍以及要傳回的結果數目上限。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 若要使用編輯過的檔案做為輸入,請使用語法 `--cli-input-json file://`**,如下列範例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注意**
您可以在與 `--cli-input-json` 相同的命令列上使用其他引數。
## 查詢輸出欄位
**事件**
根據所指定查詢屬性和時間範圍的查詢事件清單。事件清單是依時間排序,而且會先列出最新的事件。每個項目都會包含查詢請求的資訊,以及包含以字串呈現所擷取的 CloudTrail 事件。
下列項目說明每個查詢事件中的欄位。
**CloudTrailEvent**
包含以物件呈現所傳回事件的 JSON 字串。如需所有傳回之元素的資訊,請參閱[記錄內文內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
**EventId**
字串,包含所傳回事件的 GUID。
**EventName**
字串,包含所傳回事件的名稱。
**EventSource**
提出請求的 AWS 服務。
**EventTime**
事件的日期和時間 (UNIX 時間格式)。
**資源**
所傳回之事件所參考的資源清單。每個資源項目都會指定資源類型和資源名稱。
**ResourceName**
字串,包含事件所參考資源的名稱。
**ResourceType**
字串,包含事件所參考資源的類型。無法判定資源類型時,會傳回 null。
**使用者名稱**
字串,包含所傳回事件之帳戶的使用者名稱。
**NextToken**
字串,可從先前的 `lookup-events` 命令取得下一頁的結果。若要使用字符,參數必須與原始命令中的參數相同。如果 `NextToken` 項目未出現在輸出中,則沒有可傳回的其他結果。
如需 CloudTrail Insights 事件的詳細資訊,請參閱此指南中的 [使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。
# 檢視事件資料存放區的 Insights 事件
本節說明如何透過檢視 Insights 事件**儀表板和執行範例查詢,來檢視 Insights 事件資料存放區的 Insights 事件**。如需有關如何在事件資料存放區上啟用 CloudTrail Insights 的資訊,請參閱 [使用主控台在現有事件資料存放區上啟用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-lake)。
CloudTrail 查詢會依據掃描的資料量而產生費用。為了協助控制成本,我們建議您對查詢新增開始和結束 `eventTime` 時間戳記來限制查詢。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
如需事件資料存放區的 Insights 事件記錄欄位說明,請參閱 [事件資料存放區的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-lake.md)。
**Topics**
+ [檢視事件資料存放區的 Insights 儀表板](#insights-events-view-lake-dashboard)
+ [檢視 Insights 事件的範例查詢](#insights-events-lake-queries)
## 檢視事件資料存放區的 Insights 儀表板
**Insights 事件儀表板**會顯示依 Insights 類型分類的 Insights 事件整體比例、最高使用者和服務依 Insights 類型分類的 Insights 事件比例,以及每天的 Insights 事件數量。此儀表板還包含一個小工具,可列出最多 30 天的 Insights 事件。
**注意**
在您第一次在來源事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。如需詳細資訊,請參閱[Insights 事件的交付](insights-events-understanding.md)。
**Insights 事件儀表板**只會顯示所選事件資料存放區收集的 Insights 事件的相關資訊,這取決於來源事件資料存放區的組態。例如,如果您設定來源事件資料存放區啟用 `ApiCallRateInsight` 的 Insights 事件,而不啟用 `ApiErrorRateInsight` 的 Insights 事件,您將不會看到有關 `ApiErrorRateInsight` 的 Insights 事件的資訊。
**檢視 Insights 事件儀表板**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在左側導覽窗格中,選擇 **Lake** 下方的**儀表板**。
1. 選擇**受管和自訂儀表板**索引標籤。
1. 從**AWS 受管儀表板**中,選擇 **Insights 事件儀表板**。
1. 選擇您的 Insights 事件資料存放區。
1. 選擇按**絕對範圍**或**相對範圍**篩選儀表板資料。選擇**絕對範圍**以選取特定的日期和時間範圍。選擇**相對範圍**以選取預先定義的時間範圍或自訂範圍。依預設,儀表板會顯示過去 24 小時的事件資料。
**注意**
CloudTrail Lake 查詢會根據掃描的資料量產生費用。為協助您控制成本,您可以在較窄時間範圍內篩選。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
1. 選擇重新整理圖示以填入儀表板小工具的圖形。每個小工具都會指出重新整理的狀態。
如需有關 Lake 儀表板的詳細資訊,請參閱 [CloudTrail Lake 儀表板](lake-dashboard.md)。
## 檢視 Insights 事件的範例查詢
CloudTrail 主控台為 Insights 事件提供許多範例查詢,可協助您開始撰寫自己的查詢。
**檢視 Insights 事件的範例查詢**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**查詢**。
1. 在 **Query** (查詢) 頁面上,選擇 **Sample queries** (範例查詢) 索引標籤。
1. 搜尋 Insights 事件的查詢。選擇**查詢名稱**以在**編輯器**索引標籤中開啟查詢。
![\[範例顯示 Insights 事件的範例查詢\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. 在**編輯器**索引標籤上,選擇 Insights 事件資料存放區。當您在清單中選擇事件資料存放區時,CloudTrail 會自動在查詢編輯器的 `FROM` 列填入事件資料存放區 ID。
1. 選擇**執行**以執行查詢。查詢完成後,您可以檢視命令輸出和查詢結果。
**命令輸出**索引標籤顯示您的查詢的相關中繼資料,例如查詢是否成功,相符的記錄數目,以及查詢的執行事件。
**查詢結果**索引標籤顯示所選事件資料存放區中與您的查詢相符的事件資料。
如需有關編輯查詢的詳細資訊,請參閱 [使用 CloudTrail 主控台建立或編輯查詢](query-create-edit-query.md)。如需有關執行查詢和儲存查詢結果的詳細資訊,請參閱 [使用主控台執行查詢並儲存查詢結果](query-run-query.md)。