本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用主控台檢視線索的 Insights 事件
<a name="view-insights-events-console"></a>

本節說明如何從 CloudTrail 主控台的 Insights 頁面檢視、查詢和下載過去 90 天的 **Insights** 事件。如需如何檢視事件資料存放區的 CloudTrail Insights 的詳細資訊，請參閱 [檢視事件資料存放區的 Insights 儀表板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。

記錄線索的 Insights 事件後，事件會在 **Insights** 頁面上顯示 90 天。您無法從 **Insights (深入分析)** 頁面手動刪除事件。由於針對線索啟用的 Insights 事件會存放在針對該線索設定的 Amazon S3 儲存貯體中，因此從儲存貯體中移除 Insights 事件將會刪除這些事件。

您可以啟用 CloudWatch Logs 來監控追蹤日誌，並在發生特定 Insights 事件時收到通知。如需詳細資訊，請參閱[使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。

**注意**  
CloudTrail Insights 事件必須在您的線索中啟用，才能在主控台中查看 Insights 事件。如果在此期間偵測到異常活動，CloudTrail 最多需要 36 小時才能交付第一個 Insights 事件。
 對於管理事件 Insights：若要在 API 呼叫率上記錄 Insights 事件，追蹤必須記錄`write`管理事件。若要在 API 錯誤率上記錄 Insights 事件，追蹤必須記錄`read`或`write`管理事件。
 對於資料事件 Insights：若要在 API 呼叫率或 API 錯誤率上記錄 Insights 事件，追蹤必須記錄 `read`或 `write` 資料事件。

**檢視 Insights 事件**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/home/](https://console.aws.amazon.com/cloudtrail/home/) 的 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Insights** 以查看您帳戶在過去 90 天內記錄的所有 Insights 事件。您也可以從**儀表板**頁面檢視五個最新的 Insights 事件。

1. 在 **Insights** 頁面上，您可以選取管理事件 Insights 或資料事件 Insights 索引標籤 

1. 您可以依事件來源、事件名稱或事件 ID 篩選 Insights 事件。如需有關篩選 Insights 事件的詳細資訊，請參閱[篩選 Insights 事件](#filtering-insights-events)。

1. 您可以進一步將清單限制為**相對範圍**或**絕對範圍**。

**Contents**
+ [篩選 Insights 事件](#filtering-insights-events)
+ [檢視 Insights 事件的詳細資訊](#viewing-details-for-an-event)
+ [縮放、平移和下載圖表](#viewing-insight-details-zoom)
+ [變更圖表時間範圍設定](#viewing-insight-details-timespan)
+ [下載 Insights 事件](#downloading-insights-events)

## 篩選 Insights 事件
<a name="filtering-insights-events"></a>

根據預設， **Insights** 頁面上的事件會依事件開始時間的反向時間順序顯示。

您可以從下列三個屬性中選擇其中一個來篩選清單：

**事件名稱**  
事件的名稱，通常是記錄異常活動層級的 AWS API。

**事件來源**  
提出請求 AWS 的服務，例如 `iam.amazonaws.com`或 `s3.amazonaws.com`。如果您選擇依事件來源篩選，您可以捲動事件來源清單。

**事件 ID**  
Insights 事件的 ID。事件 ID不會顯示在 **Insights** 頁面資料表中，但它們是您可以用來篩選 Insights 事件的屬性。分析以產生 Insights 事件的管理事件或資料事件的事件 IDs 與 Insights 事件的事件 IDs 不同。

![\[CloudTrail Insights 事件清單篩選條件。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_events_filter.png)


下列清單說明無法篩選之事件的屬性：

**洞見類型**  
CloudTrail Insights 事件的類型可以是 **API 呼叫率**或 **API 錯誤率**。**API 呼叫率**洞見類型會根據基準 API 呼叫量，分析每分鐘彙總的唯寫管理或資料 API 呼叫。**API 錯誤率**洞見類型會分析導致錯誤代碼的管理或資料 API 呼叫。如果 API 呼叫失敗，則顯示錯誤。

**事件開始時間**  
Insights 事件的開始時間，計算方式為記錄異常活動的第一分鐘。此屬性顯示於 **Insights** 資料表，但您無法在主控台中篩選事件開始時間。

**基準平均值**  
基準代表 API 呼叫率或錯誤率活動的正常模式，每日計算。基準平均值是 Insights 事件開始前七天內這些每日基準的平均值。雖然此期間通常為七天，但 CloudTrail 會將計算期間四捨五入為整數天數，因此確切的基準持續時間可能會略有不同。

**Insight 平均值**  
觸發 Insights 事件的 API 呼叫平均數，或呼叫 API 時傳回的特定錯誤的平均數。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件的發生率。一般而言，這是異常活動的第一分鐘。結束事件的 Insights 平均值是異常活動持續時間 (開始 Insights 事件和結束 Insights 事件之間) 的發生率。

**發生率變化**  
**Baseline average** (基準平均值) 和 **Insight average** (Insight 平均值) 之間的差異 (以百分比測量)。例如，如果 `AccessDenied` 錯誤發生率的基準平均值為 1.0，而 Insight 平均值為 3.0，則發生率變化為 300%。超過基準平均值的 Insight 平均值發生率變化會在數值旁顯示向上箭號。如果因為活動低於基準平均值而記錄 Insights 事件，**Rate change** (發生率變化) 會在百分比旁顯示向下箭頭。

如果在您所選擇的屬性或時間下沒有記錄的事件，則結果清單會是空的。除了時間範圍之外，您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件，則會保留您指定的時間範圍。

下列步驟說明如何依屬性進行篩選。

**依屬性篩選**

1. 若要依屬性篩選結果，請從下拉式選單中選擇查詢屬性，然後在**輸入查詢值**方塊中輸入或選擇值。

1. 若要移除屬性篩選條件，請選擇屬性篩選條件方塊右側的 **X**。

下列步驟說明如何依開始與結束日期及時間進行篩選。

**依開始與結束日期及時間進行篩選**

1. 從**依日期和時間篩選**中，選擇下列其中一項：
   + **絕對範圍** - 可讓您選擇特定時間。繼續進行下一個步驟。
   + **相對範圍** - 預設選取。可讓您選擇與 Insights 事件開始時間相關的時段。繼續步驟 3。

1. 若要設定**絕對範圍**，請執行下列動作。

   1. 選擇您希望時間範圍開始的日期。輸入所選日期的開始時間。若要手動輸入日期，請以 `yyyy/mm/dd` 格式輸入日期。開始和結束時間使用 24 小時制，且值必須是格式 `hh:mm:ss`。例如，若要指示下午 6:30 的開始時間，請輸入 **18:30:00**。

   1. 選擇行事曆上範圍的結束日期，或在行事曆下方指定結束日期與時間。選擇**套用**。

1. 若要設定**相對範圍**，請執行下列動作。

   1. 選擇與 Insights 事件開始時間相關的預設時段。預設時間範圍包括 30 分鐘、1 小時、12 小時或 1 天。若要指定自訂時間範圍，請選擇 **Custom** (自訂)。

   1. 設定您想要的相對時間後，選擇 **Apply** (套用)。

1. 若要移除時間範圍篩選條件，請選擇**依日期和時間篩選**方塊右側的行事曆圖示，然後選擇**清除並關閉**。

## 檢視 Insights 事件的詳細資訊
<a name="viewing-details-for-an-event"></a>

1. 在結果清單中選擇 Insights 事件，以顯示其詳細資訊。Insights 事件的詳細資訊頁面會顯示異常活動時間表的圖表。  
![\[顯示異常 API 活動的 CloudTrail Insights 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_view.png)

1. 將滑鼠停留在反白顯示的頻帶上，以顯示圖表中每個 Insights 事件的開始事件和持續期間。  
![\[將滑鼠停留在 Insights 事件上後，所顯示的 Insights 事件統計資料。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_statistics.png)

   下列資訊會顯示在圖表的 **Additional information** (其他資訊) 區域中：
   + **Insight type** (Insight 類型)。這可以是 API 呼叫率或 API 錯誤率。
   + **觸發條件**。這是 **Cloudtrail 事件**索引標籤的連結，其中列出為了判斷發生異常活動而分析的管理或資料事件。
   + **每分鐘 API 呼叫**或**每分鐘錯誤**
     + **Baseline average** (基準平均值) - 記錄 Insights 事件的 API 的每分鐘典型發生率 (大約前 7 天內在您帳戶的特定區域中測量)。
     + **Insights average** (Insights 平均值) - 觸發 Insights 事件的此 API 的每分鐘發生率。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件之 API 的每分鐘呼叫率或錯誤率。一般而言，這是異常活動的第一分鐘。結束事件的 Insights 平均值是在異常活動持續期間 (開始 Insights 事件和結束 Insights 事件之間)，每分鐘 API 呼叫率或錯誤率。
   + **Event source** (事件來源)。記錄異常 API 呼叫次數或錯誤 AWS 的服務端點。在上述影像中，來源為 `ec2.amazonaws.com`，這是 Amazon EC2 的服務端點。
   + **Start event ID** (開始事件 ID) - 異常活動開始時記錄的 Insights 事件 ID。
   + **End event ID** (結束事件 ID) - 異常活動結束時記錄的 Insights 事件 ID。
   + **Shared event ID** (共用事件 ID) - 在 Insights 事件中，**Shared event ID** (共用事件 ID) 是由 CloudTrail Insights 產生的 GUID，用於唯一識別一組開始和結束 Insights 事件。**Shared event ID** (共用事件 ID) 在開始和結束 Insights 事件之間共用，有助於在這兩個事件之間建立關聯以唯一識別異常活動。

1. 選擇 **Attributions** (歸因) 索引標籤，可檢視有關使用者身分、使用者代理程式、API 呼叫率 Insights 事件，以及與異常和基準活動相關的錯誤代碼的資訊。**Attributions** (歸因) 索引標籤上的資料表中最多會顯示五個使用者身分、五個使用者代理程式和五個錯誤碼，按活動計數的平均值按從高到低的降序排列。

1. 在 **CloudTrail 事件**索引標籤上，檢視 CloudTrail 所分析的相關事件，以判斷發生的異常活動。依預設，Insights 事件名稱已套用篩選器，這也是相關 API 的名稱。**CloudTrail 事件**索引標籤會顯示 CloudTrail 管理或與主體 API 相關的資料事件，這些事件發生在 Insights 事件的開始時間 （減去一分鐘） 和結束時間 （加上一分鐘） 之間。

   當您在圖表中選取其他 Insights 事件時，**CloudTrail 事件**資料表中顯示的事件變更。這些事件可協助您執行更深入的分析，以判斷 Insights 事件的可能原因，以及異常 API 活動的原因。

   若要顯示 Insights 事件持續期間記錄的所有 CloudTrail 事件，而不僅是相關 API 的事件，請關閉篩選器。

1. 選擇 **Insights event record** (Insights 事件記錄) 索引標籤，以 JSON 格式檢視 Insights 開始和結束事件。

1. 選擇連結的 **Event source **(事件來源) 會返回由該事件來源篩選的 **Insights ** 頁面。

## 縮放、平移和下載圖表
<a name="viewing-insight-details-zoom"></a>

您可以使用右上角的工具列來縮放、平移和重設 Insights 事件詳細資訊頁面上的圖表軸。

![\[下載為 PNG、縮放、平移、放大、縮小和重設軸指令工具列。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)


圖表工具列上的命令按鈕從左到右執行以下作業：
+ **Download plot as a PNG** (下載散佈圖為 PNG) - 下載詳細資訊頁面上顯示的圖表影像，並將其儲存為 PNG 格式。
+ **Zoom (縮放)** - 拖曳以在圖表上選取您要放大並更詳細地查看的區域。
+ **Pan (平移)** - 移動圖表以查看相鄰的日期或時間。
+ **Reset axes (重置軸)** - 將圖表軸變更回原始軸，清除縮放和平移設定。

## 變更圖表時間範圍設定
<a name="viewing-insight-details-timespan"></a>

您可以變更時間範圍，也就是顯示在 *x* 軸 上的所選事件持續期間 - 透過選擇圖表右上角的設定來顯示在圖表中。

![\[Insights 事件的時間範圍控制。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_timespan.png)


## 下載 Insights 事件
<a name="downloading-insights-events"></a>

您可以將已記錄的 Insights 事件歷史記錄以 CSV 或 JSON 檔案格式下載。善用篩選條件和時間範圍，減少下載的檔案大小。

**注意**  
CloudTrail 事件歷史記錄檔案屬資料檔案，內含個別使用者可設定的資訊 (如資源名稱)。有些資料在用來讀取與分析資料 (CSV injection) 的程式中很可能會被解譯為命令。例如，將 CloudTrail 事件匯出至 CSV 並匯入至試算表程式時，該程式可能會提醒您關於安全方面的考量。安全最佳實務是停用下載事件歷史記錄檔中的連結或巨集。

1. 指定您要下載之事件的篩選條件和時間範圍。例如，您可以指定事件名稱 `StartInstances`，並指定過去 12 小時活動的時間範圍。

1. 選擇 **Download events** (下載事件)，然後選擇 **Download as CSV** (下載為 CSV) 或 **Download as JSON** (下載為 JSON)。系統會提示您選擇儲存檔案的位置。
**注意**  
您的下載可能需要一些時間才能完成。如需更快速的結果，請在您開始下載程序之前，使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。

1. 下載完成後，請開啟檔案，以檢視您指定的事件。

1. 若要取消下載，請選擇**取消**。如果您在下載完成之前取消下載，本機電腦上的 CSV 或 JSON 檔案可能只包含部分事件。