本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 檢視追蹤的 Insights 事件
本節說明如何在啟用 CloudTrail Insights 的情況下,查詢追蹤過去 90 天的 Insights 事件。如需如何檢視事件資料存放區的 CloudTrail Insights 的詳細資訊,請參閱 [檢視事件資料存放區的 Insights 儀表板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
您可以從 主控台的 Insights 頁面檢視、篩選和下載過去 90 天的 **Insights** 事件。
您可以以程式設計方式擷取 Insights 事件的最後 90 天:
+ 對於透過執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API 操作的線索記錄管理事件。
+ 對於透過執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html) API 操作記錄資料事件的線索。
如需追蹤的 Insights 事件記錄欄位說明,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
**注意**
如果您已在記錄管理或資料事件的線索上啟用 Insights, **Insights** 頁面和 AWS CLI `lookup-events` 或 `list-insights-data`命令只會列出 Insights 事件。如需在線索上啟用 Insights 的詳細資訊,請參閱 [使用主控台在現有線索上啟用 CloudTrail Insights](insights-events-enable.md#insights-events-enable-trail)和 [使用 記錄線索的 Insights 事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
若要在 API 呼叫率上記錄 Insights 事件,線索必須記錄`write`管理或資料事件。若要以 API 錯誤率記錄 Insights 事件,追蹤必須記錄`read`或`write`管理 或 資料事件。
**Topics**
+ [使用主控台檢視線索的 Insights 事件](view-insights-events-console.md)
+ [使用 檢視線索的 Insights 事件 AWS CLI](view-insights-events-cli.md)
# 使用主控台檢視線索的 Insights 事件
本節說明如何從 CloudTrail 主控台的 Insights 頁面檢視、查詢和下載過去 90 天的 **Insights** 事件。如需如何檢視事件資料存放區的 CloudTrail Insights 的詳細資訊,請參閱 [檢視事件資料存放區的 Insights 儀表板](insights-events-view-lake.md#insights-events-view-lake-dashboard)。
記錄線索的 Insights 事件後,事件會在 **Insights** 頁面上顯示 90 天。您無法從 **Insights (深入分析)** 頁面手動刪除事件。由於針對線索啟用的 Insights 事件會存放在針對該線索設定的 Amazon S3 儲存貯體中,因此從儲存貯體中移除 Insights 事件將會刪除這些事件。
您可以啟用 CloudWatch Logs 來監控追蹤日誌,並在發生特定 Insights 事件時收到通知。如需詳細資訊,請參閱[使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。
**注意**
CloudTrail Insights 事件必須在您的線索中啟用,才能在主控台中查看 Insights 事件。如果在此期間偵測到異常活動,CloudTrail 最多需要 36 小時才能交付第一個 Insights 事件。
對於管理事件 Insights:若要在 API 呼叫率上記錄 Insights 事件,追蹤必須記錄`write`管理事件。若要在 API 錯誤率上記錄 Insights 事件,追蹤必須記錄`read`或`write`管理事件。
對於資料事件 Insights:若要在 API 呼叫率或 API 錯誤率上記錄 Insights 事件,追蹤必須記錄 `read`或 `write` 資料事件。
**檢視 Insights 事件**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/home/](https://console.aws.amazon.com/cloudtrail/home/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Insights** 以查看您帳戶在過去 90 天內記錄的所有 Insights 事件。您也可以從**儀表板**頁面檢視五個最新的 Insights 事件。
1. 在 **Insights** 頁面上,您可以選取管理事件 Insights 或資料事件 Insights 索引標籤
1. 您可以依事件來源、事件名稱或事件 ID 篩選 Insights 事件。如需有關篩選 Insights 事件的詳細資訊,請參閱[篩選 Insights 事件](#filtering-insights-events)。
1. 您可以進一步將清單限制為**相對範圍**或**絕對範圍**。
**Contents**
+ [篩選 Insights 事件](#filtering-insights-events)
+ [檢視 Insights 事件的詳細資訊](#viewing-details-for-an-event)
+ [縮放、平移和下載圖表](#viewing-insight-details-zoom)
+ [變更圖表時間範圍設定](#viewing-insight-details-timespan)
+ [下載 Insights 事件](#downloading-insights-events)
## 篩選 Insights 事件
根據預設, **Insights** 頁面上的事件會依事件開始時間的反向時間順序顯示。
您可以從下列三個屬性中選擇其中一個來篩選清單:
**事件名稱**
事件的名稱,通常是記錄異常活動層級的 AWS API。
**事件來源**
提出請求 AWS 的服務,例如 `iam.amazonaws.com`或 `s3.amazonaws.com`。如果您選擇依事件來源篩選,您可以捲動事件來源清單。
**事件 ID**
Insights 事件的 ID。事件 ID不會顯示在 **Insights** 頁面資料表中,但它們是您可以用來篩選 Insights 事件的屬性。分析以產生 Insights 事件的管理事件或資料事件的事件 IDs 與 Insights 事件的事件 IDs 不同。
![\[CloudTrail Insights 事件清單篩選條件。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_events_filter.png)
下列清單說明無法篩選之事件的屬性:
**洞見類型**
CloudTrail Insights 事件的類型可以是 **API 呼叫率**或 **API 錯誤率**。**API 呼叫率**洞見類型會根據基準 API 呼叫量,分析每分鐘彙總的唯寫管理或資料 API 呼叫。**API 錯誤率**洞見類型會分析導致錯誤代碼的管理或資料 API 呼叫。如果 API 呼叫失敗,則顯示錯誤。
**事件開始時間**
Insights 事件的開始時間,計算方式為記錄異常活動的第一分鐘。此屬性顯示於 **Insights** 資料表,但您無法在主控台中篩選事件開始時間。
**基準平均值**
基準代表 API 呼叫率或錯誤率活動的正常模式,每日計算。基準平均值是 Insights 事件開始前七天內這些每日基準的平均值。雖然此期間通常為七天,但 CloudTrail 會將計算期間四捨五入為整數天數,因此確切的基準持續時間可能會略有不同。
**Insight 平均值**
觸發 Insights 事件的 API 呼叫平均數,或呼叫 API 時傳回的特定錯誤的平均數。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件的發生率。一般而言,這是異常活動的第一分鐘。結束事件的 Insights 平均值是異常活動持續時間 (開始 Insights 事件和結束 Insights 事件之間) 的發生率。
**發生率變化**
**Baseline average** (基準平均值) 和 **Insight average** (Insight 平均值) 之間的差異 (以百分比測量)。例如,如果 `AccessDenied` 錯誤發生率的基準平均值為 1.0,而 Insight 平均值為 3.0,則發生率變化為 300%。超過基準平均值的 Insight 平均值發生率變化會在數值旁顯示向上箭號。如果因為活動低於基準平均值而記錄 Insights 事件,**Rate change** (發生率變化) 會在百分比旁顯示向下箭頭。
如果在您所選擇的屬性或時間下沒有記錄的事件,則結果清單會是空的。除了時間範圍之外,您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件,則會保留您指定的時間範圍。
下列步驟說明如何依屬性進行篩選。
**依屬性篩選**
1. 若要依屬性篩選結果,請從下拉式選單中選擇查詢屬性,然後在**輸入查詢值**方塊中輸入或選擇值。
1. 若要移除屬性篩選條件,請選擇屬性篩選條件方塊右側的 **X**。
下列步驟說明如何依開始與結束日期及時間進行篩選。
**依開始與結束日期及時間進行篩選**
1. 從**依日期和時間篩選**中,選擇下列其中一項:
+ **絕對範圍** - 可讓您選擇特定時間。繼續進行下一個步驟。
+ **相對範圍** - 預設選取。可讓您選擇與 Insights 事件開始時間相關的時段。繼續步驟 3。
1. 若要設定**絕對範圍**,請執行下列動作。
1. 選擇您希望時間範圍開始的日期。輸入所選日期的開始時間。若要手動輸入日期,請以 `yyyy/mm/dd` 格式輸入日期。開始和結束時間使用 24 小時制,且值必須是格式 `hh:mm:ss`。例如,若要指示下午 6:30 的開始時間,請輸入 **18:30:00**。
1. 選擇行事曆上範圍的結束日期,或在行事曆下方指定結束日期與時間。選擇**套用**。
1. 若要設定**相對範圍**,請執行下列動作。
1. 選擇與 Insights 事件開始時間相關的預設時段。預設時間範圍包括 30 分鐘、1 小時、12 小時或 1 天。若要指定自訂時間範圍,請選擇 **Custom** (自訂)。
1. 設定您想要的相對時間後,選擇 **Apply** (套用)。
1. 若要移除時間範圍篩選條件,請選擇**依日期和時間篩選**方塊右側的行事曆圖示,然後選擇**清除並關閉**。
## 檢視 Insights 事件的詳細資訊
1. 在結果清單中選擇 Insights 事件,以顯示其詳細資訊。Insights 事件的詳細資訊頁面會顯示異常活動時間表的圖表。
![\[顯示異常 API 活動的 CloudTrail Insights 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. 將滑鼠停留在反白顯示的頻帶上,以顯示圖表中每個 Insights 事件的開始事件和持續期間。
![\[將滑鼠停留在 Insights 事件上後,所顯示的 Insights 事件統計資料。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
下列資訊會顯示在圖表的 **Additional information** (其他資訊) 區域中:
+ **Insight type** (Insight 類型)。這可以是 API 呼叫率或 API 錯誤率。
+ **觸發條件**。這是 **Cloudtrail 事件**索引標籤的連結,其中列出為了判斷發生異常活動而分析的管理或資料事件。
+ **每分鐘 API 呼叫**或**每分鐘錯誤**
+ **Baseline average** (基準平均值) - 記錄 Insights 事件的 API 的每分鐘典型發生率 (大約前 7 天內在您帳戶的特定區域中測量)。
+ **Insights average** (Insights 平均值) - 觸發 Insights 事件的此 API 的每分鐘發生率。開始事件的 CloudTrail Insights 平均值是觸發 Insights 事件之 API 的每分鐘呼叫率或錯誤率。一般而言,這是異常活動的第一分鐘。結束事件的 Insights 平均值是在異常活動持續期間 (開始 Insights 事件和結束 Insights 事件之間),每分鐘 API 呼叫率或錯誤率。
+ **Event source** (事件來源)。記錄異常 API 呼叫次數或錯誤 AWS 的服務端點。在上述影像中,來源為 `ec2.amazonaws.com`,這是 Amazon EC2 的服務端點。
+ **Start event ID** (開始事件 ID) - 異常活動開始時記錄的 Insights 事件 ID。
+ **End event ID** (結束事件 ID) - 異常活動結束時記錄的 Insights 事件 ID。
+ **Shared event ID** (共用事件 ID) - 在 Insights 事件中,**Shared event ID** (共用事件 ID) 是由 CloudTrail Insights 產生的 GUID,用於唯一識別一組開始和結束 Insights 事件。**Shared event ID** (共用事件 ID) 在開始和結束 Insights 事件之間共用,有助於在這兩個事件之間建立關聯以唯一識別異常活動。
1. 選擇 **Attributions** (歸因) 索引標籤,可檢視有關使用者身分、使用者代理程式、API 呼叫率 Insights 事件,以及與異常和基準活動相關的錯誤代碼的資訊。**Attributions** (歸因) 索引標籤上的資料表中最多會顯示五個使用者身分、五個使用者代理程式和五個錯誤碼,按活動計數的平均值按從高到低的降序排列。
1. 在 **CloudTrail 事件**索引標籤上,檢視 CloudTrail 所分析的相關事件,以判斷發生的異常活動。依預設,Insights 事件名稱已套用篩選器,這也是相關 API 的名稱。**CloudTrail 事件**索引標籤會顯示 CloudTrail 管理或與主體 API 相關的資料事件,這些事件發生在 Insights 事件的開始時間 (減去一分鐘) 和結束時間 (加上一分鐘) 之間。
當您在圖表中選取其他 Insights 事件時,**CloudTrail 事件**資料表中顯示的事件變更。這些事件可協助您執行更深入的分析,以判斷 Insights 事件的可能原因,以及異常 API 活動的原因。
若要顯示 Insights 事件持續期間記錄的所有 CloudTrail 事件,而不僅是相關 API 的事件,請關閉篩選器。
1. 選擇 **Insights event record** (Insights 事件記錄) 索引標籤,以 JSON 格式檢視 Insights 開始和結束事件。
1. 選擇連結的 **Event source **(事件來源) 會返回由該事件來源篩選的 **Insights ** 頁面。
## 縮放、平移和下載圖表
您可以使用右上角的工具列來縮放、平移和重設 Insights 事件詳細資訊頁面上的圖表軸。
![\[下載為 PNG、縮放、平移、放大、縮小和重設軸指令工具列。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
圖表工具列上的命令按鈕從左到右執行以下作業:
+ **Download plot as a PNG** (下載散佈圖為 PNG) - 下載詳細資訊頁面上顯示的圖表影像,並將其儲存為 PNG 格式。
+ **Zoom (縮放)** - 拖曳以在圖表上選取您要放大並更詳細地查看的區域。
+ **Pan (平移)** - 移動圖表以查看相鄰的日期或時間。
+ **Reset axes (重置軸)** - 將圖表軸變更回原始軸,清除縮放和平移設定。
## 變更圖表時間範圍設定
您可以變更時間範圍,也就是顯示在 *x* 軸 上的所選事件持續期間 - 透過選擇圖表右上角的設定來顯示在圖表中。
![\[Insights 事件的時間範圍控制。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## 下載 Insights 事件
您可以將已記錄的 Insights 事件歷史記錄以 CSV 或 JSON 檔案格式下載。善用篩選條件和時間範圍,減少下載的檔案大小。
**注意**
CloudTrail 事件歷史記錄檔案屬資料檔案,內含個別使用者可設定的資訊 (如資源名稱)。有些資料在用來讀取與分析資料 (CSV injection) 的程式中很可能會被解譯為命令。例如,將 CloudTrail 事件匯出至 CSV 並匯入至試算表程式時,該程式可能會提醒您關於安全方面的考量。安全最佳實務是停用下載事件歷史記錄檔中的連結或巨集。
1. 指定您要下載之事件的篩選條件和時間範圍。例如,您可以指定事件名稱 `StartInstances`,並指定過去 12 小時活動的時間範圍。
1. 選擇 **Download events** (下載事件),然後選擇 **Download as CSV** (下載為 CSV) 或 **Download as JSON** (下載為 JSON)。系統會提示您選擇儲存檔案的位置。
**注意**
您的下載可能需要一些時間才能完成。如需更快速的結果,請在您開始下載程序之前,使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。
1. 下載完成後,請開啟檔案,以檢視您指定的事件。
1. 若要取消下載,請選擇**取消**。如果您在下載完成之前取消下載,本機電腦上的 CSV 或 JSON 檔案可能只包含部分事件。
# 使用 檢視線索的 Insights 事件 AWS CLI
本節說明如何使用 AWS CLI `lookup-events`和 `list-insights-data`命令來查詢過去 90 天的 Insights 事件,以取得已啟用 Insights 事件的線索。如需有關如何在線索上啟用 CloudTrail Insights 的資訊,請參閱 [使用 記錄線索的 Insights 事件 AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails)。
**注意**
您無法使用 `lookup-events`或 `list-insights-data`命令來查詢事件資料存放區的 Insights 事件,不過,CloudTrail Lake 為 Insights 事件資料存放區提供許多範例查詢。如需詳細資訊,請參閱[檢視 Insights 事件的範例查詢](insights-events-view-lake.md#insights-events-lake-queries)。
此 `lookup-events` 命令提供以下選項:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
此 `list-insights-data` 命令提供以下選項:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
如需使用 的一般資訊 AWS Command Line Interface,請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**Contents**
+ [先決條件](#aws-cli-prerequisites-for-insights)
+ [取得命令列說明](#getting-command-line-help-insights)
+ [查詢管理事件的 Insights 事件](#looking-up-management-insights-with-the-aws-cli)
+ [查詢 Insights 事件以取得資料事件](#looking-up-data-insights-with-the-aws-cli)
+ [指定要傳回的管理事件 Insights 事件數量](#specify-the-number-of-management-insights-to-return)
+ [指定要傳回的資料事件 Insights 事件數目](#specify-the-number-of-data-insights-to-return)
+ [依時間範圍查詢管理事件的 Insights 事件](#look-up-management-insights-by-time-range)
+ [依時間範圍查詢資料事件的 Insights 事件](#look-up-data-insights-by-time-range)
+ [依屬性查詢管理事件的 Insights 事件](#look-up-management-insights-by-attributes)
+ [屬性查詢範例](#attribute-lookup-example-insights)
+ [依維度查詢資料事件的 Insights 事件](#look-up-data-insights-by-attributes)
+ [維度查詢範例](#dimension-lookup-example-insights)
+ [為管理事件指定 Insights 事件結果的下一頁](#specify-next-page-of-management-results)
+ [為管理事件指定 Insights 事件結果的下一頁](#specify-next-page-of-data-results)
+ [從管理事件的 Insights 事件檔案中取得 JSON 輸入](#json-input-from-file-managemenet-insights)
+ [從資料事件的 Insights 事件檔案中取得 JSON 輸入](#json-input-from-file-data-insights)
+ [查詢輸出欄位](#view-insights-events-cli-output-fields)
## 先決條件
+ 若要執行 AWS CLI 命令,您必須安裝 AWS CLI。如需詳細資訊,請參閱 [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 請確定您的 AWS CLI 版本大於 1.6.6。若要驗證 CLI 版本,請在命令列上執行 **aws --version**。
+ 若要設定 AWS CLI 工作階段的帳戶、區域和預設輸出格式,請使用 **aws configure**命令。如需詳細資訊,請參閱[設定 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
+ 若要在 API 呼叫率上記錄 Insights 事件,追蹤必須記錄`write`管理事件。若要在 API 錯誤率上記錄 Insights 事件,追蹤必須記錄`read`或`write`管理事件。
**注意**
CloudTrail AWS CLI 命令區分大小寫。
## 取得命令列說明
若要查看 `lookup-events` 的命令列說明,請輸入下列命令:
```
aws cloudtrail lookup-events help
```
## 查詢管理事件的 Insights 事件
若要查看 50 個最新的 Insights 事件,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight
```
傳回的事件看起來類似下列範例:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
如需輸出中查詢相關欄位的說明,請參閱本主題中的[查詢輸出欄位](#view-insights-events-cli-output-fields)。如需 Insights 事件中欄位的說明,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
## 查詢 Insights 事件以取得資料事件
若要查看 50 個最新的 Insights 事件,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
傳回的事件看起來類似下列範例:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## 指定要傳回的管理事件 Insights 事件數量
若要為要傳回的管理事件指定 Insights 事件數量,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --max-results
```
若未指定 ** 的預設值為 50。可能值為 1 到 50。下列範例會傳回一個結果。
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## 指定要傳回的資料事件 Insights 事件數目
若要為要傳回的資料事件指定 Insights 事件數量,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
若未指定 ** 的預設值為 50。可能值為 1 到 50。下列範例會傳回一個結果。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## 依時間範圍查詢管理事件的 Insights 事件
過去 90 天的管理事件洞見事件可供查詢。若要指定時間範圍,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` 指定 (UTC) 只會傳回在所指定時間或之後發生的 Insights 事件。如果指定的開始時間晚於指定的結束時間,則會傳回錯誤。
`--end-time ` 指定 (UTC) 只會傳回在所指定時間或之前發生的 Insights 事件。如果指定的結束時間早於指定的開始時間,則會傳回錯誤。
預設的開始時間是過去 90 天內可使用資料的最早日期。預設的結束時間是在最接近目前時間所發生之事件的時間。
所有時間戳記均會以 UTC 顯示。
## 依時間範圍查詢資料事件的 Insights 事件
過去 90 天的資料事件洞見事件可供查詢。若要指定時間範圍,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` 指定 (UTC) 只會傳回在所指定時間或之後發生的 Insights 事件。如果指定的開始時間晚於指定的結束時間,則會傳回錯誤。
`--end-time ` 指定 (UTC) 只會傳回在所指定時間或之前發生的 Insights 事件。如果指定的結束時間早於指定的開始時間,則會傳回錯誤。
預設的開始時間是過去 90 天內可使用資料的最早日期。預設的結束時間是在最接近目前時間所發生之事件的時間。
所有時間戳記均會以 UTC 顯示。
## 依屬性查詢管理事件的 Insights 事件
若要依屬性進行篩選,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
您只能為每個 **lookup-events** 命令指定一個屬性鍵/值對。以下是 `AttributeKey` 的有效 Insights 事件值。值名稱區分大小寫。
+ `EventId`
+ `EventName`
+ `EventSource`
的長度上限為 `AttributeValue` 2000 個字元。下列字元 ('`_`'、'` `'、'`,`'、'`\\n`') 計算為 2000 個字元限制的兩個字元。
### 屬性查詢範例
下列範例命令會傳回 `EventName` 值為 `PutRule` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
下列範例命令會傳回 `EventId` 值為 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
下列範例命令會傳回 `EventSource` 值為 `iam.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## 依維度查詢資料事件的 Insights 事件
若要依維度篩選,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
每個**list-insights-events**命令只能指定一個維度鍵/值對。以下是 `DimensionKey` 的有效 Insights 事件值。值名稱區分大小寫。
+ `EventId`
+ `EventName`
+ `EventSource`
的長度上限為 `DimensionValue` 2000 個字元。下列字元 ('`_`'、'` `'、'`,`'、'`\\n`') 計算為 2000 個字元限制的兩個字元。
### 維度查詢範例
下列範例命令會傳回 `EventName` 值為 `PutObject` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
下列範例命令會傳回 `EventId` 值為 `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
下列範例命令會傳回 `EventSource` 值為 `s3.amazonaws.com` 的 Insights 事件。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## 為管理事件指定 Insights 事件結果的下一頁
若要從 `lookup-events` 命令取得下一頁的結果,請輸入下列命令。
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
在此命令中,** 的值取自先前命令輸出的第一個欄位。
當您在命令中使用 `--next-token` 時,必須使用與先前命令相同的參數。例如,假設您執行下列命令。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
若要取得下一頁的結果,您的下一個命令會如下所示。
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 為管理事件指定 Insights 事件結果的下一頁
若要從 `list-insights-data` 命令取得下一頁的結果,請輸入下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
在此命令中,** 的值取自先前命令輸出的第一個欄位。
當您在命令中使用 `--next-token` 時,必須使用與先前命令相同的參數。例如,假設您執行下列命令。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
若要取得下一頁的結果,您的下一個命令會如下所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## 從管理事件的 Insights 事件檔案中取得 JSON 輸入
AWS CLI 某些 AWS 服務的 有兩個參數 `--generate-cli-skeleton`和 `--cli-input-json`,可用來產生 JSON 範本,您可以修改並用作`--cli-input-json`參數的輸入。本節說明如何搭配使用這些參數與 `aws cloudtrail lookup-events`。如需詳細資訊,請參閱[AWS CLI 骨架和輸入檔案](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**從檔案取得 JSON 輸入來查詢 Insights 事件**
1. 將 `lookup-events` 輸出重新導向至檔案,以建立與 `--generate-cli-skeleton` 搭配使用的輸入範本,如下列範例所示。
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
所產生的範本檔案 (在此情況下為 LookupEvents.txt) 如下。
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 視需要使用文字編輯器來修改 JSON。JSON 輸入只能包含所指定的值。
**重要**
必須先從範本移除所有空白值或 null 值,才能使用它。
下列範例指定時間範圍以及要傳回的結果數目上限。
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. 若要使用編輯過的檔案做為輸入,請使用語法 `--cli-input-json file://`**,如下列範例所示。
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**注意**
您可以在與 `--cli-input-json` 相同的命令列上使用其他引數。
## 從資料事件的 Insights 事件檔案中取得 JSON 輸入
AWS CLI 某些 AWS 服務的 有兩個參數 `--generate-cli-skeleton`和 `--cli-input-json`,可用來產生 JSON 範本,您可以修改並用作`--cli-input-json`參數的輸入。本節說明如何搭配使用這些參數與 `aws cloudtrail list-insights-data`。如需詳細資訊,請參閱[AWS CLI 骨架和輸入檔案](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html)。
**從檔案取得 JSON 輸入來查詢 Insights 事件**
1. 將 `list-insights-data` 輸出重新導向至檔案,以建立與 `--generate-cli-skeleton` 搭配使用的輸入範本,如下列範例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
產生的範本檔案 (在此案例中為 ListInsightsData.txt) 如下所示。
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. 視需要使用文字編輯器來修改 JSON。JSON 輸入只能包含所指定的值。
**重要**
必須先從範本移除所有空白值或 null 值,才能使用它。
下列範例指定時間範圍以及要傳回的結果數目上限。
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. 若要使用編輯過的檔案做為輸入,請使用語法 `--cli-input-json file://`**,如下列範例所示。
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**注意**
您可以在與 `--cli-input-json` 相同的命令列上使用其他引數。
## 查詢輸出欄位
**事件**
根據所指定查詢屬性和時間範圍的查詢事件清單。事件清單是依時間排序,而且會先列出最新的事件。每個項目都會包含查詢請求的資訊,以及包含以字串呈現所擷取的 CloudTrail 事件。
下列項目說明每個查詢事件中的欄位。
**CloudTrailEvent**
包含以物件呈現所傳回事件的 JSON 字串。如需所有傳回之元素的資訊,請參閱[記錄內文內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
**EventId**
字串,包含所傳回事件的 GUID。
**EventName**
字串,包含所傳回事件的名稱。
**EventSource**
提出請求的 AWS 服務。
**EventTime**
事件的日期和時間 (UNIX 時間格式)。
**資源**
所傳回之事件所參考的資源清單。每個資源項目都會指定資源類型和資源名稱。
**ResourceName**
字串,包含事件所參考資源的名稱。
**ResourceType**
字串,包含事件所參考資源的類型。無法判定資源類型時,會傳回 null。
**使用者名稱**
字串,包含所傳回事件之帳戶的使用者名稱。
**NextToken**
字串,可從先前的 `lookup-events` 命令取得下一頁的結果。若要使用字符,參數必須與原始命令中的參數相同。如果 `NextToken` 項目未出現在輸出中,則沒有可傳回的其他結果。
如需 CloudTrail Insights 事件的詳細資訊,請參閱此指南中的 [使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。