本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在設定檔面板上探索活動詳細資訊
<a name="profile-panel-drilldown"></a>

在調查期間，您可能想要進一步調查實體的活動模式。

在以下設定檔面板上，您可以顯示活動詳細資訊的摘要：
+ **整體 API 呼叫量**，使用者代理程式設定檔上的設定檔面板除外
+ **新觀察到的地理位置**
+ **VPC 整體流量**
+ 針對與單一 IP 地址相關聯的調查結果，**往來于調查結果 IP 地址的 VPC 流量**
+ **容器詳細資訊**
+ 叢集的 **VPC 流量**
+ **Kubernetes 整體 API 活動**

活動詳細資訊可回答以下類型的問題：
+ 使用了哪些 IP 地址？
+ 此類 IP 地址位於何處？
+ 每個 IP 地址進行了哪些 API 呼叫，以及他們透過哪些服務進行呼叫？
+ 使用哪些主體或存取金鑰識別符 (AKID) 用於呼叫？
+ 使用哪些資源用於呼叫？
+ 呼叫次數？ 成功和失敗次數？
+ 每個 IP 地址傳入或傳出多少 VPC 流程日誌資料？
+ 指定叢集、映像或 Pod 的哪些容器處於作用中狀態？

**Topics**
+ [整體 API 呼叫量的活動詳細資訊](profile-panel-drilldown-overall-api-volume.md)
+ [地理位置的活動詳細資訊](profile-panel-drilldown-new-geolocations.md)
+ [整體 VPC 流量的活動詳細資訊](profile-panel-drilldown-overall-vpc-volume.md)
+ [涉及 EKS 叢集的整體 Kubernetes API 活動](profile-panel-drilldown-kubernetes-api-volume.md)

# 整體 API 呼叫量的活動詳細資訊
<a name="profile-panel-drilldown-overall-api-volume"></a>

**整體 API 呼叫量**的活動詳細資訊，顯示在所選時間範圍內的 API 呼叫資料。

若要顯示單一時間間隔的活動詳細資訊，請在圖表上選擇時間間隔。

若要顯示目前範圍時間的活動詳細資訊，請選擇**顯示範圍時間的詳細資訊**。

請注意，自 2021 年 7 月 14 日起，Detective 開始儲存並顯示 API 呼叫的服務名稱。該日期會在設定檔面板的時間軸上反白顯示。針對在該日期之前發生的活動，服務名稱為**未知服務**。

## 活動詳細資訊的內容 (使用者、角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體)
<a name="drilldown-api-volume-content"></a>

針對 IAM 使用者、IAM 角色、帳戶、角色工作階段、EC2 執行個體和 S3 儲存貯體，活動詳細資訊包含以下資訊：
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。

  針對 S3 儲存貯體，資訊會反映對 S3 儲存貯體進行的 API 呼叫。

  API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。
+ 針對每個項目，活動詳細資訊都會顯示成功和失敗的呼叫次數。**觀察到的 IP 地址**標籤也會顯示每個 IP 地址的位置。
+ 每個項目均顯示呼叫方的訊息。活動詳細資訊會針對帳戶識別使用者或角色。活動詳細資訊會針對角色識別角色工作階段。針對使用者和角色工作階段，活動詳細資訊會識別存取金鑰識別符 (AKID)。

  請注意，從 2021 年 7 月 14 日起，針對帳戶設定檔，活動詳細資訊會顯示使用者或角色，而非 AKID。針對角色設定檔，活動詳細資訊會顯示角色工作階段，而非 AKID。針對在 2021 年 7 月 14 日之前發生的活動，呼叫者會列為**未知資源**。

活動詳細資訊包含以下標籤：

**觀察到的 IP 地址**  
初始顯示用於發出 API 呼叫的 IP 地址清單。  
您可以展開每個 IP 地址，以顯示從該 IP 地址發出的 API 呼叫清單。API 呼叫會依呼叫它們的服務進行分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  
然後，您可以展開每個 API 呼叫，以顯示來自該 IP 地址的呼叫者清單。根據設定檔而定，呼叫者可能是使用者、角色、角色工作階段或 AKID。  

![\[檢視整體 API 呼叫量面板的觀察到的 IP 地址標籤，並展開一個項目以顯示 IP 地址、API 呼叫和 AKID 的階層。API 呼叫會依服務分組。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)


**依服務分類的 API 方法**  
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  
您可以展開每個 API 方法，以顯示從中發出呼叫的 IP 地址清單。  
然後，您可以展開每個 IP 地址，以顯示從該 IP 地址發出該 API 呼叫的 AKID 清單。  

![\[檢視整體 API 呼叫量面板中依服務分類的 API 方法標籤，並展開項目以顯示 API 呼叫、IP 地址和 AKID 的階層。API 呼叫會依服務分組。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)


**資源或存取金鑰 ID**  
初始顯示用來發出 API 呼叫的使用者、角色、角色工作階段或 AKID 的清單。  
您可以展開每個呼叫者，以顯示呼叫者從 IP 地址發出 API 呼叫的清單。  
然後，您可以展開每個 IP 地址，以顯示該呼叫者從該 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  

![\[檢視整體 API 呼叫量面板的資源標籤，展開項目以顯示 AKID、IP 地址和依服務分組的 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## 活動詳細資訊的內容 (IP 地址)
<a name="drilldown-api-volume-content-ip"></a>

針對 IP 地址，活動詳細資訊包含以下資訊：
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。
+ 針對每個項目，活動詳細資訊都會顯示成功和失敗的呼叫次數。

活動詳細資訊包含以下標籤：

**資源**  
初始顯示從 IP 地址發出 API 呼叫的資源清單。  
針對每個資源，清單包括資源名稱、類型和 AWS 帳戶。  
您可以展開每個資源，以顯示資源從 IP 地址發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  

![\[在 IP 地址的整體 API 呼叫量設定檔面板上，檢視活動詳細資訊的資源標籤。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)


**依服務分類的 API 方法**  
最初顯示已發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  
您可以展開每個 API 呼叫，以顯示所選期間內從 IP 地址發出的 API 呼叫的資源清單。  

![\[在 IP 地址的整體 API 呼叫量設定檔面板上，檢視活動詳細資訊的依服務分類的 API 方法標籤。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)


## 排序活動詳細資訊
<a name="drilldown-api-volume-sort"></a>

您可以依任何清單欄排序活動詳細資訊。

當您使用第一欄位排序時，系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。

## 篩選活動詳細資訊
<a name="drilldown-api-volume-filter"></a>

您可以使用篩選選項，來專注於活動詳細資訊中所表示的特定子集或活動方面。

在所有標籤上，您可以依第一欄位中的任何值篩選清單。

**若要新增篩選條件**

1. 選擇篩選條件方塊。

1. 從**屬性**中，選擇要用於篩選的內容。

1. 提供用於篩選的值。篩選條件支援部分值。例如，當您依 API 方法進行篩選時，如果篩選依據為 **Instance**，則結果會在其名稱內包含帶有 `Instance` 的任何 API 操作。所以 `ListInstanceAssociations` 和 `UpdateInstanceInformation` 兩者將匹配。

   針對服務名稱、API 方法和 IP 地址，您可以指定值或選擇內建篩選條件。

   針對**通用 API 子字串**，請選擇代表操作類型的子字串，例如 `List`、`Create` 或 `Delete`。每個 API 方法名稱都以操作類型開頭。

   針對 **CIDR 模式**，您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。

1. 選擇布林值選項*資源**或服務***：包含** 或 **！：不包含**；或 *API 方法*或 *IP 地址*** = 等於** 或 **！：不等於**設定篩選條件。  
![\[活動詳細資訊篩選條件的可用篩選條件清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/api-volume-search.png)

若要移除篩選條件，請選擇右上角的 **x** 圖示。

若要清除所有篩選條件，請選擇**清除篩選條件**。

## 選取活動詳細資訊的時間範圍
<a name="drilldown-api-volume-time-range"></a>

 當您首次顯示活動詳細資訊時，時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。

**若要變更活動詳細資訊的時間範圍**

1. 選擇**編輯**。

1. 在**編輯時間範圍**上，選擇要使用的開始和結束時間。

   若要將時間範圍設定為設定檔的預設範圍時間，請選擇**設定為預設範圍時間**。

1. 選擇**更新時間範圍**。

活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。

![\[針對整體 API 呼叫量設定檔面板反白顯示的時間範圍\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 查詢原始日誌
<a name="query-raw-logs"></a>

Amazon Detective 與 Amazon Security Lake 集成，這意味著您可以查詢和擷取 Security Lake 存儲的原始日誌資料。如需此整合的詳細資訊，請參閱 [Amazon Detective 與 Amazon Security Lake 整合](securitylake-integration.md)。

使用此整合，您可以從 Security Lake 原生支援的以下來源收集和查詢日誌和事件。
+ AWS CloudTrail 管理事件 1.0 版及更新版本
+ Amazon Virtual Private Cloud (Amazon VPC) 流程日誌 1.0 版及更新版本
+ Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌 2.0 版

**注意**  
在 Detective 內查詢原始資料日誌無須額外收費。其他 AWS 服務的使用費，包括 Amazon Athena，仍以公告費率計費。

**若要查詢原始日誌**

1. 選擇**顯示範圍時間的詳細資訊**。

1. 您可以在此開始**查詢原始日誌**。

1. 在**原始日誌預覽**資料表中，您可以檢視透過從 Security Lake 查詢資料擷取的日誌和事件。如需有關原始事件日誌的詳細資訊，您可以檢視 Amazon Athena 中顯示的資料。

   您可以在查詢原始日誌資料表中**取消查詢請求**、**在 Amazon Athena 中查看結果**以及**下載結果**為逗號分隔值 (.csv) 設定檔。

如果您在 Detective 中查看日誌，但查詢未傳回任何結果，這可能因以下原因造成。
+ 原始日誌可能會先在 Detective 中變成可用，然後才在 Security Lake 日誌表中顯示。請稍後再試。
+ Security Lake 可能會缺少日誌。如果您等待了很久的時間，則表示 Security Lake 缺少日誌。請與您的 Security Lake 管理員聯絡以解決問題。

# 地理位置的活動詳細資訊
<a name="profile-panel-drilldown-new-geolocations"></a>

**新觀察到的地理位置**活動詳細資訊顯示了在範圍時間內從地理位置發出的 API 呼叫。API 呼叫包括從地理位置發出的所有呼叫。它們不限於使用調查結果或設定檔實體的呼叫。針對 S3 儲存貯體，活動呼叫指對 S3 儲存貯體進行的 API 呼叫。

Detective 會使用 MaxMind GeoIP 資料庫來決定請求的位置。MaxMind 在國家/地區層級報告非常高的資料準確性，但準確性會根據國家/地區和 IP 類型等因素而有所不同。如需 MaxMind 的詳細資訊，請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確，您可以在 [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) 向 Maxmind 提交更正請求。

API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。

若要顯示活動詳細資訊，請執行以下其中一項動作：
+ 在地圖上，選擇一個地理位置。
+ 在清單中，選擇地理位置的**詳細資訊**。

活動詳細資訊會取代地理位置清單。若要傳回地理位置清單，請選擇**返回至所有結果**。

請注意，自 2021 年 7 月 14 日起，Detective 開始儲存並顯示 API 呼叫的服務名稱。針對在該日期之前發生的活動，服務名稱為**未知服務**。

## 活動內容詳細資訊
<a name="profile-panel-drilldown-geolocation-content"></a>

每個標籤都會提供範圍時間内從地理位置發出的所有 API 呼叫的相關資訊。

針對每個 IP 地址、資源和 API 方法，清單會顯示成功和失敗的 API 呼叫次數。

活動詳細資訊包含以下標籤：

**觀察到的 IP 地址**  
初始顯示用於從所選地理位置發出 API 呼叫的 IP 地址清單。  
您可以展開每個 IP 地址，以顯示從該 IP 地址發出 API 呼叫的資源。清單會顯示資源名稱。若要查看主體 ID，請將滑鼠游標移至名稱上。  
然後，您可以展開每個資源，以顯示該資源從該 IP 地址發出的特定 API 呼叫。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  

![\[檢視新觀察到的地理位置面板中觀察到的 IP 地址標籤，並展開項目以顯示 IP 地址、資源和 API 方法的階層架構。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)


**Resource**  
初始顯示從選取的地理位置發出 API 呼叫的資源清單。清單會顯示資源名稱。若要查看主體 ID，請將滑鼠游標停放在名稱上。針對每個資源，**資源**標籤也會顯示相關 AWS 帳戶。  
您可以展開每個使用者或角色，以顯示該資源發出的 API 呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在**未知服務**下。  
然後，您可以展開每個 API 呼叫，以顯示資源發出 API 呼叫的來源 IP 地址清單。  

![\[檢視新觀察到的地理位置面板中資源標籤，並展開項目以顯示使用者、API 方法和 IP 地址的階層架構。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)


## 排序活動詳細資訊
<a name="drilldown-geolocation-sort"></a>

您可以依任何清單欄排序活動詳細資訊。

當您使用第一欄位排序時，系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。

## 篩選活動詳細資訊
<a name="drilldown-geolocation-filter"></a>

您可以使用篩選選項，來專注於活動詳細資訊中所表示的特定子集或活動方面。

在所有標籤上，您可以依第一欄位中的任何值篩選清單。

**若要新增篩選條件**

1. 選擇篩選條件方塊。

1. 從**屬性**中，選擇要用於篩選的內容。

1. 提供用於篩選的值。篩選條件支援部分值。例如，當您依 API 方法進行篩選時，如果篩選依據為 **Instance**，則結果會在其名稱內包含帶有 `Instance` 的任何 API 操作。所以 `ListInstanceAssociations` 和 `UpdateInstanceInformation` 兩者將匹配。

   針對服務名稱、API 方法和 IP 地址，您可以指定值或選擇內建篩選條件。

   針對**通用 API 子字串**，請選擇代表操作類型的子字串，例如 `List`、`Create` 或 `Delete`。每個 API 方法名稱都以操作類型開頭。

   針對 **CIDR 模式**，您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。

1. 如果您有多個篩選條件，請選擇布林值選項來設定此類篩選條件的連線方式。  
![\[活動詳細資訊篩選條件之個別篩選條件之間的可用連接器清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)

1. 若要移除篩選條件，請選擇右上角的 **x** 圖示。

1. 若要清除所有篩選條件，請選擇**清除篩選條件**。

# 整體 VPC 流量的活動詳細資訊
<a name="profile-panel-drilldown-overall-vpc-volume"></a>

針對 EC2 執行個體，**整體 VPC 流量**的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。

針對 Kubernetes Pod，**整體 VPC 流量**會針對所有目的地 IP 地址，顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。在這一情況下 (`hostNetwork:true`)，Kubernetes Pod 的 IP 地址并非唯一地址。在此情況下，面板會顯示具有傳送至相同組態的其他 Pod 的流量，以及託管 Pod 的節點。

針對 IP 地址，**整體 VPC 流量**的活動詳細資訊會顯示 IP 地址與 EC2 執行個體在所選時間範圍內的互動。

若要顯示單一時間間隔的活動詳細資訊，請在圖表上選擇時間間隔。

若要顯示目前範圍時間的活動詳細資訊，請選擇**顯示範圍時間的詳細資訊**。

## 活動內容詳細資訊
<a name="drilldown-vpc-volume-content"></a>

內容反映在所選時間範圍內的活動。

針對 EC2 執行個體，活動詳細資訊包含 IP 地址、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。

針對 IP 地址，活動詳細資訊包含 EC2 執行個體、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。

每個項目都會顯示傳入流量、傳入流量以及存取要求是否已接受或拒絕。在調查結果設定檔上，**注釋**欄位會指出 IP 地址何時與目前調查結果相關。

![\[整體 VPC 流量設定檔面板的活動詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)


## 排序活動詳細資訊
<a name="drilldown-vpc-volume-sort"></a>

您可以依據資料表中的任何欄位來排序活動詳細資訊。

根據預設，活動詳細資訊會先依註釋排序，然後依傳入流量排序。

## 篩選活動詳細資訊
<a name="drilldown-vpc-volume-filter"></a>

若要專注於特定活動，您可以依以下值篩選活動詳細資訊：
+ IP 地址或 EC2 執行個體
+ 本機或遠端連接埠
+ Direction
+ 通訊協定
+ 請求是否被接受或拒絕

**若要新增和移除篩選條件**

1. 選擇篩選條件方塊。

1. 從**屬性**中，選擇要用於篩選的內容。

1. 提供用於篩選的值。篩選條件支援部分值。

   若要依 IP 地址進行篩選，您可以指定值或選擇內建篩選條件。

   針對 **CIDR 模式**，您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。

1. 如果您有多個篩選條件，請選擇布林值選項來設定此類篩選條件的連線方式。  
![\[活動詳細資訊篩選條件之個別篩選條件之間的可用連接器清單。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)

1. 若要移除篩選條件，請選擇右上角的 **x** 圖示。

1. 若要清除所有篩選條件，請選擇**清除篩選條件**。

## 選取活動詳細資訊的時間範圍
<a name="drilldown-vpc-volume-time-range"></a>

 當您首次顯示活動詳細資訊時，時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。

**若要變更活動詳細資訊的時間範圍**

1. 選擇**編輯**。

1. 在**編輯時間範圍**上，選擇要使用的開始和結束時間。

   若要將時間範圍設定為設定檔的預設範圍時間，請選擇**設定為預設範圍時間**。

1. 選擇**更新時間範圍**。

活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。

![\[在整體 VPC 流量設定檔面板上反白顯示活動詳細資訊的時間範圍。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)


## 顯示所選列的流量
<a name="drilldown-vpc-volume-chart-details"></a>

當您識別感興趣的資料列時，可以在主圖表上顯示此類資料列隨時間變化的流量。

針對每個要新增至圖表的資料列，勾選核取方塊。針對每個已選取的資料列，流量會在傳入或傳出圖表上顯示為一條線。

![\[所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)


若要專注於所選項目的流量，您可以隱藏整體流量。若要顯示或隱藏整體流量，請切換**整體流量**。

![\[所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。整體流量處於隱藏狀態。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)


## 顯示 EKS 叢集的 VPC 流量
<a name="display-traffic-for-eks-clusters"></a>

Detective 可以為 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌提供可見度，此類日誌代表周遊 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的流量。針對 Kubernetes 資源，VPC 流程日誌的內容取決於 EKS 叢集中部署的容器網路介面 (CNI)。

使用預設組態的 EKS 叢集會使用 Amazon VPC CNI 外掛程式。如需詳細資訊，請參閱《Amazon EKS 使用者指南》中的[管理 VPC CNI](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)。****Amazon VPC CNI 外掛程式會使用 Pod 的 IP 地址傳送內部流量，並將來源 IP 地址翻譯為節點的 IP 地址以進行外部通訊。Detective 可以擷取內部流量並將其關聯到正確的 Pod，但無法對外部流量執行相同動作。

如果您希望 Detective 能夠對 Pod 的外部流量具有可見度，請啟用外部來源網路地址轉譯 (SNAT)。啟用 SNAT 具有限制和缺點。如需詳細資訊，請參閱《Amazon EKS 使用者指南》中的[適用於 Pod 的 SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)。****

如果您使用不同的 CNI 外掛程式，Detective 針對使用 `hostNetwork:true` 的 Pod 有限可見度。針對此類 Pod，**VPC 流程**面板會顯示傳入 Pod IP 地址的所有流量。這包括傳入託管節點的流量以及傳入具有 `hostNetwork:true` 組態之節點上任何 Pod 的流量。

Detective 會針對以下 EKS 叢集組態，在 EKS Pod 的 **VPC 流程**面板中顯示流量：
+ 在具有 Amazon VPC CNI 外掛程式的叢集中，任何在叢集的 VPC 內傳送流量的 Pod (具有組態 `hostNetwork:false`)。
+ 在具有 Amazon VPC CNI 外掛程式和組態 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` 的叢集中，任何在叢集 VPC 外部傳送流量的 Pod (具有 `hostNetwork:false`)。
+ 任何具有組態 `hostNetwork:true` 的 Pod。來自節點的流量會與來自具有組態 `hostNetwork:true` 之其他 Pod 的流量混合在一起。

Detective 不會在 **VPC 流程**面板中顯示以下項目的流量：
+ 在具有 Amazon VPC CNI 外掛程式和組態 `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 的叢集中，任何在叢集 VPC 外部傳送流量的 Pod (具有組態 `hostNetwork:false`)。
+ 在無需針對 Kubernetes 使用 Amazon VPC CNI 外掛程式的叢集內，任何具有組態 `hostNetwork:false` 的 Pod。
+ 傳送流量至相同節點中託管的另一個 Pod 的任何 Pod。

## 顯示共用 Amazon VPC 的 VPC 流程流量
<a name="vpc-flow-traffic-shared-vpc"></a>

Detective 可以深入查看共用 VPC 的 Amazon Virtual Private Cloud (Amazon VPC) Flow Logs：
+ 如果 Detective 成員帳戶擁有共用 Amazon VPC，而且還有其他非 Detective 帳戶使用共用 VPC，則 Detective 會監控來自該 VPC 的所有流量，並且對 VPC 內的所有流量流程提供視覺效果。
+ 如果您的共用 Amazon VPC 內有 Amazon EC2 執行個體，而共用 VPC 擁有者不是 Detective 成員，則 Detective 不會監控來自 VPC 的任何流量。如果您想要檢視 VPC 內的流量流程，則必須將 Amazon VPC 擁有者新增為 Detective 圖形的成員。

# 涉及 EKS 叢集的整體 Kubernetes API 活動
<a name="profile-panel-drilldown-kubernetes-api-volume"></a>

**涉及 EKS 叢集的整體 Kubernetes API 活動**的活動詳細資訊，顯示所選時間範圍内成功和失敗的 Kubernetes API 呼叫次數。

若要顯示單一時間間隔的活動詳細資訊，請在圖表上選擇時間間隔。

若要顯示目前範圍時間的活動詳細資訊，請選擇**顯示範圍時間的詳細資訊**。

## 活動詳細資訊的內容 (叢集、Pod、使用者、角色和角色工作階段)
<a name="drilldown-kubernetes-api-volume-content"></a>

針對叢集、Pod、使用者、角色或角色工作階段，活動詳細資訊包含以下資訊：
+ 每個標籤都會提供在所選時間範圍內發出的 API 呼叫組的相關資訊。

  針對叢集，API 呼叫發生在叢集內部。

  針對 Pod，API 呼叫會以 Pod 為目標。

  針對使用者、角色和角色工作階段，API 呼叫是由認證為該使用者、角色或角色工作階段的 Kubernetes 使用者發出。
+ 針對每個項目，活動詳細資訊會顯示成功、失敗、未經授權和禁止的呼叫次數。
+ 資訊包括 IP 地址、Kubernetes 呼叫類型、受呼叫影響的實體，以及進行呼叫的主體 (服務帳戶或使用者)。從活動詳細資訊中，您可以錨定至 IP 地址、主體和受影響實體的設定檔。

活動詳細資訊包含以下標籤：

**Subject**  
初始顯示用於進行 API 呼叫的服務帳戶和使用者清單。  
您可以展開每個服務帳戶和使用者，以顯示帳戶或使用者從 IP 地址中 API 呼叫的清單。  
然後，您可以展開每個 IP 地址，以顯示該帳戶或使用者從該 IP 地址進行的 Kubernetes API 呼叫。  
展開 Kubernetes API 呼叫，查看 `requestURI `以識別已完成的動作。  

![\[檢視整體 Kubernetes API 呼叫量面板的主體標籤，展開項目以顯示 IP 地址和 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/kube-subject-drilldown.png)


**IP Address** (IP 地址)  
初始顯示從 IP 地址中進行 API 呼叫的清單。  
您可以展開每個呼叫，以顯示進行呼叫 Kubernetes 主體 (服務帳戶和使用者) 清單。  
然後，您可以將每個主體展開到範圍時間内由主體發出的 API 呼叫類型清單。  
展開 API 呼叫類型，查看 requestURI 以識別已完成的動作。  

![\[檢視整體 Kubernetes API 呼叫量面板的 IP 地址標籤，展開項目以顯示 API 呼叫、IP 地址和 AKID 的階層。API 呼叫依服務分組\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/kube-ip-drilldown.png)


**Kubernetes API 呼叫**  
初始顯示 Kubernetes API 呼叫動詞清單。  
您可以展開每個 API 動詞以顯示與該動作相關聯的 requestURI。  
然後，您可以展開每個 requestURI，以查看進行 API 呼叫的 Kubernetes 主體 (服務帳戶和使用者)。  
展開主體以查看主體用來進行 API 呼叫的 IP。  

![\[檢視整體 API 呼叫量面板的資源標籤，展開項目以顯示 AKID、IP 地址和依服務分組的 API 呼叫階層。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)


## 排序活動詳細資訊
<a name="drilldown-kubernetes-api-volume-sort"></a>

您可以依任何清單欄排序活動詳細資訊。

當您使用第一欄位排序時，系統只會排序頂層清單。較低級別的清單始終按成功 API 呼叫的計數進行排序。

## 篩選活動詳細資訊
<a name="drilldown-kubernetes-api-volume-filter"></a>

您可以使用篩選選項，來專注於活動詳細資訊中所表示的特定子集或活動方面。

在所有標籤上，您可以依第一欄位中的任何值篩選清單。

## 選取活動詳細資訊的時間範圍
<a name="drilldown-kubernetes-api-volume-time-range"></a>

 當您首次顯示活動詳細資訊時，時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。

**若要變更活動詳細資訊的時間範圍**

1. 選擇**編輯**。

1. 在**編輯時間範圍**上，選擇要使用的開始和結束時間。

   若要將時間範圍設定為設定檔的預設範圍時間，請選擇**設定為預設範圍時間**。

1. 選擇**更新時間範圍**。

活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。

![\[針對整體 API 呼叫量設定檔面板反白顯示的時間範圍\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)


## 在調查期間使用設定檔面板指引
<a name="profile-panel-guidance"></a>

每個設定檔面板都旨在提供您進行調查和分析相關實體活動時出現的特定問題的答案。

為每個設定檔面板提供的指引可協助您找到答案。

設定檔面板指引以面板自身的單一句子開頭。本指引提供了面板上顯示的資料的簡要說明。

若要顯示面板的更多詳細指引，請從面板標題中選擇**更多資訊**。此擴充指引會在說明窗格中顯示。

該指引可以提供以下類型的資訊：
+ 面板內容概觀
+ 如何使用面板回答相關問題
+ 根據答案建議的後續步驟