CloudTrail insightDetailsElement „Einblicke“ - AWS CloudTrail
Beispiel-insightDetails-Block

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail insightDetailsElement „Einblicke“

AWS CloudTrail Insights-Ereignisdatensätze enthalten Felder, die sich in ihrer JSON-Struktur, die manchmal auch als Payload bezeichnet wird, von anderen CloudTrail Ereignissen unterscheiden. Ein CloudTrail Insights-Ereignisdatensatz umfasst einen insightDetails Block, der Informationen über die zugrunde liegenden Auslöser eines Insights-Ereignisses enthält, wie z. B. die Ereignisquelle, Benutzeridentitäten, Benutzeragenten, historische Durchschnittswerte oder Basislinien, Statistiken, den API-Namen und ob das Ereignis der Beginn oder das Ende des Insights-Ereignisses ist. Der insightDetails-Block enthält die folgenden Informationen.

  • state – Ob das Ereignis das Start- oder End-Insights-Ereignis ist. Dabei kann es sich um den Wert Start oder End handeln.

    Seit: 1.07

    Optional: False

  • eventSource— Der AWS Service-Endpunkt, der die Quelle der ungewöhnlichen Aktivität war, z. B. ec2.amazonaws.com

    Seit: 1.07

    Optional: False

  • eventName – Der Name des Insights-Ereignisses, normalerweise der Name der API, die die Quelle der ungewöhnlichen Aktivität war.

    Seit: 1.07

    Optional: False

  • insightType – Der Typ des Insights-Ereignisses. Dabei kann es sich um den Wert ApiCallRateInsight, ApiErrorRateInsight oder beide Werte handeln.

    Seit: 1.07

    Optional: False

  • insightContext -

    Informationen zu den AWS Tools (als Benutzeragenten bezeichnet), zu IAM-Benutzern und -Rollen (als Benutzeridentitäten bezeichnet) sowie zu den Fehlercodes im Zusammenhang mit den Ereignissen, die zur Generierung des Insights-Ereignisses CloudTrail analysiert wurden. Dieses Element enthält auch Statistiken, die zeigen, wie die ungewöhnliche Aktivität in einem Insights-Ereignis im Vergleich zum Ausgangswert oder der normalen Aktivität abschneidet.

    Seit: 1.07

    Optional: False

    • statistics – Enthält Daten über den Ausgangswert oder die typische durchschnittliche Rate der Aufrufe oder Fehler der Subject-API durch ein Konto, gemessen während des Ausgangszeitraums, die durchschnittliche Rate der Aufrufe oder Fehler, die das Insights-Ereignis in der ersten Minute des Insights-Ereignisses ausgelöst haben, die Dauer des Insights-Ereignisses in Minuten und die Dauer des Ausgangswert-Messzeitraums in Minuten.

      Seit: 1.07

      Optional: False

      • baseline – Die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern pro Minute während der Ausgangswert-Dauer der Themen-API des Insights-Ereignisses für das Konto, berechnet über die sieben Tage vor dem Start des Insights-Ereignisses.

        Seit: 1.07

        Optional: False

      • insight -

        Für ein beginnendes Insights-Ereignis ist dieser Wert die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern pro Minute während des Starts der ungewöhnlichen Aktivität. Für ein endendes Insights-Ereignis ist dieser Wert die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern pro Minute über die Dauer der ungewöhnlichen Aktivität.

        Seit: 1.07

        Optional: False

      • insightDuration – Die Dauer eines Insights-Ereignisses in Minuten (der Zeitraum vom Beginn bis zum Ende einer ungewöhnlichen Aktivität in der betreffenden API). insightDuration tritt sowohl beim Starten als auch beim Beenden von Insights-Ereignissen auf.

        Seit: 1.07

        Optional: False

      • baselineDuration – Die Dauer des Baseline-Zeitraums (in Minuten) (der Zeitraum, in dem die normale Aktivität an der betreffenden API gemessen wird). baselineDuration sind mindestens die sieben Tage (10 080 Minuten) vor einem Insights-Ereignis. Dieses Feld kommt sowohl in beginnenden als auch in beendenden Insights-Ereignissen vor. Der Endzeitpunkt der baselineDuration-Messung ist immer der Beginn eines Insights-Ereignisses.

        Seit: 1.07

        Optional: False

    • attributions – Dieser Block enthält Informationen zu den Benutzeridentitäten, Benutzeragenten und Fehlercodes, die mit ungewöhnlichen und grundlegenden Aktivitäten korreliert sind. In einem Insights-Ereignis-attributions-Block werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes erfasst, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert.

      Seit: 1.07

      Optional: Wahr

      • attribute – Enthält den Attributtyp. Werte können Folgende sein: userIdentityArn, userAgent oder errorCode.

        • userIdentityArn— Ein Block, in dem die fünf wichtigsten AWS Benutzer oder IAM-Rollen angezeigt werden, die in den ungewöhnlichen Aktivitäts- und Basiszeiträumen zu API-Aufrufen oder Fehlern beigetragen haben. Siehe auch userIdentity in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight – Ein Block, der in absteigender Reihenfolge von der größten bis zur kleinsten Anzahl von API-Aufrufen bis zu den fünf häufigsten Benutzeridentitäts-ARNs anzeigt, die zu den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl von API-Aufrufen an, die von den Benutzeridentitäten während des ungewöhnlichen Aktivitätszeitraums getätigt wurden.

            Seit: 1.07

            Optional: False

            • value – Der ARN einer der fünf häufigsten Benutzeridentitäten, die zu den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums beigetragen haben.

              Seit: 1.07

              Optional: False

            • average – Die Anzahl der API-Aufrufe oder -Fehler pro Minute während des ungewöhnlichen Aktivitätszeitraums für die Benutzeridentität im value-Feld.

              Seit: 1.07

              Optional: False

          • baseline – Ein Block, der bis zu den fünf wichtigsten Benutzeridentitäts-ARNs anzeigt, die am meisten zu den API-Aufrufen oder -Fehlern während des normalen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl von API-Aufrufen oder -Fehlern an, die von den Benutzeridentitäten während des normalen Aktivitätszeitraums protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value – Der ARN einer der fünf häufigsten Benutzeridentitäten, die zu den API-Aufrufen oder -Fehlern während des normalen Aktivitätszeitraums beigetragen haben.

              Seit: 1.07

              Optional: False

            • average – Der historische Durchschnitt der API-Aufrufe oder -Fehler pro Minute während der sieben Tage vor der Startzeit der Insights-Aktivität für den Benutzeridentitäten im value-Feld.

              Seit: 1.07

              Optional: False

        • userAgent- Ein Block, in dem die fünf wichtigsten AWS Tools angezeigt werden, mit denen die Benutzeridentität in den ungewöhnlichen Aktivitäts- und Basiszeiträumen zu API-Aufrufen beigetragen hat. Zu diesen Tools gehören die AWS Management Console AWS CLI, oder die AWS SDKs. Siehe auch userAgent in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight – Ein Block, der in absteigender Reihenfolge von der größten bis zur kleinsten Anzahl von API-Aufrufen bis zu den fünf häufigsten Benutzeragenten anzeigt, die zu den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl der API-Aufrufe oder -Fehler an, die von den Benutzeragenten während des ungewöhnlichen Aktivitätszeitraums protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value – Einer der fünf häufigsten Benutzeragenten, der zu den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums beigetragen hat.

              Seit: 1.07

              Optional: False

            • average – Die Anzahl der API-Aufrufe oder protokollierten Fehler pro Minute während des ungewöhnlichen Aktivitätszeitraums für den Benutzeragenten im value-Feld.

              Seit: 1.07

              Optional: False

          • baseline – Ein Block, der bis zu den fünf wichtigsten Benutzeragenten anzeigt, die am meisten zu den API-Aufrufen während des normalen Aktivitätszeitraums beigetragen haben. Es zeigt auch die durchschnittliche Anzahl der API-Aufrufe oder -Fehler an, die von den Benutzeragenten während des normalen Aktivitätszeitraums protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value – Einer der fünf häufigsten Benutzeragenten, der zu den API-Aufrufen oder protokollierten Fehlern während des normalen Aktivitätszeitraums beigetragen hat.

              Seit: 1.07

              Optional: False

            • average – Der historische Durchschnitt der API-Aufrufe oder -Fehler pro Minute während der sieben Tage vor der Startzeit der Insights-Aktivität für den Benutzeragenten im value-Feld.

              Seit: 1.07

              Optional: False

        • errorCode – Ein Block, der die fünf häufigsten Fehlercodes anzeigt, die bei API-Aufrufen während der ungewöhnlichen Aktivitäts- und Baseline-Zeiträume aufgetreten sind, in absteigender Reihenfolge von der größten zur kleinsten Anzahl von API-Aufrufen. Siehe auch errorCode in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight – Ein Block, der bis zu den fünf häufigsten Fehlercodes anzeigt, die bei den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums aufgetreten sind, in absteigender Reihenfolge von der größten Anzahl der zugeordneten API-Aufrufe zur kleinsten. Es zeigt auch die durchschnittliche Anzahl von API-Aufrufen an, bei denen die Fehler während des ungewöhnlichen Aktivitätszeitraums aufgetreten sind.

            Seit: 1.07

            Optional: False

            • value – Einer der fünf häufigsten Fehlercodes, die bei den API-Aufrufen während des ungewöhnlichen Aktivitätszeitraums aufgetreten sind, z. B. AccessDeniedException.

              Wenn keiner der Aufrufe, die das Insights-Ereignis ausgelöst haben, zu Fehlern geführt hat, ist dieser Wert null.

              Seit: 1.07

              Optional: False

            • average – Die Anzahl der API-Aufrufe pro Minute während des ungewöhnlichen Aktivitätszeitraums für den Fehlercode im value-Feld.

              Wenn der Fehlercodewert null ist und keine anderen Fehlercodes im insight-Block vorhanden sind, ist der Wert von average der gleiche wie im statistics-Block für das Insights-Ereignis insgesamt.

              Seit: 1.07

              Optional: False

          • baseline – Ein Block, der bis zu den fünf häufigsten Fehlercodes anzeigt, die bei den API-Aufrufen während des normalen Aktivitätszeitraums aufgetreten sind. Es zeigt auch die durchschnittliche Anzahl der API-Aufrufe an, die von den Benutzeragenten während des normalen Aktivitätszeitraums getätigt wurden.

            Seit: 1.07

            Optional: False

            • value – Einer der fünf häufigsten Fehlercodes, die bei den API-Aufrufen während des normalen Aktivitätszeitraums aufgetreten sind, z. B. AccessDeniedException.

              Seit: 1.07

              Optional: False

            • average – Der historische Durchschnitt der API-Aufrufe oder -Fehler pro Minute während der sieben Tage vor der Startzeit der Insights-Aktivität für den Fehlercode im value-Feld.

              Seit: 1.07

              Optional: False

Beispiel-insightDetails-Block

Im Folgenden finden Sie ein Beispiel für einen Insights-Ereignis-insightDetails-Block für ein Insights-Ereignis, das auftrat, wenn die Application-Auto-Scaling-API CompleteLifecycleAction ungewöhnlich oft aufgerufen wurde. Ein Beispiel für ein vollständiges Insights-Ereignis finden Sie unter Einblicke und Ereignisse.

Dieses Beispiel stammt aus einem beginnenden Insights-Ereignis, das durch "state": "Start" angezeigt wird. Die wichtigsten Benutzeridentitäten, die die mit dem Insights-Ereignis verknüpften APIs aufgerufen haben, CodeDeployRole1, CodeDeployRole2 und CodeDeployRole3, werden im attributions-Block zusammen mit ihren durchschnittlichen API-Aufrufraten für dieses Insights-Ereignis und der Ausgangswert für die CodeDeployRole1-Rolle angezeigt. Der attributions Block zeigt auch, dass der Benutzeragentcodedeploy.amazonaws.com, d. h. die wichtigsten Benutzeridentitäten, die AWS CodeDeploy Konsole verwendet haben, um die API-Aufrufe auszuführen.

Da den Ereignissen, die analysiert wurden, um das Insights-Ereignis zu generieren, keine Fehlercodes zugeordnet sind (der Wert ist null), entspricht der insight-Durchschnitt für den Fehlercode dem gesamten insight-Durchschnitt für das gesamte Insights-Ereignis, der im statistics-Block angezeigt wird.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }