CloudTrail insightDetailsElement „Einblicke“ - AWS CloudTrail
Beispiel-insightDetails-Block

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail insightDetailsElement „Einblicke“

AWS CloudTrail Insights-Ereignisdatensätze enthalten Felder, die sich in ihrer JSON Struktur, die manchmal auch als Payload bezeichnet wird, von anderen CloudTrail Ereignissen unterscheiden. Ein CloudTrail Insights-Ereignisdatensatz umfasst einen insightDetails Block, der Informationen über die zugrunde liegenden Auslöser eines Insights-Ereignisses enthält, wie z. B. die Ereignisquelle, Benutzeridentitäten, Benutzeragenten, historische Durchschnittswerte oder Basislinien, Statistiken, API Namen und ob das Ereignis der Beginn oder das Ende des Insights-Ereignisses ist. Der insightDetails-Block enthält die folgenden Informationen.

  • state – Ob das Ereignis das Start- oder End-Insights-Ereignis ist. Dabei kann es sich um den Wert Start oder End handeln.

    Seit: 1.07

    Optional: False

  • eventSource— Der AWS Service-Endpunkt, der die Quelle der ungewöhnlichen Aktivität war, wie z. ec2.amazonaws.com

    Seit: 1.07

    Optional: False

  • eventName- Der Name des Insights-Ereignisses, in der Regel der Name des EreignissesAPI, das die Quelle der ungewöhnlichen Aktivität war.

    Seit: 1.07

    Optional: False

  • insightType – Der Typ des Insights-Ereignisses. Dabei kann es sich um den Wert ApiCallRateInsight, ApiErrorRateInsight oder beide Werte handeln.

    Seit: 1.07

    Optional: False

  • insightContext -

    Informationen zu den AWS Tools (als Benutzeragenten bezeichnet), IAM Benutzern und Rollen (als Benutzeridentitäten bezeichnet) und Fehlercodes im Zusammenhang mit den Ereignissen, die zur Generierung des Insights-Ereignisses CloudTrail analysiert wurden. Dieses Element enthält auch Statistiken, die zeigen, wie die ungewöhnliche Aktivität in einem Insights-Ereignis im Vergleich zum Ausgangswert oder der normalen Aktivität abschneidet.

    Seit: 1.07

    Optional: False

    • statistics- Beinhaltet Daten über die Ausgangsrate oder die typische durchschnittliche Rate von Aufrufen oder Fehlern zu diesem Thema API durch einen Account, gemessen im Basiszeitraum, die durchschnittliche Rate von Aufrufen oder Fehlern, die das Insights-Ereignis in der ersten Minute des Insights-Ereignisses ausgelöst haben, die Dauer des Insights-Ereignisses in Minuten und die Dauer des Basismesszeitraums in Minuten.

      Seit: 1.07

      Optional: False

      • baseline- Die durchschnittliche Anzahl von API Aufrufen oder Fehlern pro Minute während der Basisdauer für den Betreff des Insights-Ereignisses API für das Konto, berechnet für die sieben Tage vor Beginn des Insights-Ereignisses.

        Seit: 1.07

        Optional: False

      • insight -

        Bei einem beginnenden Insights-Ereignis entspricht dieser Wert der durchschnittlichen Anzahl von API Aufrufen oder Fehlern pro Minute zu Beginn der ungewöhnlichen Aktivität. Bei einem abschließenden Insights-Ereignis entspricht dieser Wert der durchschnittlichen Anzahl von API Aufrufen oder Fehlern pro Minute während der Dauer der ungewöhnlichen Aktivität.

        Seit: 1.07

        Optional: False

      • insightDuration- Die Dauer eines Insights-Ereignisses in Minuten (der Zeitraum vom Beginn bis zum Ende einer ungewöhnlichen Aktivität zu diesem ThemaAPI). insightDurationtritt sowohl beim Start als auch beim Ende von Insights-Ereignissen auf.

        Seit: 1.07

        Optional: False

      • baselineDuration— Die Dauer des Basiszeitraums (der Zeitraum, in dem die normale Aktivität des Probanden gemessen wirdAPI) in Minuten. baselineDurationentspricht mindestens den sieben Tagen (10080 Minuten) vor einem Insights-Ereignis. Dieses Feld kommt sowohl in beginnenden als auch in beendenden Insights-Ereignissen vor. Der Endzeitpunkt der baselineDuration-Messung ist immer der Beginn eines Insights-Ereignisses.

        Seit: 1.07

        Optional: False

    • attributions – Dieser Block enthält Informationen zu den Benutzeridentitäten, Benutzeragenten und Fehlercodes, die mit ungewöhnlichen und grundlegenden Aktivitäten korreliert sind. In einem Insights-Ereignis-attributions-Block werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes erfasst, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert.

      Seit: 1.07

      Optional: Wahr

      • attribute – Enthält den Attributtyp. Werte können Folgende sein: userIdentityArn, userAgent oder errorCode.

        • userIdentityArn— Ein Block, in dem die fünf wichtigsten AWS Benutzer oder IAM Rollen angezeigt werden, die in den ungewöhnlichen Aktivitäts- und Basiszeiträumen zu API Aufrufen oder Fehlern beigetragen haben. Siehe auch userIdentity in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight- Ein Block, in dem bis zu den fünf häufigsten BenutzeridentitätenARNs, die zu den API Anrufen während des Zeitraums mit ungewöhnlichen Aktivitäten beigetragen haben, in absteigender Reihenfolge von der größten Anzahl an API Aufrufen zur kleinsten angezeigt werden. Außerdem wird die durchschnittliche Anzahl der API Anrufe angezeigt, die von den Benutzeridentitäten während des Zeitraums mit ungewöhnlichen Aktivitäten getätigt wurden.

            Seit: 1.07

            Optional: False

            • value- Eine ARN der fünf häufigsten Benutzeridentitäten, die zu den API Anrufen während des Zeitraums mit ungewöhnlichen Aktivitäten beigetragen haben.

              Seit: 1.07

              Optional: False

            • average- Die Anzahl der API Anrufe oder Fehler pro Minute während des Zeitraums, in dem die Benutzeridentität vor value Ort ungewöhnlich war.

              Seit: 1.07

              Optional: False

          • baseline- Ein Block, in dem die fünf Benutzeridentitäten aufgeführt sindARNs, die während des normalen Aktivitätszeitraums am meisten zu den API Aufrufen oder Fehlern beigetragen haben. Außerdem wird die durchschnittliche Anzahl der API Anrufe oder Fehler angezeigt, die von den Benutzeridentitäten während des normalen Aktivitätszeitraums protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value- Die einer ARN der fünf häufigsten Benutzeridentitäten, die während des normalen Aktivitätszeitraums zu den API Aufrufen oder Fehlern beigetragen haben.

              Seit: 1.07

              Optional: False

            • average— Der historische Durchschnitt der API Aufrufe oder Fehler pro Minute in den sieben Tagen vor der Startzeit der Insights-Aktivität für die Benutzeridentität vor value Ort.

              Seit: 1.07

              Optional: False

        • userAgent- Ein Block, in dem die fünf wichtigsten AWS Tools aufgeführt werden, mit denen die Benutzeridentität zu API Aufrufen in den ungewöhnlichen Aktivitäts- und Basiszeiträumen beigetragen hat. Zu diesen Tools gehören die AWS Management Console, AWS CLI, oder die AWS SDKs. Siehe auch userAgent in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight- Ein Block, in dem die fünf Benutzeragenten, die am häufigsten zu den API Aufrufen beigetragen haben, angezeigt werden, die während des ungewöhnlichen Aktivitätszeitraums getätigt wurden, und zwar in absteigender Reihenfolge von der größten zur kleinsten Anzahl von API Aufrufen. Außerdem wird die durchschnittliche Anzahl der API Aufrufe oder Fehler angezeigt, die von den Benutzeragenten während des Zeitraums mit ungewöhnlichen Aktivitäten protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value- Einer der fünf Benutzeragenten, die am häufigsten zu den API Anrufen beigetragen haben, die während des Zeitraums mit ungewöhnlichen Aktivitäten getätigt wurden.

              Seit: 1.07

              Optional: False

            • average- Die Anzahl der API Anrufe oder Fehler, die pro Minute während des Zeitraums mit ungewöhnlichen Aktivitäten für den Benutzeragenten vor value Ort protokolliert wurden.

              Seit: 1.07

              Optional: False

          • baseline- Ein Block, in dem die fünf Benutzeragenten angezeigt werden, die am meisten zu den API Aufrufen während des normalen Aktivitätszeitraums beigetragen haben. Außerdem wird die durchschnittliche Anzahl der API Aufrufe oder Fehler angezeigt, die von den Benutzeragenten während des normalen Aktivitätszeitraums protokolliert wurden.

            Seit: 1.07

            Optional: False

            • value- Einer der fünf Benutzeragenten, die am häufigsten zu den während des normalen Aktivitätszeitraums protokollierten API Aufrufen oder Fehlern beigetragen haben.

              Seit: 1.07

              Optional: False

            • average— Der historische Durchschnitt der API Aufrufe oder Fehler pro Minute in den sieben Tagen vor der Startzeit der Insights-Aktivität für den Benutzeragenten vor value Ort.

              Seit: 1.07

              Optional: False

        • errorCode— Ein Block, in dem die fünf häufigsten Fehlercodes, die bei API Aufrufen während der ungewöhnlichen Aktivitäts- und Basiszeiträume aufgetreten sind, in absteigender Reihenfolge von der größten zur kleinsten Anzahl von API Aufrufen angezeigt werden. Siehe auch errorCode in CloudTrail Inhalt aufzeichnen.

          Seit: 1.07

          Optional: False

          • insight- Ein Block, in dem die fünf häufigsten Fehlercodes, die bei API Anrufen während des Zeitraums mit ungewöhnlichen Aktivitäten aufgetreten sind, in absteigender Reihenfolge von der größten Anzahl der zugehörigen API Anrufe zur kleinsten angezeigt werden. Außerdem wird die durchschnittliche Anzahl der API Anrufe angezeigt, bei denen die Fehler während des Zeitraums mit ungewöhnlichen Aktivitäten aufgetreten sind.

            Seit: 1.07

            Optional: False

            • value- Einer der fünf häufigsten Fehlercodes, die bei API Anrufen aufgetreten sind, die während des Zeitraums mit ungewöhnlichen Aktivitäten getätigt wurden, z. AccessDeniedException B.

              Wenn keiner der Aufrufe, die das Insights-Ereignis ausgelöst haben, zu Fehlern geführt hat, ist dieser Wert null.

              Seit: 1.07

              Optional: False

            • average- Die Anzahl der API Anrufe pro Minute während des ungewöhnlichen Aktivitätszeitraums für den Fehlercode im value Feld.

              Wenn der Fehlercodewert null ist und keine anderen Fehlercodes im insight-Block vorhanden sind, ist der Wert von average der gleiche wie im statistics-Block für das Insights-Ereignis insgesamt.

              Seit: 1.07

              Optional: False

          • baseline- Ein Block, der die fünf häufigsten Fehlercodes anzeigt, die bei API Anrufen während des normalen Aktivitätszeitraums aufgetreten sind. Es zeigt auch die durchschnittliche Anzahl der API Anrufe an, die von den Benutzeragenten während des normalen Aktivitätszeitraums getätigt wurden.

            Seit: 1.07

            Optional: False

            • value- Einer der fünf häufigsten Fehlercodes, die bei API Anrufen während des normalen Aktivitätszeitraums aufgetreten sind, z. AccessDeniedException B.

              Seit: 1.07

              Optional: False

            • average— Der historische Durchschnitt der API Aufrufe oder Fehler pro Minute in den sieben Tagen vor der Startzeit der Insights-Aktivität für den Fehlercode im value Feld.

              Seit: 1.07

              Optional: False

Beispiel-insightDetails-Block

Im Folgenden finden Sie ein Beispiel für einen insightDetails Insights-Ereignisblock für ein Insights-Ereignis, das auftrat, als Application Auto Scaling ungewöhnlich oft aufgerufen API CompleteLifecycleAction wurde. Ein Beispiel für ein vollständiges Insights-Ereignis finden Sie unter Einblicke und Ereignisse.

Dieses Beispiel stammt aus einem beginnenden Insights-Ereignis, das durch "state": "Start" angezeigt wird. Die häufigsten Benutzeridentitäten, die das mit dem Insights-Ereignis APIs verknüpfteCodeDeployRole1,CodeDeployRole2, undCodeDeployRole3, aufgerufen haben, werden im attributions Block zusammen mit ihren durchschnittlichen API Anrufraten für dieses Insights-Ereignis und der Basiswert für die CodeDeployRole1 Rolle angezeigt. Der attributions Block zeigt auch, dass es sich um den Benutzeragenten handeltcodedeploy.amazonaws.com, was bedeutet, dass die häufigsten Benutzeridentitäten die AWS CodeDeploy Konsole zur Ausführung der API Anrufe verwendet haben.

Da den Ereignissen, die analysiert wurden, um das Insights-Ereignis zu generieren, keine Fehlercodes zugeordnet sind (der Wert ist null), entspricht der insight-Durchschnitt für den Fehlercode dem gesamten insight-Durchschnitt für das gesamte Insights-Ereignis, der im statistics-Block angezeigt wird.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }