Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Insights-Ereignisse für Trails anzeigen mit dem AWS CLI
In diesem Abschnitt wird beschrieben, wie Sie mit dem AWS CLI lookup-events
Befehl nach Insights-Ereignissen der letzten 90 Tage nach einem Trail suchen, für den Insights-Ereignisse aktiviert sind. Informationen zur Aktivierung von CloudTrail Insights on a Trail finden Sie unterProtokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI.
Anmerkung
Der Befehl lookup-events
hat die folgenden Optionen:
-
--end-time
-
--event-category
-
--max-results
-
--start-time
-
--lookup-attributes
-
--next-token
-
--generate-cli-skeleton
-
--cli-input-json
Allgemeine Informationen zur Verwendung von AWS Command Line Interface finden Sie im AWS Command Line Interface Benutzerhandbuch.
Inhalt
- Voraussetzungen
- Nutzen der Befehlszeilenhilfe
- Suchen nach Insights-Ereignissen
- Angeben der Anzahl von zurückzugebenden Insights-Ereignissen
- Suchen nach Insights-Ereignissen nach Zeitraum
- Suchen nach Insights-Ereignissen nach Attribut
- Angabe der nächsten Ergebnisseite
- JSONEingabe aus einer Datei abrufen
- Ausgabefelder der Suche
Voraussetzungen
-
Um AWS CLI Befehle ausführen zu können, müssen Sie den installieren AWS CLI. Weitere Informationen finden Sie unter Erste Schritte mit dem AWS CLI.
-
Stellen Sie sicher, dass Ihre AWS CLI Version höher als 1.6.6 ist. Führen Sie den Befehl in der Befehlszeile aus, um aws --version die CLI Version zu überprüfen.
-
Verwenden Sie den aws configure Befehl, um das Konto, die Region und das Standardausgabeformat für eine AWS CLI Sitzung festzulegen. Weitere Informationen finden Sie unter Konfigurieren der AWS -Befehlszeilenschnittstelle.
-
Um Insights-Ereignisse in Bezug auf die API Anrufrate zu protokollieren, muss der Trail
write
Verwaltungsereignisse protokollieren. Um Insights-Ereignisse entsprechend der API Fehlerrate zu protokollieren, muss der Trailread
write
Verwaltungsereignisse protokollieren.
Anmerkung
Bei den CloudTrail AWS CLI Befehlen wird zwischen Groß- und Kleinschreibung unterschieden.
Nutzen der Befehlszeilenhilfe
Geben Sie den folgenden Befehl ein, wenn Sie die Befehlszeilenhilfe zu lookup-events
anzeigen möchten.
aws cloudtrail lookup-events help
Suchen nach Insights-Ereignissen
Um die zehn neuesten Insights-Ereignisse anzuzeigen, geben Sie den folgenden Befehl ein.
aws cloudtrail lookup-events --event-category insight
Ein zurückgegebenes Ereignis sieht in etwa wie folgt aus:
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.09", "eventTime": "2024-12-11T16:52:00Z", "awsRegion": "us-east-1", "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "Start", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 1.2 }, "insightDuration": 5, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 1.2 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 1.2 } ], "baseline": [] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.09", "eventTime": "2024-12-11T16:53:00Z", "awsRegion": "us-east-1", "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "End", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 6 }, "insightDuration": 1, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 6 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 6 } ], "baseline": [] } ] } }, "eventCategory": "Insight" } ] }
Eine Erläuterung der suchbezogenen Felder in der Ausgabe finden Sie im Abschnitt Ausgabefelder der Suche in diesem Thema. Eine Erläuterung der Felder im Insights-Ereignis erhalten Sie unter CloudTrail Inhalt aufzeichnen.
Angeben der Anzahl von zurückzugebenden Insights-Ereignissen
Geben Sie den folgenden Befehl ein, um die Anzahl von zurückzugebenden Ereignissen anzugeben.
aws cloudtrail lookup-events --event-category insight --max-results
<integer>
Der Standardwert für<integer>
, falls er nicht angegeben ist, ist 10. Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ergebnis zurückgegeben.
aws cloudtrail lookup-events --event-category insight --max-results 1
Suchen nach Insights-Ereignissen nach Zeitraum
Für die Suche sind die Insights-Ereignisse der letzten 90 Tage verfügbar. Geben Sie den folgenden Befehl ein, um einen Zeitraum anzugeben.
aws cloudtrail lookup-events --event-category insight --start-time
<timestamp>
--end-time<timestamp>
--start-time
gibt in anUTC, dass nur Insights-Ereignisse zurückgegeben werden, die nach oder zum angegebenen Zeitpunkt auftreten. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben.<timestamp>
--end-time
gibt in anUTC, dass nur Insights-Ereignisse zurückgegeben werden, die vor oder zum angegebenen Zeitpunkt auftreten. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben.<timestamp>
Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist.
Alle Zeitstempel werden in UTC angezeigt.
Suchen nach Insights-Ereignissen nach Attribut
Geben Sie zum Filtern nach einem Attribut den folgenden Befehl ein.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=
<attribute>
,AttributeValue=<string>
Sie können für jeden lookup-events-Befehl nur ein Paar angeben, das aus dem Attributschlüssel und dem zugehörigen Wert besteht. Im Folgenden sind die gültigen Werte von Insights-Ereignissen für AttributeKey
angegeben. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden.
-
EventId
-
EventName
-
EventSource
Die maximale Länge für die AttributeValue
beträgt 2000 Zeichen. Die folgenden Zeichen ('_
', '',
'', ,
'\\n
') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen.
Beispiele für die Attributsuche
Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem EventName
-Wert PutRule
zurück.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem EventId
-Wert b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
zurück.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem EventSource
-Wert iam.amazonaws.com
zurück.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Angabe der nächsten Ergebnisseite
Um die nächste Seite mit Ergebnissen des Befehls lookup-events
abzurufen, geben Sie den folgenden Befehl ein.
aws cloudtrail lookup-events --event-category insight
<same parameters as previous command>
--next-token=<token>
In diesem Befehl <token>
wird der Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls übernommen.
Wenn Sie --next-token
in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den unten angegebenen Befehl aus.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Um die nächste Seite mit Ergebnissen abzurufen, würde Ihr nächster Befehl wie folgt aussehen.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
JSONEingabe aus einer Datei abrufen
AWS CLI Für einige AWS Dienste gibt es zwei Parameter, --generate-cli-skeleton
mit denen Sie eine JSON Vorlage generieren können, die Sie ändern und als Eingabe für den --cli-input-json
Parameter verwenden können. --cli-input-json
In diesem Abschnitt wird die Verwendung dieser Parameter mit aws cloudtrail lookup-events
beschrieben. Weitere Informationen finden Sie unter AWS CLI Skelette und Eingabedateien.
So suchen Sie nach Insights-Ereignissen, indem Sie JSON Eingaben aus einer Datei abrufen
-
Erstellen Sie eine Eingabevorlage für die Verwendung mit
lookup-events
und leiten Sie dazu die--generate-cli-skeleton
-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
Die generierte Vorlagendatei (in diesem Fall LookupEvents .txt) sieht wie folgt aus.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" }
-
Verwenden Sie einen Texteditor, um die nach JSON Bedarf zu ändern. Die JSON Eingabe darf nur die angegebenen Werte enthalten.
Wichtig
Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden.
Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 }
-
Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax
--cli-input-json file://
<filename>
wie im folgenden Beispiel.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
Anmerkung
Sie können in derselben Befehlszeile wie --cli-input-json
weitere Argumente verwenden.
Ausgabefelder der Suche
- Ereignisse
-
Eine Liste der Suchereignisse basierend auf dem angegebenen Suchattribut und Zeitbereich. Die Ereignisliste ist nach Zeit sortiert, das neueste Ereignis ist zuerst aufgeführt. Jeder Eintrag enthält Informationen über die Suchanfrage und eine Zeichenfolgendarstellung des abgerufenen CloudTrail Ereignisses.
Die folgenden Einträge beschreiben die Felder in den einzelnen Suchereignissen.
- CloudTrailEvent
-
Eine JSON Zeichenfolge, die eine Objektdarstellung des zurückgegebenen Ereignisses enthält. Weitere Informationen zu den einzelnen zurückgegebenen Elementen finden Sie im Abschnitt Datensatzinhalte.
- EventId
-
Eine Zeichenfolge, die den Wert GUID des zurückgegebenen Ereignisses enthält.
- EventName
-
Eine Zeichenfolge, die den Namen des zurückgegebenen Ereignisses enthält.
- EventSource
-
Der AWS Dienst, an den die Anfrage gestellt wurde.
- EventTime
-
Das Datum und die Uhrzeit des Ereignisses im UNIX Zeitformat.
- Ressourcen
-
Eine Liste der Ressourcen, auf die von dem zurückgegebenen Ereignis verwiesen wird. In jedem Ressourceneintrag ist ein Ressourcentyp und ein Ressourcenname angegeben.
- ResourceName
-
Eine Zeichenfolge, die den Namen der Ressource enthält, auf die von dem Ereignis verwiesen wird.
- ResourceType
-
Eine Zeichenfolge, die den Typ einer Ressource enthält, auf die von dem Ereignis verwiesen wird. Wenn der Ressourcentyp nicht ermittelt werden kann, wird Null zurückgegeben.
- Username
-
Eine Zeichenfolge, die den Benutzernamen des Kontos für das zurückgegebene Ereignis enthält.
- NextToken
-
Eine Zeichenfolge zum Abrufen der nächsten Ergebnisseite eines vorherigen
lookup-events
-Befehls. Um das Token verwenden zu können, müssen die Parameter mit den Parametern im ursprünglichen Befehl übereinstimmen. Wenn es in der Ausgabe keinenNextToken
-Eintrag gibt, sind keine weiteren Ergebnisse vorhanden, die zurückgegeben werden können.
Weitere Informationen zu CloudTrail Insights-Ereignissen finden Sie Mit CloudTrail Insights arbeiten in diesem Leitfaden.