Elemento insightDetails CloudTrail Insights - AWS CloudTrail
Ejemplo de bloque insightDetails

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Elemento insightDetails CloudTrail Insights

Los registros de eventos de Insights de AWS CloudTrail incluyen campos que son diferentes de otros eventos de CloudTrail en su estructura JSON, a veces llamados carga. Un eventos de CloudTrail Insights incluye un bloque insightDetails que contiene información sobre los desencadenantes subyacentes de un evento de Insights, tal como la fuente del evento, las identidades de usuario, los agentes de usuario, los promedios históricos o los valores de referencia, estadísticas, nombre de la API y si se trata de un evento de Insights inicial o final. El bloque insightDetails contiene la siguiente información.

  • state: si el evento es el evento inicial o final de Insights. El valor puede ser Start o End.

    Desde: 1.07

    Opcional: Falso

  • eventSource: el punto de enlace del servicio de AWS que fue la fuente de la actividad inusual, como ec2.amazonaws.com.

    Desde: 1.07

    Opcional: Falso

  • eventName: el nombre del evento de Insights, normalmente el nombre de la API que fue la fuente de la actividad inusual.

    Desde: 1.07

    Opcional: Falso

  • insightType: el tipo de evento de Insights. Este valor puede ser ApiCallRateInsight, ApiErrorRateInsight o ambos.

    Desde: 1.07

    Opcional: Falso

  • insightContext -

    Información sobre las herramientas de AWS (llamadas agentes de usuario), usuarios y roles de IAM (llamados identidades de usuario) y códigos de error asociados a los eventos que CloudTrail analizó para generar el evento de Insights. Este elemento también incluye estadísticas que muestran cómo se compara la actividad inusual en un evento de Insights con la actividad de referencia o normal.

    Desde: 1.07

    Opcional: Falso

    • statistics: incluye datos sobre la tasa promedio de referencia, o típica de llamadas o errores a la API en cuestión, que realiza una cuenta, medida durante el periodo de referencia, la tasa promedio de llamadas que desencadenaron el evento de Insights durante el primer minuto del evento de Insights, la duración, en minutos, del evento de Insights y la duración, en minutos, del periodo de medición de referencia.

      Desde: 1.07

      Opcional: Falso

      • baseline: la cantidad promedio de llamadas a la API o errores por minuto durante el periodo de referencia en la API en cuestión del evento de Insights para la cuenta, calculada durante los siete días anteriores al inicio del evento de Insights.

        Desde: 1.07

        Opcional: Falso

      • insight -

        Para un evento inicial de Insights, este valor es el número medio de llamadas a la API o errores por minuto durante el inicio de la actividad inusual. Para un evento final de Insights, este valor es el promedio de llamadas por minuto a la API durante la actividad inusual.

        Desde: 1.07

        Opcional: Falso

      • insightDuration: la duración, en minutos, de un evento de Insights (el periodo de tiempo desde el inicio hasta el final de la actividad inusual en la API en cuestión). insightDuration ocurre tanto en eventos iniciales como finales de Insights.

        Desde: 1.07

        Opcional: Falso

      • baselineDuration: la duración, en minutos, del periodo de referencia (el periodo de tiempo en el que la actividad normal se mide en la API en cuestión). baselineDuration comprende, como mínimo, los siete días (10 080 minutos) que preceden a un evento de Insights. Este campo está presente tanto en eventos iniciales como finales de Insights. La hora de finalización de la medición de baselineDuration es siempre el comienzo de un evento de Insights.

        Desde: 1.07

        Opcional: Falso

    • attributions: este bloque incluye información sobre las identidades de usuario, agentes de usuario y códigos de error correlacionados con la actividad inusual y de referencia. Un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error se capturan en un bloque attributions de eventos de Insights, ordenados por un promedio del recuento de actividad, en orden descendente de mayor a menor.

      Desde: 1.07

      Opcional: Verdadero

      • attribute: contiene el tipo de atributo. Los valores pueden ser userIdentityArn, userAgent o errorCode.

        • userIdentityArn: un bloque que muestra hasta los cinco usuarios principales de AWS o roles de IAM que contribuyeron a las llamadas a la API o los errores durante la actividad inusual y los periodos de referencia. También consulte userIdentity en CloudTrail contenido del registro.

          Desde: 1.07

          Opcional: Falso

          • insight: un bloque que muestra hasta los cinco ARN de identidad de usuario principales que contribuyeron a las llamadas a la API realizadas durante el periodo de actividad inusual, en orden descendente desde el número mayor de llamadas a la API hasta el menor. También muestra el promedio de llamadas a la API realizadas por las identidades de usuario durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: Falso

            • value: el ARN de una de las cinco identidades de usuario principales que contribuyeron a las llamadas a la API realizadas durante el periodo de actividad inusual.

              Desde: 1.07

              Opcional: Falso

            • average: el número de llamadas a la API o errores por minuto durante el periodo de actividad inusual para la identidad de usuario en el campo value.

              Desde: 1.07

              Opcional: Falso

          • baseline: un bloque que muestra hasta los cinco ARN de identidad de usuario principales que más contribuyeron a las llamadas a la API o a los errores realizados durante el periodo de actividad normal. También muestra el promedio de llamadas a la API o errores realizados por las identidades de usuario durante el periodo de actividad normal.

            Desde: 1.07

            Opcional: Falso

            • value: el ARN de una de las cinco identidades de usuario principales que contribuyeron a las llamadas a la API o los errores realizados durante el periodo de actividad normal.

              Desde: 1.07

              Opcional: Falso

            • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para la identidad del usuario en el campo value.

              Desde: 1.07

              Opcional: Falso

        • userAgent: un bloque que muestra hasta las cinco herramientas principales de AWS mediante las cuales la identidad del usuario contribuyó a las llamadas a la API durante la actividad inusual y los periodos de referencia. Estas herramientas incluyen la AWS Management Console, la AWS CLI o los SDK de AWS. También consulte userAgent en CloudTrail contenido del registro.

          Desde: 1.07

          Opcional: Falso

          • insight: un bloque que muestra hasta los cinco agentes de usuarios principales que contribuyeron a las llamadas a la API realizadas durante el periodo de actividad inusual, en orden descendente desde el mayor número de llamadas a la API hasta el menor. También muestra el promedio de llamadas a la API o errores registrados por los agentes de usuario durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: Falso

            • value: uno de los cinco agentes de usuario principales que contribuyeron a las llamadas a la API realizadas durante el periodo de actividad inusual.

              Desde: 1.07

              Opcional: Falso

            • average: el número de llamadas a la API o errores registrados por minuto durante el periodo de actividad inusual para el agente de usuario en el campo value.

              Desde: 1.07

              Opcional: Falso

          • baseline: un bloque que muestra hasta los cinco agentes de usuario principales que más contribuyeron a las llamadas a la API realizadas durante el periodo de actividad normal. También muestra el promedio de llamadas a la API o errores registrados por los agentes de usuario durante el periodo de actividad normal.

            Desde: 1.07

            Opcional: Falso

            • value: uno de los cinco agentes de usuario principales que contribuyeron a las llamadas a la API o los errores registrados durante el periodo de actividad normal.

              Desde: 1.07

              Opcional: Falso

            • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el agente de usuario en el campo value.

              Desde: 1.07

              Opcional: Falso

        • errorCode: un bloque que muestra hasta los cinco códigos de error principales que se produjeron en las llamadas a la API durante la actividad inusual y los periodos de referencia, en orden descendente desde el mayor número de llamadas a la API hasta el menor. También consulte errorCode en CloudTrail contenido del registro.

          Desde: 1.07

          Opcional: Falso

          • insight: un bloque que muestra hasta los cinco códigos de error principales que se produjeron en las llamadas a la API realizadas durante el periodo de actividad inusual, en orden descendente desde el mayor número de llamadas asociadas a la API hasta el menor. También muestra el número promedio de llamadas a la API en las que se produjeron los errores durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: Falso

            • value: uno de los cinco códigos de error principales que se produjo en las llamadas a la API realizadas durante el periodo de actividad inusual, tal como AccessDeniedException.

              Si ninguna de las llamadas que desencadenaron el evento de Insights produjo errores, este valor es null.

              Desde: 1.07

              Opcional: Falso

            • average: el número de llamadas a la API por minuto durante el periodo de actividad inusual para el código de error en el campo value.

              Si el valor del código de error es null y no hay otros códigos de error en el bloque insight, el valor del average es el mismo que el del bloque statistics para el evento de Insights en general.

              Desde: 1.07

              Opcional: Falso

          • baseline: un bloque que muestra hasta los cinco códigos de error principales que se produjeron en las llamadas a la API realizadas durante el periodo de actividad normal. También muestra el promedio de llamadas a la API realizadas por los agentes de usuario durante el periodo de actividad normal.

            Desde: 1.07

            Opcional: Falso

            • value: uno de los cinco códigos de error principales que se produjo en las llamadas a la API realizadas durante el periodo normal de actividad, tal como AccessDeniedException.

              Desde: 1.07

              Opcional: Falso

            • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el código de error en el campo value.

              Desde: 1.07

              Opcional: Falso

Ejemplo de bloque insightDetails

A continuación se muestra un ejemplo de un bloque insightDetails de evento de Insights para un evento de Insights que se produjo cuando se llamó una cantidad inusual de veces a la API CompleteLifecycleAction de Application Auto Scaling. Para ver un ejemplo de un evento completo de Insights, consulte Eventos de Insights.

Este ejemplo proviene de un evento inicial de Insights, indicado por "state": "Start". Las identidades de usuario principales, CodeDeployRole1, CodeDeployRole2 y CodeDeployRole3, que llamaron a las API asociadas al evento de Insights, se muestran en el bloque attributions, junto con sus tasas promedio de llamadas a la API para este evento de Insights, y el valor de referencia para el rol CodeDeployRole1. El bloque attributions también muestra que el agente de usuario es codedeploy.amazonaws.com, lo que significa que las identidades de usuario principales utilizaron la consola AWS CodeDeploy para ejecutar las llamadas a la API.

Debido a que no hay códigos de error asociados a los eventos que se analizaron para generar el evento de Insights (el valor esnull), el promedio de insight para el código de error es el mismo que el promedio general de insight para todo el evento de Insights, que se muestra en el bloque statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }