Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Visualización de eventos de CloudTrail Insights para senderos con el AWS CLI
Puede buscar los eventos de CloudTrail Insights de los últimos 90 días ejecutando el comando. aws cloudtrail lookup-events El comando lookup-events tiene las siguientes opciones:
-
--end-time -
--event-category -
--max-results -
--start-time -
--lookup-attributes -
--next-token -
--generate-cli-skeleton -
--cli-input-json
Para obtener información general sobre el uso del AWS Command Line Interface, consulte la Guía del AWS Command Line Interface usuario.
Contenido
- Requisitos previos
- Obtener ayuda de la línea de comandos
- Búsqueda de eventos de Insights
- Especificación del número de eventos de Insights que se devuelven
- Búsqueda de eventos de Insights por intervalo de tiempo
- Búsqueda de eventos de Insights por atributo
- Especificar la siguiente página de resultados
- JSONObteniendo información de un archivo
- Campos de resultados de búsqueda
Requisitos previos
-
Para ejecutar AWS CLI comandos, debe instalar el AWS CLI. Para obtener más información, consulte Introducción a la AWS CLI.
-
Asegúrese de que su AWS CLI versión sea posterior a la 1.6.6. Para comprobar la CLI versión, ejecute aws --version en la línea de comandos.
-
Para configurar la cuenta, la región y el formato de salida predeterminado de una AWS CLI sesión, utilice el aws configure comando. Para obtener más información, consulte Configuración de la interfaz de línea de comandos de AWS.
-
Para registrar los eventos de Insights sobre el volumen de API llamadas, el registro debe registrar los eventos
writede administración. Para registrar los eventos de Insights en API función de la tasa de errores, el registro debe registrarreadowritegestionar los eventos.
nota
Los CloudTrail AWS CLI comandos distinguen mayúsculas de minúsculas.
Obtener ayuda de la línea de comandos
Para ver la ayuda de la línea de comandos de lookup-events, escriba el siguiente comando.
aws cloudtrail lookup-events help
Búsqueda de eventos de Insights
Para ver los diez últimos eventos de Insights, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight
Un evento devuelto es similar al siguiente ejemplo,
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" } ] }
Para obtener una explicación de los campos relacionados con la búsqueda en el resultado, consulte Campos de resultados de búsqueda sobre este tema. Para obtener una explicación de los campos del evento de Insights, consulte CloudTrail contenido del registro.
Especificación del número de eventos de Insights que se devuelven
Para especificar el número de eventos que se devuelven, escriba el siguiente comando:
aws cloudtrail lookup-events --event-category insight --max-results<integer>
El valor por defecto de <integer>, si no se especifica, es 10. Los valores posibles comprenden del 1 al 50. El ejemplo siguiente devuelve un solo resultado.
aws cloudtrail lookup-events --event-category insight --max-results 1
Búsqueda de eventos de Insights por intervalo de tiempo
Se pueden buscar eventos de Insights de los últimos 90 días. Para especificar un intervalo de tiempo, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight --start-time<timestamp>--end-time<timestamp>
--start-time especifica, enUTC, que solo se devuelven los eventos de Insights que se producen después o en el momento especificado. Si la fecha de inicio especificada es posterior a la fecha de finalización especificada, se devuelve un error.<timestamp>
--end-time especifica, enUTC, que solo se devuelven los eventos de Insights que se producen antes o en el momento especificado. Si la fecha de finalización especificada es anterior a la fecha de inicio especificada, se devuelve un error.<timestamp>
La fecha de inicio predeterminada es la primera fecha posible en que los datos están disponibles en los últimos 90 días. La fecha de finalización predeterminada es la fecha del evento que se produjo más cercana a la fecha actual.
Todas las marcas de tiempo se muestran en. UTC
Búsqueda de eventos de Insights por atributo
Para filtrar por un atributo, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
Solo puede especificar un atributo de pares de clave-valor para cada comando lookup-events. Los siguientes son valores válidos de eventos de Insights para AttributeKey. Los nombres de los valores distinguen entre mayúsculas y minúsculas.
-
EventId -
EventName -
EventSource
La longitud máxima para el AttributeValue es de 2000 caracteres. Los siguientes caracteres ('_', '', , '\\n') cuentan como dos caracteres dentro del límite de 2000 caracteres.
Ejemplos de búsqueda de atributos
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventName es PutRule.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventId es b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventSource es iam.amazonaws.com.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Especificar la siguiente página de resultados
Para obtener la siguiente página de resultados de un comando lookup-events, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight<same parameters as previous command>--next-token=<token>
En este comando, el valor de <token> se toma del primer campo de la salida del comando anterior.
Cuando utiliza --next-token en un comando, debe utilizar los mismos parámetros que en el comando anterior. Suponga, por ejemplo, que ejecuta el siguiente comando.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
JSONObteniendo información de un archivo
AWS CLI Para algunos AWS servicios, tiene dos parámetros --generate-cli-skeleton y--cli-input-json, que puede usar para generar una JSON plantilla, que puede modificar y usar como entrada del --cli-input-json parámetro. En esta sección se describe cómo utilizar estos parámetros con aws cloudtrail lookup-events. Para obtener más información, consulte AWS CLI esqueletos y archivos de entrada.
Para buscar eventos de Insights mediante la JSON entrada de un archivo
-
Cree una plantilla de entrada para usarla con
lookup-eventsredirigiendo el resultado de--generate-cli-skeletona un archivo, como En el ejemplo siguiente.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txtEl archivo de plantilla generado (en este caso, LookupEvents .txt) tiene el siguiente aspecto.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
Utilice un editor de texto para modificarlo JSON según sea necesario. La JSON entrada debe contener solo los valores que se especifiquen.
importante
Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.
El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que se devuelven.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } -
Para utilizar el archivo editado como entrada, utilice la sintaxis
--cli-input-json file://<filename>, como en el ejemplo siguiente.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
nota
Puede utilizar otros argumentos en la misma línea de comandos como --cli-input-json.
Campos de resultados de búsqueda
- Eventos
-
Una lista de eventos de búsqueda en función del atributo de búsqueda y el intervalo de tiempo especificados. La lista de eventos se ordena por tiempo, con el último evento en primer lugar. Cada entrada contiene información sobre la solicitud de búsqueda e incluye una cadena que representa el CloudTrail evento que se recuperó.
Las siguientes entradas describen los campos de cada evento de búsqueda.
- CloudTrailEvent
-
JSONCadena que contiene una representación objetual del evento devuelto. Para obtener información sobre cada uno de los elementos devueltos, consulte la información sobre el contenido del cuerpo del registro.
- EventId
-
Cadena que contiene el GUID objeto del evento devuelto.
- EventName
-
Una cadena que contiene el nombre del evento devuelto.
- EventSource
-
El AWS servicio al que se realizó la solicitud.
- EventTime
-
La fecha y la hora, en formato de UNIX hora, del evento.
- Recursos
-
Una lista de los recursos a los que hace referencia el evento devuelto. Cada entrada de recurso especifica un tipo de recurso y un nombre de recurso.
- ResourceName
-
Una cadena que contiene el nombre del recurso al que hace referencia el evento.
- ResourceType
-
Una cadena que contiene el tipo de recurso al que hace referencia el evento. Cuando el tipo de recurso no se puede determinar, se devuelve null.
- Nombre de usuario
-
Una cadena que contiene el nombre de usuario de la cuenta del evento devuelto.
- NextToken
-
Una cadena para obtener la siguiente página de resultados de un comando
lookup-eventsanterior. Para utilizar el token, los parámetros deben ser los mismos que los del comando original. Si no aparece ninguna entradaNextTokenen la salida, no hay más resultados que devolver.
Para obtener más información sobre los eventos de CloudTrail Insights, consulte Registro de eventos de Insights esta guía.
