Visualización de eventos de CloudTrail Insights para senderos con la consola - AWS CloudTrail
Filtrado de eventos de InsightsVisualice los detalles de eventos de InsightsAplicar zoom al gráfico, desplazarlo y descargarloCambiar la configuración del intervalo de tiempo del gráficoDescarga de eventos de Insights

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de eventos de CloudTrail Insights para senderos con la consola

Después de activar los eventos de CloudTrail Insights en una ruta, cuando CloudTrail detecta una actividad inusual API o con una tasa de error, CloudTrail genera eventos de Insights y los muestra en las páginas del panel de control y de Insights del AWS Management Console. Puede ver los eventos de Insights en la consola y solucionar los problemas de la actividad inusual. En la consola se muestran los 90 días más recientes de los eventos de Insights. También puede descargar los eventos de Insights desde la AWS CloudTrail consola. Puede buscar eventos mediante programación mediante la AWS SDKs tecla o. AWS Command Line Interface Para obtener más información sobre los eventos de CloudTrail Insights, consulte esta Registro de eventos de Insights guía.

nota

Para registrar los eventos de Insights sobre el volumen de API llamadas, el registro debe registrar los eventos write de administración. Para registrar los eventos de Insights en API función de la tasa de errores, el registro debe registrar read o write gestionar los eventos.

Una vez registrados los eventos de Insights, estos se muestran en la página Insights durante 90 días. No se pueden eliminar manualmente eventos de la página Insights . Como debe crear un registro para poder activar CloudTrail Insights, puede ver los eventos de Insights que se registran en su ruta siempre que los almacene en el depósito de S3 que está configurado en la configuración de su ruta.

Supervisa tus registros de rutas y recibe notificaciones cuando se produzca una actividad específica de eventos de Insights con Amazon CloudWatch Logs. Para obtener más información, consulte Supervisión de archivos de CloudTrail registro con Amazon CloudWatch Logs.

Para ver eventos de Insights

CloudTrail Los eventos de Insights deben estar habilitados en su ruta para poder ver los eventos de Insights en la consola. Si se detecta una actividad inusual, espere hasta 36 horas para CloudTrail que se entreguen los primeros eventos de Insights.

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/casa/.

  2. En el panel de navegación, elija Dashboard (Panel) para ver los cinco eventos de Insights más recientes o Insights a fin de ver todos los eventos de Insights registrados en su cuenta en los últimos 90 días.

    En la página de Insights, puede filtrar los eventos de Insights por criterios, como la API fuente, el nombre y el ID del evento, y limitar los eventos que se muestran a los que tienen lugar dentro de un intervalo de tiempo específico. Para obtener más información sobre el filtrado de eventos de Insights, consulte Filtrado de eventos de Insights.

Filtrado de eventos de Insights

La visualización predeterminada de eventos en Insights muestra los eventos en orden cronológico inverso. Los eventos de Insights más recientes, ordenados por hora de inicio del evento, se encuentran en la parte superior. En la lista siguiente se describen los atributos disponibles. Se pueden filtrar los tres primeros atributos: Event name (Nombre del evento), Event source (Origen del evento) y Event ID (ID de evento).

El filtro de la lista de eventos de CloudTrail Insights.
Nombre de evento

El nombre del evento, normalmente aquel AWS API en el que se registraron niveles de actividad inusuales.

Tipo de información

El tipo de evento de CloudTrail Insights, que es la tasa de API llamadas o la tasa de API errores. El tipo de información sobre la tasa de API llamadas analiza las API llamadas de administración que solo se escriben y que se agregan por minuto en comparación con un volumen de API llamadas de referencia. El tipo de información sobre la tasa de API errores analiza API las llamadas de la administración que generan códigos de error. El error se muestra si la API llamada no se realiza correctamente.

Origen del evento

El AWS servicio al que se realizó la solicitud, como iam.amazonaws.com os3.amazonaws.com. Puede desplazarse por una lista de orígenes de eventos después de elegir el filtro Event source.

ID de evento

El ID del evento de Insights. IDsLos eventos no se muestran en la tabla de páginas de Insights, pero son un atributo por el que se pueden filtrar los eventos de Insights. El evento IDs de los eventos de administración que se analizan para generar eventos de Insights es diferente del evento IDs de los eventos de Insights.

Hora de inicio del evento

Hora de inicio del evento de Insights, medido como el primer minuto en el que se registró actividad inusual. Este atributo se muestra en la tabla Insights, pero no puede filtrar la hora de inicio del evento en la consola.

Promedio de referencia

El patrón normal de actividad de la tasa de API llamadas o de errores. El promedio de referencia se calcula a lo largo de los siete días anteriores al inicio de un evento de Insights. Si bien el valor de la duración de referencia (el período sobre el que se CloudTrail analiza la actividad normalAPIs) es de aproximadamente siete días, CloudTrail redondea la duración de referencia a un día entero, por lo que la duración exacta de la referencia puede variar.

Promedio de Insight

El número medio de llamadas a un eventoAPI, o el número medio de un error específico que se devolvió en las llamadas a unAPI, que desencadenó el evento de Insights. El promedio de CloudTrail Insights para el evento de inicio es la tasa de ocurrencias que desencadenaron el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights del evento de finalización es la tasa de ocurrencias durante la actividad inusual, entre el evento de Insights de inicio y el evento de Insights de finalización.

Cambio de tasa

La diferencia entre el valor de Promedio de referencia y Promedio de Insight, medido en porcentaje. Por ejemplo, si el promedio de referencia de un error AccessDenied que se produce es 1,0, y el promedio de Insight es 3,0, el cambio de tasa es del 300 %. Un cambio de tasa para un promedio de Insight que supera un promedio de referencia muestra una flecha hacia arriba junto al valor. Si el evento Insights se registró porque la actividad está por debajo del promedio de referencia, Cambio de tasa muestra una flecha hacia abajo junto al porcentaje.

Si no hay eventos registrados para el atributo o el tiempo elegidos, la lista de resultados estará vacía. Solo puede aplicar un filtro de atributo además del intervalo de tiempo. Si elige un atributo diferente, se mantiene el filtro de intervalo de tiempo especificado.

Los siguientes pasos describen cómo filtrar por atributo.

Para filtrar por atributo

  1. Para filtrar los resultados por atributo, elija un atributo de búsqueda en el menú desplegable y, a continuación, escriba o elija un valor en el cuadro Enter a lookup value (Ingresar un valor de búsqueda).

  2. Para eliminar un filtro de atributo, elija la X situada a la derecha del cuadro de filtro de atributo.

Los siguientes pasos describen cómo filtrar por una fecha y una hora de inicio y finalización.

Para filtrar por una fecha y hora de inicio y finalización

  1. Para reducir el intervalo de tiempo de los eventos que desea ver, seleccione un intervalo de tiempo en la barra de intervalo de tiempo en la parte superior de la tabla. Los intervalos de tiempo preestablecidos incluyen 30 minutos, 1 hora, 3 horas o 12 horas. Para especificar un intervalo de tiempo personalizado, elija Custom (Personalizado).

  2. Elija una de las siguientes pestañas:

    • Absolute (Absoluto): permite elegir una hora específica. Continúe con el paso siguiente.

    • Relative to selected event (Relativo al evento seleccionado): seleccionada de forma predeterminada. Permite elegir un periodo de tiempo relativo a la hora de inicio de un evento de Insights. Continúe con el paso 4.

  3. Para establecer un rango de tiempo Absolute (Absoluto), haga lo siguiente.

    1. En la pestaña Absolute (Absoluto), elija el día en el que desea que comience el intervalo de tiempo. Ingrese una hora de inicio en el día seleccionado. Para ingresar una fecha de forma manual, escriba la fecha con el formato yyyy/mm/dd. Las horas de inicio y finalización siguen el formato de 24 horas y los valores deben tener el formato hh:mm:ss. Por ejemplo, para que la hora de inicio sea a las 6:30 p. m., ingrese 18:30:00.

    2. Elija una fecha de finalización para el intervalo en el calendario o especifique una fecha y hora de finalización debajo del calendario. Seleccione Apply.

  4. Para establecer un intervalo de tiempo Relative to selected event (Relativo al evento seleccionado), haga lo siguiente.

    1. Elija un periodo de tiempo predefinido relativo a la hora de inicio de los eventos de Insights. Los valores predefinidos se encuentran disponibles en minutos, horas, días o semanas. El periodo de tiempo relativo máximo es de 12 semanas.

    2. Si es necesario, personalice el valor predefinido en los cuadros situados debajo de los ajustes predefinidos. Elija Clear (Borrar) para restablecer los cambios si es necesario. Cuando haya establecido la hora relativa que desea, elija Apply (Aplicar).

  5. En To (Hasta), elija el día y especifique la hora a la que desea que termine el intervalo de tiempo. Seleccione Apply.

  6. Para eliminar un filtro de intervalo de tiempo, elija el icono de calendario situado a la derecha del cuadro Time range (Intervalo de tiempo) y, a continuación, elija Remove (Eliminar).

Visualice los detalles de eventos de Insights

  1. Elija un evento de Insights de la lista de resultados para mostrar sus detalles. La página de detalles de un evento de Insights muestra un gráfico de la línea de tiempo de la actividad inusual.

    Una página de detalles de CloudTrail Insights que muestra una API actividad inusual.

  2. Coloque el cursor sobre las bandas resaltadas para mostrar la hora de inicio y duración de cada evento de Insights en el gráfico.

    Las estadísticas de eventos de Insights se muestran al colocar el cursor sobre un evento de Insights.

    La siguiente información se muestra en el área Información adicional del gráfico:

    • Insight type (Tipo de información). Puede ser la tasa de API llamadas o la tasa de API errores.

    • Desencadenador. Este es un enlace a la pestaña Cloudtrail events (Eventos de Cloudtrail), que presenta los eventos de administración que se analizaron para determinar que se produjo una actividad inusual.

    • APIllamadas por minuto

      • Media de referencia: tasa típica de ocurrencias por minuto durante API la cual se registró el evento de Insights, medida aproximadamente en los siete días anteriores, en una región específica de su cuenta.

      • Promedio de Insights: la tasa de ocurrencias por minuto API que desencadenó el evento de Insights. El promedio de CloudTrail Insights para el evento de inicio es la tasa de llamadas o errores por minuto API que desencadenaron el evento de Insights. Por lo general, este es el primer minuto de actividad inusual. El promedio de Insights para el evento final es la tasa de API llamadas o errores por minuto durante la duración de la actividad inusual, entre el evento de inicio y el evento de Insights final.

    • Fuente del evento. El punto final del AWS servicio en el que se registró el número inusual de API llamadas o errores. En la imagen anterior, la fuente es ec2.amazonaws.com el punto de enlace del servicio de AmazonEC2.

    • Evento IDs.

      • Start event ID (ID de evento de inicio): el ID del evento de Insights que registró al principio de una actividad inusual.

      • End event ID (ID de evento de finalización): ID del evento Insights que se registró al final de una actividad inusual.

      • ID de evento compartido: en los eventos de Insights, el ID de evento compartido es un GUID identificador generado por CloudTrail Insights para identificar de forma exclusiva un par de eventos de Insights de inicio y finalización. Shared event ID (ID de evento compartido) es igual en los eventos de inicio y finalización de Insights, y ayuda a relacionar ambos eventos para identificar de forma inequívoca la actividad inusual.

  3. Seleccione la pestaña Atribuciones para ver información sobre las identidades de los usuarios, los agentes de usuario y los eventos de Insights sobre la frecuencia de API llamadas, los códigos de error relacionados con una actividad inusual y de referencia. Se muestra un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error en las tablas de la pestaña Attributions (Atribuciones), ordenado por un promedio del recuento de la actividad, en orden descendente de mayor a menor.

  4. En la pestaña de CloudTrail eventos, consulta los eventos relacionados que CloudTrail se analizaron para determinar si se produjo una actividad inusual. De forma predeterminada, ya se ha aplicado un filtro para el nombre del evento de Insights, que también es el nombre del evento relacionadoAPI. La pestaña de CloudTrail eventos muestra los eventos de CloudTrail gestión relacionados con el tema API que se produjeron entre la hora de inicio (menos un minuto) y la hora de finalización (más un minuto) del evento de Insights.

    A medida que selecciona otros eventos de Insights en el gráfico, los eventos que se muestran en la tabla de CloudTrail eventos cambian. Estos eventos le ayudan a realizar un análisis más profundo para determinar la causa probable de un evento de Insights y los motivos de una API actividad inusual.

    Para mostrar todos los CloudTrail eventos que se registraron durante la duración del evento de Insights, y no solo los relacionadosAPI, desactive el filtro.

  5. Seleccione la pestaña de registro de eventos de Insights para ver el JSON formato de los eventos de inicio y finalización de Insights.

  6. Al elegir el enlace Event source (Origen de eventos), se lo redirige a la página Insights filtrada por ese origen de eventos.

Aplicar zoom al gráfico, desplazarlo y descargarlo

Puede acercar o alejar, desplazar y restablecer los ejes del gráfico en la página de detalles del evento de Insights mediante la barra de herramientas situada en la esquina superior derecha.

Descargue la PNG barra de comandos As, amplíe, amplíe, aleje y restablezca los ejes.

De izquierda a derecha, los botones de la barra de herramientas de gráficos hacen lo siguiente:

  • Descargar el gráfico como PNG: descargue la imagen del gráfico que se muestra en la página de detalles y guárdela en ese PNG formato.

  • Zoom: arrastre para seleccionar el área del gráfico que desea ampliar y ver con mayor detalle.

  • Pan (Desplazamiento panorámico): desplace el gráfico para ver fechas u horas adyacentes.

  • Reset axes (Restablecer ejes): revierta los ejes del gráfico a los originales borrando los ajustes de zoom y desplazamiento panorámico.

Cambiar la configuración del intervalo de tiempo del gráfico

Puede cambiar el intervalo de tiempo (la duración seleccionada de los eventos que se muestran en el eje x) que se muestra en el gráfico al elegir una configuración en la esquina superior derecha del gráfico.

Control del intervalo de tiempo para un evento de Insights.

El intervalo de tiempo predeterminado que se muestra en el gráfico depende de la duración del evento de Insights seleccionado.

Duración del evento de Insights Periodo de tiempo predeterminado

Menos de 4 horas

3h (tres horas)

Entre 4 y 12 horas

12h(12 horas)

Entre 12 y 24 horas

1d (un día)

Entre 24 y 72 horas

3d (tres días)

Más de 72 horas

1w (una semana)

Puede elegir ajustes predefinidos de cinco minutos, 30 minutos, una hora, tres horas, 12 horas o Custom (Personalizado). En la siguiente imagen se muestran los periodos de tiempo Relative to selected event (Relativo al evento seleccionado) que puede elegir en la configuración Custom (Personalizado). Los periodos de tiempo relativos son periodos de tiempo aproximados cercanos al inicio y al final del evento de Insights seleccionado que se muestra en una página de detalles del evento de Insights.

Configuración personalizada del intervalo de tiempo del gráfico de Insights, tiempo Relative (Relativo)

Para personalizar un ajuste predefinido seleccionado, especifique un número y una unidad de tiempo en los cuadros situados debajo de los ajustes predefinidos.

Para especificar una fecha y un intervalo de tiempo exactos, seleccione la pestaña Absolute (Absoluto). Si establece un intervalo de fecha y hora absolutos, se requieren las horas de inicio y finalización. Para obtener información sobre cómo establecer la hora, consulte Filtrado de eventos de Insights en este tema.

Configuración personalizada del intervalo de tiempo del gráfico de Insights, tiempo Absolute (Absoluto).

Descarga de eventos de Insights

Puede descargar el historial de eventos de Insights registrado como un archivo en CSV nuestro JSON formato. Utilice filtros e intervalos de tiempo para reducir el tamaño del archivo que descargue.

nota

CloudTrail Los archivos del historial de eventos son archivos de datos que contienen información (como los nombres de los recursos) que los usuarios individuales pueden configurar. Es posible que algunos datos se interpreten como comandos en los programas que se utilizan para leer y analizar estos datos (CSVinyección). Por ejemplo, cuando CloudTrail los eventos se exportan CSV e importan a un programa de hojas de cálculo, es posible que ese programa le advierta sobre problemas de seguridad. Como práctica recomendada de seguridad, deshabilite los enlaces o las macros de los archivos del historial de eventos descargados.

  1. Especifique el filtro y el intervalo de tiempo de los eventos que desee descargar. Por ejemplo, puede especificar el nombre del evento, StartInstances, y un intervalo de tiempo de los tres últimos días de actividad.

  2. Selecciona Descargar eventos y, a continuación, selecciona Descargar CSV o Descargar JSON. Se le pedirá que elija una ubicación para guardar el archivo.

    nota

    La descarga podría tardar un tiempo en terminar. Antes de iniciar el proceso de descarga, y para obtener resultados más rápidos, utilice un filtro más específico o un intervalo de tiempo más breve para limitar los resultados.

  3. Cuando haya finalizado la descarga, abra el archivo para ver los eventos que ha especificado.

  4. Para cancelar la descarga, elija Cancel download (Cancelar descarga). Si cancelas una descarga antes de que finalice, es posible que un JSON archivo CSV o archivo de tu ordenador local contenga solo una parte de los eventos.