Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Visualisation CloudTrail des événements Insights pour les sentiers avec le AWS CLI
Vous pouvez consulter les événements CloudTrail Insights des 90 derniers jours en exécutant la aws cloudtrail lookup-events
commande. La commande lookup-events
dispose des options suivantes :
-
--end-time
-
--event-category
-
--max-results
-
--start-time
-
--lookup-attributes
-
--next-token
-
--generate-cli-skeleton
-
--cli-input-json
Pour obtenir des informations générales sur l'utilisation du AWS Command Line Interface, consultez le guide de AWS Command Line Interface l'utilisateur.
Table des matières
- Prérequis
- Obtenir de l’aide de la ligne de commande
- Recherche d’événements Insights
- Spécification du nombre d’événements Insights à renvoyer
- Recherche d'événements Insights par plage de temps
- Recherche d’événements Insights par attribut
- Spécifier la page de résultats suivante
- Obtenir une JSON entrée à partir d'un fichier
- Champs de résultat de la recherche
Prérequis
-
Pour exécuter AWS CLI des commandes, vous devez installer le AWS CLI. Pour plus d'informations, voir Commencer avec le AWS CLI.
-
Assurez-vous que votre AWS CLI version est supérieure à 1.6.6. Pour vérifier la CLI version, exécutez la commande aws --version en ligne de commande.
-
Pour définir le compte, la région et le format de sortie par défaut pour une AWS CLI session, utilisez la aws configure commande. Pour plus d’informations, consultez Configuration de l’interface de ligne de commande AWS.
-
Pour enregistrer les événements Insights sur le volume d'APIappels, le journal doit enregistrer les événements
write
de gestion. Pour enregistrer les événements Insights sur le taux API d'erreur, le journal doit enregistrerread
les événementswrite
de gestion.
Note
Les CloudTrail AWS CLI commandes distinguent les majuscules et minuscules.
Obtenir de l’aide de la ligne de commande
Pour voir l’aide de la ligne de commande pour lookup-events
, tapez la commande suivante.
aws cloudtrail lookup-events help
Recherche d’événements Insights
Pour voir les dix derniers événements Insights, tapez la commande suivante :
aws cloudtrail lookup-events --event-category insight
Un événement renvoyé ressemble à l’exemple suivant,
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" } ] }
Pour une explication des champs liés à la recherche dans la sortie, consultez Champs de résultat de la recherche dans cette rubrique. Pour une explication sur les champs de l'événement Insights, consultez CloudTrail enregistrer le contenu.
Spécification du nombre d’événements Insights à renvoyer
Pour spécifier le nombre d’événements à renvoyer, saisissez la commande suivante.
aws cloudtrail lookup-events --event-category insight --max-results
<integer>
La valeur par défaut pour <integer>
, s'il n'est pas précisé, est égal à 10. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.
aws cloudtrail lookup-events --event-category insight --max-results 1
Recherche d'événements Insights par plage de temps
Les événements Insights survenus au cours des 90 derniers jours sont disponibles pour la recherche. Pour spécifier une plage de temps, saisissez la commande suivante.
aws cloudtrail lookup-events --event-category insight --start-time
<timestamp>
--end-time<timestamp>
--start-time
indique, dansUTC, que seuls les événements Insights qui se produisent après ou à l'heure spécifiée sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.<timestamp>
--end-time
indique, dansUTC, que seuls les événements Insights qui se produisent avant ou à l'heure spécifiée sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.<timestamp>
L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.
Tous les horodatages sont affichés dans. UTC
Recherche d’événements Insights par attribut
Pour filtrer selon un attribut, tapez la commande suivante.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=
<attribute>
,AttributeValue=<string>
Vous ne pouvez spécifier qu’une seule paire clé-valeur d’attribut pour chaque commande lookup-events. Les valeurs d’événement Insights valides pour AttributeKey
sont les suivants. Les noms de valeur sont sensibles à la casse.
-
EventId
-
EventName
-
EventSource
La longueur maximale du AttributeValue
est de 2 000 caractères. Les caractères suivants (« _
», «
», « ,
», « \\n
») comptent pour deux caractères dans la limite de 2000 caractères.
Exemples de recherche d’attribut
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventName
est PutRule
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventId
est b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventSource
est iam.amazonaws.com
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Spécifier la page de résultats suivante
Pour obtenir la page de résultats suivante à partir d’une commande lookup-events
, saisissez la commande suivante.
aws cloudtrail lookup-events --event-category insight
<same parameters as previous command>
--next-token=<token>
Dans cette commande, la valeur de <token>
est extrait du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez --next-token
dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Obtenir une JSON entrée à partir d'un fichier
AWS CLI Pour certains AWS services, il existe deux paramètres, l'un --generate-cli-skeleton
et l'autre--cli-input-json
, que vous pouvez utiliser pour générer un JSON modèle, que vous pouvez modifier et utiliser comme entrée pour le --cli-input-json
paramètre. Cette section décrit comment utiliser ces paramètres avec aws cloudtrail lookup-events
. Pour plus d'informations, consultez les AWS CLI squelettes et les fichiers d'entrée.
Pour rechercher des événements Insights à l'aide d'une JSON entrée provenant d'un fichier
-
Créer un modèle d’entrée à utiliser avec
lookup-events
en redirigeant la sortie de--generate-cli-skeleton
vers un fichier, comme dans l’exemple suivant.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
Le fichier modèle généré (dans ce cas, LookupEvents .txt) ressemble à ce qui suit.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" }
-
Utilisez un éditeur de texte pour les modifier selon JSON vos besoins. L'JSONentrée ne doit contenir que les valeurs spécifiées.
Important
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.
L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 }
-
Pour utiliser le fichier édité en entrée, utilisez la syntaxe
--cli-input-json file://
<filename>
, comme dans l'exemple suivant.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
Note
Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que --cli-input-json
.
Champs de résultat de la recherche
- Evénements
-
Liste des événements de recherche basée sur l’attribut de recherche et la plage de temps qui ont été spécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque entrée contient des informations sur la demande de recherche et inclut une représentation sous forme de chaîne de l' CloudTrail événement récupéré.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.
- CloudTrailEvent
-
JSONChaîne contenant une représentation sous forme d'objet de l'événement renvoyé. Pour plus d’informations sur chacun des éléments renvoyés, consultez Contenu du corps d’un enregistrement.
- EventId
-
Chaîne contenant le numéro GUID de l'événement renvoyé.
- EventName
-
Chaîne qui contient le nom de l’événement renvoyé.
- EventSource
-
Le AWS service auquel la demande a été adressée.
- EventTime
-
Date et heure, au format UNIX horaire, de l'événement.
- Ressources
-
Liste de ressources référencées par l’événement qui a été renvoyé. Chaque entrée de ressource spécifie un type de ressource et un nom de ressource.
- ResourceName
-
Chaîne qui contient le nom de la ressource référencée par l’événement.
- ResourceType
-
Chaîne qui contient le type d’une ressource référencée par l’événement. Lorsque le type de ressource ne peut pas être déterminé, la valeur null est renvoyée.
- Username
-
Chaîne qui contient le nom d’utilisateur du compte pour l’événement renvoyé.
- NextToken
-
Chaîne pour obtenir la page de résultats suivante d’une commande
lookup-events
précédente. Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d’origine. Si aucune entréeNextToken
n’apparaît dans la sortie, cela signifie qu’il n’y a aucun résultat à renvoyer.
Pour plus d'informations sur CloudTrail les événements Insights, consultez Journalisation des événements Insights ce guide.