Visualisation CloudTrail des événements Insights pour les sentiers avec le AWS CLI - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Visualisation CloudTrail des événements Insights pour les sentiers avec le AWS CLI

Vous pouvez consulter les événements CloudTrail Insights des 90 derniers jours en exécutant la aws cloudtrail lookup-events commande. La commande lookup-events dispose des options suivantes :

  • --end-time

  • --event-category

  • --max-results

  • --start-time

  • --lookup-attributes

  • --next-token

  • --generate-cli-skeleton

  • --cli-input-json

Pour obtenir des informations générales sur l'utilisation du AWS Command Line Interface, consultez le guide de AWS Command Line Interface l'utilisateur.

Prérequis

  • Pour exécuter AWS CLI des commandes, vous devez installer le AWS CLI. Pour plus d'informations, voir Commencer avec le AWS CLI.

  • Assurez-vous que votre AWS CLI version est supérieure à 1.6.6. Pour vérifier la CLI version, exécutez la commande aws --version en ligne de commande.

  • Pour définir le compte, la région et le format de sortie par défaut pour une AWS CLI session, utilisez la aws configure commande. Pour plus d’informations, consultez Configuration de l’interface de ligne de commande AWS.

  • Pour enregistrer les événements Insights sur le volume d'APIappels, le journal doit enregistrer les événements write de gestion. Pour enregistrer les événements Insights sur le taux API d'erreur, le journal doit enregistrer read les événements write de gestion.

Note

Les CloudTrail AWS CLI commandes distinguent les majuscules et minuscules.

Obtenir de l’aide de la ligne de commande

Pour voir l’aide de la ligne de commande pour lookup-events, tapez la commande suivante.

aws cloudtrail lookup-events help

Recherche d’événements Insights

Pour voir les dix derniers événements Insights, tapez la commande suivante :

aws cloudtrail lookup-events --event-category insight

Un événement renvoyé ressemble à l’exemple suivant,

{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" } ] }

Pour une explication des champs liés à la recherche dans la sortie, consultez Champs de résultat de la recherche dans cette rubrique. Pour une explication sur les champs de l'événement Insights, consultez CloudTrail enregistrer le contenu.

Spécification du nombre d’événements Insights à renvoyer

Pour spécifier le nombre d’événements à renvoyer, saisissez la commande suivante.

aws cloudtrail lookup-events --event-category insight --max-results <integer>

La valeur par défaut pour <integer>, s'il n'est pas précisé, est égal à 10. Les valeurs possibles vont de 1 à 50. L’exemple suivant renvoie un résultat.

aws cloudtrail lookup-events --event-category insight --max-results 1

Recherche d'événements Insights par plage de temps

Les événements Insights survenus au cours des 90 derniers jours sont disponibles pour la recherche. Pour spécifier une plage de temps, saisissez la commande suivante.

aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp>indique, dansUTC, que seuls les événements Insights qui se produisent après ou à l'heure spécifiée sont renvoyés. Si l’heure de début spécifiée survient après l’heure de fin spécifiée, une erreur est renvoyée.

--end-time <timestamp>indique, dansUTC, que seuls les événements Insights qui se produisent avant ou à l'heure spécifiée sont renvoyés. Si l’heure de fin spécifiée survient avant l’heure de début spécifiée, une erreur est renvoyée.

L’heure de début par défaut est la première date à laquelle les données sont disponibles au cours des 90 derniers jours. L’heure de fin par défaut est l’heure de l’événement qui s’est produit le plus près de l’heure actuelle.

Tous les horodatages sont affichés dans. UTC

Recherche d’événements Insights par attribut

Pour filtrer selon un attribut, tapez la commande suivante.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

Vous ne pouvez spécifier qu’une seule paire clé-valeur d’attribut pour chaque commande lookup-events. Les valeurs d’événement Insights valides pour AttributeKey sont les suivants. Les noms de valeur sont sensibles à la casse.

  • EventId

  • EventName

  • EventSource

La longueur maximale du AttributeValue est de 2 000 caractères. Les caractères suivants (« _ », «   », « , », « \\n ») comptent pour deux caractères dans la limite de 2000 caractères.

Exemples de recherche d’attribut

L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventName est PutRule.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventId est b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

L'exemple de commande suivant renvoie les événements Insights dans lesquels la valeur de EventSource est iam.amazonaws.com.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com

Spécifier la page de résultats suivante

Pour obtenir la page de résultats suivante à partir d’une commande lookup-events, saisissez la commande suivante.

aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>

Dans cette commande, la valeur de <token> est extrait du premier champ de la sortie de la commande précédente.

Lorsque vous utilisez --next-token dans une commande, vous devez utiliser les mêmes paramètres que dans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=

Obtenir une JSON entrée à partir d'un fichier

AWS CLI Pour certains AWS services, il existe deux paramètres, l'un --generate-cli-skeleton et l'autre--cli-input-json, que vous pouvez utiliser pour générer un JSON modèle, que vous pouvez modifier et utiliser comme entrée pour le --cli-input-json paramètre. Cette section décrit comment utiliser ces paramètres avec aws cloudtrail lookup-events. Pour plus d'informations, consultez les AWS CLI squelettes et les fichiers d'entrée.

Pour rechercher des événements Insights à l'aide d'une JSON entrée provenant d'un fichier
  1. Créer un modèle d’entrée à utiliser avec lookup-events en redirigeant la sortie de --generate-cli-skeleton vers un fichier, comme dans l’exemple suivant.

    aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt

    Le fichier modèle généré (dans ce cas, LookupEvents .txt) ressemble à ce qui suit.

    { "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" }
  2. Utilisez un éditeur de texte pour les modifier selon JSON vos besoins. L'JSONentrée ne doit contenir que les valeurs spécifiées.

    Important

    Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiez l’utiliser.

    L’exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.

    { "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 }
  3. Pour utiliser le fichier édité en entrée, utilisez la syntaxe --cli-input-json file://<filename>, comme dans l'exemple suivant.

    aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
Note

Vous pouvez utiliser d’autres arguments sur la même ligne de commande en tant que --cli-input-json.

Champs de résultat de la recherche

Evénements

Liste des événements de recherche basée sur l’attribut de recherche et la plage de temps qui ont été spécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque entrée contient des informations sur la demande de recherche et inclut une représentation sous forme de chaîne de l' CloudTrail événement récupéré.

Les entrées suivantes décrivent les champs dans chaque événement de recherche.

CloudTrailEvent

JSONChaîne contenant une représentation sous forme d'objet de l'événement renvoyé. Pour plus d’informations sur chacun des éléments renvoyés, consultez Contenu du corps d’un enregistrement.

EventId

Chaîne contenant le numéro GUID de l'événement renvoyé.

EventName

Chaîne qui contient le nom de l’événement renvoyé.

EventSource

Le AWS service auquel la demande a été adressée.

EventTime

Date et heure, au format UNIX horaire, de l'événement.

Ressources

Liste de ressources référencées par l’événement qui a été renvoyé. Chaque entrée de ressource spécifie un type de ressource et un nom de ressource.

ResourceName

Chaîne qui contient le nom de la ressource référencée par l’événement.

ResourceType

Chaîne qui contient le type d’une ressource référencée par l’événement. Lorsque le type de ressource ne peut pas être déterminé, la valeur null est renvoyée.

Username

Chaîne qui contient le nom d’utilisateur du compte pour l’événement renvoyé.

NextToken

Chaîne pour obtenir la page de résultats suivante d’une commande lookup-events précédente. Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d’origine. Si aucune entrée NextToken n’apparaît dans la sortie, cela signifie qu’il n’y a aucun résultat à renvoyer.

Pour plus d'informations sur CloudTrail les événements Insights, consultez Journalisation des événements Insights ce guide.