Afficher CloudTrail les événements Insights pour les sentiers avec la console - AWS CloudTrail
Filtrage des événements InsightsAffichage des détails des événements InsightsZoomer, panoramiquer et télécharger un graphiqueModifier les paramètres de période du graphiqueTéléchargement d'événements Insights

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher CloudTrail les événements Insights pour les sentiers avec la console

Une fois que vous avez activé les événements CloudTrail Insights sur un trail, lorsque vous CloudTrail détectez une activité inhabituelle API ou associée à un taux d'erreur, CloudTrail génère des événements Insights et les affiche sur les pages Tableau de bord et Insights du AWS Management Console. Vous pouvez afficher les événements Insights dans la console et résoudre les problèmes liés à l'activité inhabituelle. Les événements Insights des 90 derniers jours sont affichés dans la console. Vous pouvez également télécharger les événements Insights à l'aide de la AWS CloudTrail console. Vous pouvez rechercher des événements par programmation en utilisant le AWS SDKs ou. AWS Command Line Interface Pour plus d'informations sur CloudTrail les événements Insights, consultez Journalisation des événements Insights ce guide.

Note

Pour enregistrer les événements Insights sur le volume d'APIappels, le journal doit enregistrer les événements write de gestion. Pour enregistrer les événements Insights sur le taux API d'erreur, le journal doit enregistrer read les événements write de gestion.

Une fois les événements Insights journalisés, les événements sont affichés sur la page Insights pendant 90 jours. Vous ne pouvez pas supprimer manuellement des événements de la page Insights. Comme vous devez créer un suivi avant de pouvoir activer CloudTrail Insights, vous pouvez consulter les événements Insights enregistrés dans votre suivi tant que vous les stockez dans le compartiment S3 configuré dans vos paramètres de suivi.

Surveillez vos journaux de suivi et soyez averti lorsque des événements spécifiques d'Insights se produisent avec Amazon CloudWatch Logs. Pour plus d’informations, consultez Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs.

Pour afficher les événements Insights

CloudTrail Les événements Insights doivent être activés sur votre parcours pour voir les événements Insights dans la console. Prévoyez jusqu'à 36 heures CloudTrail pour diffuser les premiers événements Insights, si une activité inhabituelle est détectée.

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à la https://console.aws.amazon.com/cloudtrail/maison/.

  2. Dans le volet de navigation, choisissez Dashboard (Tableau de bord) pour voir les cinq événements Insights les plus récents ou Insights pour voir tous les événements Insights journalisés dans votre compte au cours des 90 derniers jours.

    Sur la page Insights, vous pouvez filtrer les événements Insights en fonction de critères tels que la API source de l'événement, le nom de l'événement et l'ID de l'événement, et limiter les événements affichés à ceux qui se produisent dans un intervalle de temps spécifique. Pour plus d'informations sur le filtrage des événements Insights, consultez Filtrage des événements Insights.

Filtrage des événements Insights

L'affichage par défaut des événements dans Insights présente les événements dans l'ordre chronologique inverse. Les événements Insights les plus récents, triés par heure de début de l'événement, figurent en premier. La liste suivante décrit les attributs disponibles. Vous pouvez filtrer les trois premiers attributs :Nom de l'événement, Source de l'événement, et ID de l’événement.

Le filtre de liste d'événements CloudTrail Insights.
Nom de l’événement

Le nom de l'événement, généralement celui au cours duquel AWS API des niveaux d'activité inhabituels ont été enregistrés.

Type Insight

Type d'événement CloudTrail Insights, qui correspond au taux d'APIappels ou au taux API d'erreur. Le type APId'aperçu du taux d'appels analyse les API appels de gestion en écriture uniquement agrégés par minute par rapport à un volume d'APIappels de référence. Le type d'analyse du taux d'APIerreur analyse les API appels de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'APIappel.

Source de l’événement

Le AWS service auquel la demande a été adressée, tel que iam.amazonaws.com ous3.amazonaws.com. Vous pouvez faire défiler la liste des sources d’événements après avoir choisi le filtre Source de l’événement.

ID de l’événement

L'ID de l'événement Insights. IDsLes événements ne figurent pas dans le tableau de la page Insights, mais il s'agit d'un attribut sur lequel vous pouvez filtrer les événements Insights. L'événement IDs des événements de gestion analysés pour générer des événements Insights est différent de celui IDs des événements Insights.

Heure de début de l'événement

L'heure de début de l'événement Insights, mesuré sous la forme de la première minute au cours de laquelle une activité d'API inhabituelle a été enregistrée. Cet attribut est affiché dans la table Insights, mais vous ne pouvez pas filtrer l'heure de début de l'événement dans la console.

Moyenne de référence

Schéma normal du taux d'APIappels ou de l'activité du taux d'erreur. La référence est calculée sur les sept jours précédant le démarrage d'un événement Insights. Bien que la valeur de la durée de référence (période pendant laquelle l'activité normale APIs est CloudTrail analysée) soit d'environ sept jours, elle CloudTrail arrondit la durée de référence à un jour entier, de sorte que la durée de référence exacte peut varier.

Moyenne Insight

Le nombre moyen d'appels vers unAPI, ou le nombre moyen d'une erreur spécifique renvoyée lors des appels vers unAPI, qui a déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'occurrences qui ont déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux des occurrences pendant la durée de l'activité inhabituelle, entre l'événement Insights de démarrage et l'événement Insights de fin.

Variation du taux

Différence entre la valeur de Moyenne de référence et Moyenne Insight, mesurée en pourcentage. Par exemple, si la moyenne de référence d'une erreur AccessDenied est de 1,0, et la moyenne Insight est de 3,0, la variation du taux est de 300 %. Une variation du taux pour une moyenne Insight qui dépasse une moyenne de référence affiche une flèche vers le haut à côté de la valeur. Si l'événement Insights a été journalisé parce que l'activité est inférieure à la moyenne de référence, Variation du taux affiche une flèche vers le bas à côté du pourcentage.

Si aucun événement n’est journalisé pour l’attribut ou l’heure que vous avez choisi, la liste des résultats est vide. Vous pouvez appliquer un seul filtre d’attributs, en plus de la plage de temps. Si vous choisissez un autre filtre d’attribut, la plage de temps que vous avez spécifiée est conservée.

Les étapes suivantes expliquent comment filtrer sur les attributs.

Pour filtrer par attribut

  1. Pour filtrer les résultats selon un attribut, sélectionnez Rechercher un attribut dans le menu déroulant, puis tapez ou sélectionnez une valeur dans la zone Enter a lookup value (Saisir la valeur à rechercher).

  2. Pour supprimer un filtre d'attributs, cliquez sur la croix à droite de la zone de filtre d'attributs.

Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.

Pour filtrer selon une date et une heure de début et de fin

  1. Pour restreindre la plage de temps pour les événements que vous voulez voir, choisissez une plage de temps dans la barre de temps en haut de la table. Les plages de temps prédéfinies incluent 30 minutes, 1 heure, 3 heures ou 12 heures. Pour spécifier une plage de temps personnalisée, choisissez Custom (Personnaliser).

  2. Choisissez l'un des onglets suivants.

    • Absolute (Absolu)- Vous permet de choisir une heure spécifique. Passez à l'étape suivante.

    • Relatif à l'événement sélectionné- Sélectionné par défaut. Vous permet de choisir une période par rapport à l'heure de début d'un événement Insights. Passez à l'étape 4.

  3. Pour définir une plage de temps Absolute (Absolu) , effectuez les opérations suivantes.

    1. Dans l'onglet Absolute (Absolu), choisissez le jour où vous souhaitez que la plage de temps démarre. Entrez une heure de début le jour sélectionné. Pour saisir une date manuellement, tapez la date dans le format yyyy/mm/dd. Les heures de début et de fin utilisent le format horaire de 24 heures, et les valeurs doivent être au format hh:mm:ss. Par exemple, pour indiquer que l'heure de début est 18 h 30, entrez 18:30:00.

    2. Choisissez une date de fin pour la plage sur le calendrier, ou spécifiez une date et une heure de fin sous le calendrier. Choisissez Apply (Appliquer).

  4. Pour définir une plage de temps Relative à l'événement sélectionné, procédez comme suit.

    1. Choisissez une période prédéfinie par rapport à l'heure de début des événements Insights. Les valeurs prédéfinies sont disponibles en minutes, heures, jours ou semaines. La période relative maximale est de 12 semaines.

    2. Si nécessaire, personnalisez la valeur prédéfinie dans les cases situées sous les paramètres prédéfinis. Choisissez Clear (Effacer) pour réinitialiser vos modifications si nécessaire. Lorsque vous avez défini l'heure relative que vous souhaitez, choisissez Apply (Appliquer).

  5. Dans To (À), choisissez le jour et spécifiez l'heure de la fin de la plage de temps. Choisissez Appliquer.

  6. Pour supprimer un filtre de plage de temps, cliquez sur l'icône de calendrier à droite de la zone Time range (Plage de temps), puis choisissez Remove (Supprimer).

Affichage des détails des événements Insights

  1. Choisissez un événement Insights dans la liste des résultats pour en afficher les détails. La page des détails d'un événement Insights présente un graphique de la chronologie d'activité inhabituelle.

    Une page détaillée d' CloudTrail Insights présentant une API activité inhabituelle.

  2. Passez la souris sur les bandes en surbrillance pour afficher l'heure de début et la durée de chaque événement Insights dans le graphique.

    Statistiques d'événement Insights affichées après le passage de la souris sur un événement Insights.

    Les informations suivantes sont présentées dans les Informations supplémentaires zone du graphique :

    • Insight type (Type Insight). Il peut s'agir du taux d'APIappel ou du taux API d'erreur.

    • Déclencheur. Ceci est un lien vers l'onglet CloudTrail events (Événements CloudTrail), qui répertorie les événements de gestion analysés par pour déterminer qu'une activité inhabituelle s'est produite.

    • APIappels par minute

      • Moyenne de référence : taux typique d'occurrences par minute au cours duquel API l'événement Insights a été enregistré, tel que mesuré au cours des sept jours précédents, dans une région spécifique de votre compte.

      • Moyenne d'Insights : taux d'occurrences par minute de ce API qui a déclenché l'événement Insights. La moyenne d' CloudTrail Insights pour l'événement de démarrage est le taux d'appels ou d'erreurs par minute lors du API déclenchement de l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne d'Insights pour l'événement final est le taux d'APIappels ou d'erreurs par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights de début et l'événement Insights de fin.

    • Source de l'événement Point de terminaison du AWS service sur lequel le nombre inhabituel d'APIappels ou d'erreurs a été enregistré. Dans l'image précédente, la source est ec2.amazonaws.com le point de terminaison du service pour AmazonEC2.

    • Événement IDs.

      • ID de l’événement de démarrage- ID de l'événement Insights journalisé au début d'une activité inhabituelle.

      • ID de l’événement de fin- ID de l'événement Insights journalisé à la fin d'une activité inhabituelle.

      • ID d'événement partagé : dans les événements Insights, l'identifiant d'GUIDévénement partagé est généré par CloudTrail Insights pour identifier de manière unique une paire d'événements Insights de début et de fin. ID de l’événement partagé est commun entre l'événement Insights de début et de fin, et aide à créer une corrélation entre les deux événements pour identifier de manière unique l'activité inhabituelle.

  3. Choisissez l'onglet Attributions pour afficher des informations sur les identités des utilisateurs, les agents utilisateurs, les événements API Call Rate Insights, les codes d'erreur corrélés à une activité inhabituelle et à une activité de référence. Un maximum de cinq identités d'utilisateur, de cinq agents utilisateur et de cinq codes d'erreur sont affichés dans les tableaux de l'onglet Attributions, trié par une moyenne du nombre d'activités, dans l'ordre décroissant du plus haut au plus bas.

  4. Dans l'onglet CloudTrail Événements, consultez les événements connexes CloudTrail analysés pour déterminer qu'une activité inhabituelle s'est produite. Par défaut, un filtre est déjà appliqué pour le nom de l'événement Insights, qui est également le nom de l'événement associéAPI. L'onglet CloudTrail événements affiche les événements de CloudTrail gestion liés au sujet API survenus entre l'heure de début (moins une minute) et l'heure de fin (plus une minute) de l'événement Insights.

    Lorsque vous sélectionnez d'autres événements Insights dans le graphique, les événements présentés dans le tableau CloudTrail des événements changent. Ces événements vous aident à effectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons d'une API activité inhabituelle.

    Pour afficher tous les CloudTrail événements enregistrés pendant la durée de l'événement Insights, et pas uniquement ceux associésAPI, désactivez le filtre.

  5. Choisissez l'onglet Enregistrement des événements Insights pour afficher les événements de début et de fin d'Insights au JSON format.

  6. Le choix de la Event source (Source d'événement) liée vous renvoie à la page Insights, filtrée en fonction de cette source d'événement.

Zoomer, panoramiquer et télécharger un graphique

Vous pouvez zoomer, panoramiquer et réinitialiser les axes du graphique sur la page de détails de l'événement Insights à l'aide d'une barre d'outils située dans le coin supérieur droit.

Téléchargez sous forme de barre d'outils de commandePNG, zoom, panoramique, zoom avant, zoom arrière et réinitialisation des axes.

De gauche à droite, les boutons de commande de la barre d'outils de graphique permettent d'effectuer les opérations suivantes :

  • Télécharger le tracé sous forme de fichier PNG - Téléchargez l'image graphique affichée sur la page de détails et enregistrez-la au PNG format.

  • Zoom - Faites glisser la souris pour sélectionner une zone du graphique que vous souhaitez agrandir et voir plus en détail.

  • Pan (Panoramiquer) - Déplacez le graphique pour voir les dates ou les heures adjacentes.

  • Reset axes (Réinitialiser les axes) - Replacez les axes du graphique dans leur position d'origine, en supprimant les paramètres de zoom et de panoramique.

Modifier les paramètres de période du graphique

Vous pouvez modifier la période de temps, la durée sélectionnée des événements affichés dans l'axe x, qui s'affiche dans le graphique, en choisissant un paramètre dans le coin supérieur droit du graphique.

Contrôle de la période de temps pour un événement Insights.

La période par défaut affichée dans le graphique dépend de la durée de l'événement Insights sélectionné.

Durée de l'événement Insights Période par défaut

Moins de 4 heures

3h (trois heures)

Entre 4 et 12 heures

12h(12 heures)

Entre 12 et 24 heures

1d (un jour)

Entre 24 et 72 heures

3d (trois jours)

Plus de 72 heures

1w (une semaine)

Vous pouvez choisir des préréglages de cinq minutes, 30 minutes, une heure, trois heures, 12 heures ou Custom (Personnaliser). L'image suivante montre les périodes relatives à l'événement sélectionné que vous pouvez choisir dans les paramètres Custom (Personnaliser). Les périodes relatives sont des périodes approximatives entourant le début et la fin de l'événement Insights sélectionné qui s'affiche sur la page de détails d'un événement Insights.

Configuration personnalisée de période pour un graphique Insights, Période relative

Pour personnaliser un préréglage sélectionné, spécifiez un nombre et une unité de temps dans les zones situées sous les préréglages.

Pour spécifier une plage de dates et d'heures exactes, choisissez l'onglet Absolute (Absolu). Si vous définissez une plage de dates et d'heures absolues, les heures de début et de fin seront requises. Pour plus d’informations sur comment définir l'heure, consultez Filtrage des événements Insights dans cette rubrique.

Configuration personnalisée de période pour un graphique Insights, période Absolute (Absolu).

Téléchargement d'événements Insights

Vous pouvez télécharger l'historique des événements Insights enregistré sous forme de fichier CSV ou de JSON format. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que vous téléchargez.

Note

CloudTrail les fichiers d'historique des événements sont des fichiers de données qui contiennent des informations (telles que les noms des ressources) qui peuvent être configurées par des utilisateurs individuels. Certaines données peuvent potentiellement être interprétées comme des commandes dans les programmes utilisés pour lire et analyser ces données (CSVinjection). Par exemple, lorsque CloudTrail des événements sont exportés CSV et importés vers un tableur, ce programme peut vous avertir de problèmes de sécurité. Comme bonne pratique relative à la sécurité, désactivez les liens ou les macros des fichiers d'historique des événements téléchargés.

  1. Spécifiez le filtre et la plage de temps pour les événements que vous souhaitez télécharger. Par exemple, vous pouvez spécifier le nom d’événement, StartInstances, et indiquer une plage de temps pour les trois derniers jours d’activité.

  2. Choisissez Télécharger les événements, puis sélectionnez Télécharger CSV ou Télécharger JSON. Vous êtes invité à choisir un emplacement pour enregistrer le fichier.

    Note

    Le téléchargement pourrait prendre un certain temps. Pour des résultats plus rapides, utilisez un filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant de commencer le processus de téléchargement.

  3. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avez spécifiés.

  4. Pour annuler votre téléchargement, choisissez Cancel download (Annuler le téléchargement). Si vous annulez un téléchargement avant qu'il ne soit terminé, il se peut qu'un JSON fichier CSV or sur votre ordinateur local ne contienne qu'une partie de vos événements.