Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagian ini menjelaskan cara menggunakan AWS CLI lookup-events perintah untuk mencari jejak peristiwa Insights selama 90 hari terakhir dengan peristiwa Insights diaktifkan. Untuk informasi tentang cara mengaktifkan CloudTrail Wawasan di jalur, lihatPeristiwa Logging Insights untuk jejak menggunakan AWS CLI.
catatan
Anda tidak dapat menggunakan lookup-events perintah untuk mencari peristiwa Insights untuk penyimpanan data peristiwa, namun, CloudTrail Lake menawarkan sejumlah contoh kueri untuk penyimpanan data peristiwa Insights. Untuk informasi selengkapnya, lihat Melihat contoh kueri untuk acara Insights.
lookup-eventsPerintah ini memiliki opsi berikut:
-
--end-time -
--event-category -
--max-results -
--start-time -
--lookup-attributes -
--next-token -
--generate-cli-skeleton -
--cli-input-json
Untuk informasi umum tentang penggunaan AWS Command Line Interface, lihat Panduan AWS Command Line Interface Pengguna.
Daftar Isi
Prasyarat
-
Untuk menjalankan AWS CLI perintah, Anda harus menginstal file AWS CLI. Untuk informasi selengkapnya, lihat Memulai dengan AWS CLI.
-
Pastikan AWS CLI versi Anda lebih besar dari 1.6.6. Untuk memverifikasi versi CLI, jalankan aws --version pada baris perintah.
-
Untuk mengatur akun, Wilayah, dan format output default untuk AWS CLI sesi, gunakan aws configure perintah. Untuk informasi selengkapnya, lihat Mengonfigurasi Antarmuka Baris AWS Perintah.
-
Untuk mencatat peristiwa Insights pada rasio panggilan API, jejak harus mencatat peristiwa
writemanajemen. Untuk mencatat peristiwa Insights pada tingkat kesalahan API, jejak harus mencatatreadatauwritemengelola peristiwa.
catatan
CloudTrail AWS CLI Perintahnya peka huruf besar/kecil.
Mendapatkan bantuan baris perintah
Untuk melihat bantuan baris perintahlookup-events, ketik perintah berikut.
aws cloudtrail lookup-events help
Mencari acara Insights
Untuk melihat sepuluh peristiwa Insights terbaru, ketik perintah berikut.
aws cloudtrail lookup-events --event-category insight
Peristiwa yang dikembalikan terlihat mirip dengan contoh berikut,
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
} Untuk penjelasan tentang bidang terkait pencarian di output, lihat Bidang keluaran pencarian di topik ini. Untuk penjelasan bidang dalam acara Wawasan, lihatCloudTrail isi rekam.
Menentukan jumlah peristiwa Insights yang akan dikembalikan
Untuk menentukan jumlah acara yang akan dikembalikan, ketik perintah berikut.
aws cloudtrail lookup-events --event-category insight --max-results<integer>
Nilai default untuk<integer>, jika tidak ditentukan, adalah 10. Nilai yang mungkin adalah 1 hingga 50. Contoh berikut mengembalikan satu hasil.
aws cloudtrail lookup-events --event-category insight --max-results 1
Mencari acara Wawasan berdasarkan rentang waktu
Insights event dari 90 hari terakhir tersedia untuk pencarian. Untuk menentukan rentang waktu, ketik perintah berikut.
aws cloudtrail lookup-events --event-category insight --start-time<timestamp>--end-time<timestamp>
--start-time menetapkan, di UTC, bahwa hanya peristiwa Wawasan yang terjadi setelah atau pada waktu yang ditentukan yang dikembalikan. Jika waktu mulai yang ditentukan adalah setelah waktu akhir yang ditentukan, kesalahan dikembalikan.<timestamp>
--end-time menetapkan, di UTC, bahwa hanya peristiwa Wawasan yang terjadi sebelum atau pada waktu yang ditentukan yang dikembalikan. Jika waktu akhir yang ditentukan sebelum waktu mulai yang ditentukan, kesalahan dikembalikan.<timestamp>
Waktu mulai default adalah tanggal paling awal bahwa data tersedia dalam 90 hari terakhir. Waktu akhir default adalah waktu peristiwa yang terjadi paling dekat dengan waktu saat ini.
Semua stempel waktu ditampilkan di UTC.
Mencari acara Wawasan berdasarkan atribut
Untuk memfilter berdasarkan atribut, ketik perintah berikut.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
Anda hanya dapat menentukan satu pasangan nilai kunci atribut untuk setiap lookup-events perintah. Berikut ini adalah nilai acara Insights yang valid untukAttributeKey. Nama nilai peka huruf besar/kecil.
-
EventId -
EventName -
EventSource
Panjang maksimum untuk AttributeValue adalah 2000 karakter. Karakter berikut (_'', '', , ',\\n') dihitung sebagai dua karakter menuju batas 2000 karakter.
Contoh pencarian atribut
Perintah contoh berikut mengembalikan peristiwa Wawasan di mana nilai EventName adalahPutRule.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Perintah contoh berikut mengembalikan peristiwa Wawasan di mana nilai EventId adalahb5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
Perintah contoh berikut mengembalikan peristiwa Wawasan di mana nilai EventSource adalahiam.amazonaws.com.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Menentukan halaman hasil berikutnya
Untuk mendapatkan halaman hasil berikutnya dari lookup-events perintah, ketik perintah berikut.
aws cloudtrail lookup-events --event-category insight<same parameters as previous command>--next-token=<token>
Dalam perintah ini, nilai untuk <token> diambil dari bidang pertama dari output dari perintah sebelumnya.
Saat Anda menggunakan --next-token perintah, Anda harus menggunakan parameter yang sama seperti pada perintah sebelumnya. Misalnya, Anda menjalankan perintah berikut.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Untuk mendapatkan halaman hasil berikutnya, perintah Anda berikutnya akan terlihat seperti berikut.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Mendapatkan masukan JSON dari sebuah file
AWS CLI Untuk beberapa AWS layanan memiliki dua parameter, --generate-cli-skeleton dan--cli-input-json, yang dapat Anda gunakan untuk menghasilkan template JSON, yang dapat Anda modifikasi dan gunakan sebagai input ke --cli-input-json parameter. Bagian ini menjelaskan cara menggunakan parameter ini denganaws cloudtrail lookup-events. Untuk informasi selengkapnya, lihat AWS CLI kerangka dan file input.
Untuk mencari acara Insights dengan mendapatkan masukan JSON dari file
-
Buat template input untuk digunakan
lookup-eventsdengan mengarahkan--generate-cli-skeletonoutput ke file, seperti pada contoh berikut.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txtFile template yang dihasilkan (dalam hal ini, LookupEvents .txt) terlihat seperti berikut.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
Gunakan editor teks untuk memodifikasi JSON sesuai kebutuhan. Masukan JSON harus berisi hanya nilai-nilai yang ditentukan.
penting
Semua nilai kosong atau nol harus dihapus dari template sebelum Anda dapat menggunakannya.
Contoh berikut menentukan rentang waktu dan jumlah maksimum hasil untuk kembali.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } -
Untuk menggunakan file yang diedit sebagai input, gunakan sintaks
--cli-input-json file://<filename>, seperti pada contoh berikut.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
catatan
Anda dapat menggunakan argumen lain pada baris perintah yang sama dengan--cli-input-json.
Bidang keluaran pencarian
- Peristiwa
-
Daftar peristiwa pencarian berdasarkan atribut lookup dan rentang waktu yang ditentukan. Daftar acara diurutkan berdasarkan waktu, dengan acara terbaru terdaftar terlebih dahulu. Setiap entri berisi informasi tentang permintaan pencarian dan menyertakan representasi string dari CloudTrail peristiwa yang diambil.
Entri berikut menjelaskan bidang di setiap acara pencarian.
- CloudTrailEvent
-
Sebuah string JSON yang berisi representasi objek dari acara dikembalikan. Untuk informasi tentang masing-masing elemen yang dikembalikan, lihat Rekam Isi Tubuh.
- EventId
-
Sebuah string yang berisi GUID dari acara dikembalikan.
- EventName
-
Sebuah string yang berisi nama acara dikembalikan.
- EventSource
-
AWS Layanan yang diminta untuk dibuat.
- EventTime
-
Tanggal dan waktu, dalam format waktu UNIX, acara.
- Sumber
-
Daftar sumber daya yang direferensikan oleh acara yang dikembalikan. Setiap entri sumber daya menentukan jenis sumber daya dan nama sumber daya.
- ResourceName
-
String yang berisi nama sumber daya yang direferensikan oleh acara tersebut.
- ResourceType
-
String yang berisi jenis sumber daya yang direferensikan oleh acara tersebut. Ketika jenis sumber daya tidak dapat ditentukan, null dikembalikan.
- Nama Pengguna
-
String yang berisi nama pengguna akun untuk acara yang dikembalikan.
- NextToken
-
Sebuah string untuk mendapatkan halaman berikutnya dari hasil dari
lookup-eventsperintah sebelumnya. Untuk menggunakan token, parameternya harus sama dengan yang ada di perintah asli. Jika tidak adaNextTokenentri yang muncul di output, tidak ada lagi hasil untuk dikembalikan.
Untuk informasi selengkapnya tentang acara CloudTrail Wawasan, lihat Bekerja dengan CloudTrail Wawasan di panduan ini.
