Melihat peristiwa CloudTrail Insights untuk jejak dengan konsol - AWS CloudTrail
Memfilter acara WawasanMelihat detail acara WawasanMemperbesar, menggeser, dan mengunduh grafikUbah pengaturan rentang waktu grafikMengunduh acara Wawasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat peristiwa CloudTrail Insights untuk jejak dengan konsol

Setelah Anda mengaktifkan peristiwa CloudTrail Insights di jejak, saat CloudTrail mendeteksi aktivitas yang tidak biasa API atau tingkat kesalahan, buat peristiwa CloudTrail Wawasan dan tampilkan di halaman Dasbor dan Wawasan di halaman. AWS Management Console Anda dapat melihat peristiwa Wawasan di konsol dan memecahkan masalah aktivitas yang tidak biasa. Acara Insights 90 hari terbaru ditampilkan di konsol. Anda juga dapat mengunduh acara Insights dengan menggunakan AWS CloudTrail konsol. Anda dapat secara terprogram mencari acara dengan menggunakan atau. AWS SDKs AWS Command Line Interface Untuk informasi selengkapnya tentang acara CloudTrail Wawasan, lihat Acara Logging Insights di panduan ini.

catatan

Untuk mencatat peristiwa Insights pada volume API panggilan, jejak harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa Insights pada tingkat API kesalahan, jejak harus mencatat read atau write mengelola peristiwa.

Setelah peristiwa Wawasan dicatat, peristiwa ditampilkan di halaman Wawasan selama 90 hari. Anda tidak dapat menghapus peristiwa secara manual dari halaman Wawasan. Karena Anda harus membuat jejak sebelum mengaktifkan CloudTrail Insights, Anda dapat melihat peristiwa Insights yang dicatat ke jejak Anda selama Anda menyimpannya di bucket S3 yang dikonfigurasi dalam pengaturan jejak Anda.

Pantau log jejak Anda dan beri tahu saat aktivitas peristiwa Wawasan tertentu terjadi dengan Log Amazon CloudWatch . Untuk informasi selengkapnya, lihat Memantau File CloudTrail Log dengan CloudWatch Log Amazon.

Untuk melihat acara Insights

CloudTrail Acara Insights harus diaktifkan di jejak Anda untuk melihat peristiwa Insights di konsol. Biarkan hingga 36 jam CloudTrail untuk menyampaikan peristiwa Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/rumah/.

  2. Di panel navigasi, pilih Dasbor untuk melihat lima peristiwa Wawasan terbaru, atau Wawasan untuk melihat semua peristiwa Wawasan yang masuk ke akun Anda dalam 90 hari terakhir.

    Pada halaman Wawasan, Anda dapat memfilter peristiwa Wawasan berdasarkan kriteria termasuk API sumber peristiwa, nama acara, dan ID peristiwa, dan membatasi peristiwa yang ditampilkan pada peristiwa yang terjadi dalam rentang waktu tertentu. Untuk informasi selengkapnya tentang memfilter peristiwa Wawasan, lihat. Memfilter acara Wawasan

Memfilter acara Wawasan

Tampilan default peristiwa di Wawasan menunjukkan peristiwa dalam urutan kronologis terbalik. Acara Insights terbaru, diurutkan berdasarkan waktu mulai acara, berada di puncak. Daftar berikut menjelaskan atribut yang tersedia. Anda dapat memfilter pada tiga atribut pertama: Nama acara, Sumber acara, dan ID Acara.

Filter daftar acara CloudTrail Wawasan.
Nama peristiwa

Nama acara, biasanya AWS API di mana tingkat aktivitas yang tidak biasa dicatat.

Jenis wawasan

Jenis peristiwa CloudTrail Insights, yang merupakan tingkat API panggilan atau tingkat API kesalahan. Jenis wawasan tingkat API panggilan menganalisis API panggilan manajemen khusus tulis yang dikumpulkan per menit terhadap volume panggilan dasar. API Jenis wawasan tingkat API kesalahan menganalisis API panggilan manajemen yang menghasilkan kode kesalahan. Kesalahan ditampilkan jika API panggilan tidak berhasil.

Sumber peristiwa

AWS Layanan tempat permintaan dibuat, seperti iam.amazonaws.com ataus3.amazonaws.com. Anda dapat menggulir daftar sumber acara setelah Anda memilih filter sumber acara.

ID peristiwa

ID acara Insights. Peristiwa tidak IDs ditampilkan di tabel halaman Wawasan, tetapi merupakan atribut tempat Anda dapat memfilter peristiwa Wawasan. Peristiwa IDs peristiwa manajemen yang dianalisis untuk menghasilkan peristiwa Insights berbeda dari peristiwa IDs Insights.

Waktu mulai acara

Waktu mulai peristiwa Wawasan, diukur sebagai menit pertama di mana aktivitas yang tidak biasa direkam. Atribut ini ditampilkan di tabel Wawasan, tetapi Anda tidak dapat memfilter waktu mulai acara di konsol.

Rata-rata dasar

Pola normal tingkat API panggilan atau aktivitas tingkat kesalahan. Rata-rata dasar dihitung selama tujuh hari sebelum dimulainya acara Wawasan. Meskipun nilai durasi dasar — periode yang CloudTrail menganalisis aktivitas normal pada APIs — adalah sekitar tujuh hari, CloudTrail membulatkan durasi dasar menjadi satu hari bilangan bulat penuh, sehingga durasi dasar yang tepat dapat bervariasi.

Rata-rata wawasan

Rata-rata jumlah panggilan keAPI, atau jumlah rata-rata kesalahan tertentu yang dikembalikan pada panggilan keAPI, yang memicu peristiwa Insights. Rata-rata CloudTrail Insights untuk acara awal adalah tingkat kejadian yang memicu peristiwa Insights. Biasanya, ini adalah menit pertama aktivitas yang tidak biasa. Rata-rata Wawasan untuk acara akhir adalah tingkat kejadian selama durasi aktivitas yang tidak biasa, antara acara Wawasan awal dan acara Wawasan akhir.

Perubahan nilai

Perbedaan antara nilai rata-rata Baseline dan rata-rata Insight, diukur sebagai persentase. Misalnya, jika rata-rata dasar AccessDenied kesalahan yang terjadi adalah 1,0, dan rata-rata Insight adalah 3,0, perubahan tingkat adalah 300%. Perubahan tarif untuk rata-rata Insight yang melebihi rata-rata dasar menunjukkan panah atas di sebelah nilai. Jika peristiwa Insights dicatat karena aktivitas berada di bawah rata-rata baseline, perubahan Rate menunjukkan panah bawah di samping persentase.

Jika tidak ada peristiwa yang dicatat untuk atribut atau waktu yang Anda pilih, daftar hasil kosong. Anda hanya dapat menerapkan satu filter atribut selain rentang waktu. Jika Anda memilih filter atribut yang berbeda, rentang waktu yang ditentukan akan dipertahankan.

Langkah-langkah berikut menjelaskan cara memfilter berdasarkan atribut.

Untuk memfilter berdasarkan atribut

  1. Untuk memfilter hasil berdasarkan atribut, pilih atribut lookup dari menu drop-down, lalu ketik atau pilih nilai di kotak Masukkan nilai pencarian.

  2. Untuk menghapus filter atribut, pilih X di sebelah kanan kotak filter atribut.

Langkah-langkah berikut menjelaskan cara memfilter berdasarkan tanggal dan waktu mulai dan berakhir.

Untuk memfilter berdasarkan tanggal dan waktu mulai dan berakhir

  1. Untuk mempersempit rentang waktu untuk peristiwa yang ingin Anda lihat, pilih rentang waktu pada bilah rentang waktu di bagian atas tabel. Rentang waktu preset meliputi 30 menit, 1 jam, 3 jam, atau 12 jam. Untuk menentukan rentang waktu kustom, pilih Kustom.

  2. Pilih salah satu tab berikut.

    • Absolute - Memungkinkan Anda memilih waktu tertentu. Lanjutkan ke langkah berikutnya.

    • Relatif terhadap acara yang dipilih - Dipilih secara default. Memungkinkan Anda memilih periode waktu relatif terhadap waktu mulai acara Wawasan. Lanjutkan ke langkah 4.

  3. Untuk mengatur rentang waktu Absolute, lakukan hal berikut.

    1. Pada tab Absolute, pilih hari yang Anda inginkan untuk memulai rentang waktu. Masukkan waktu mulai pada hari yang dipilih. Untuk memasukkan tanggal secara manual, ketik tanggal dalam formatyyyy/mm/dd. Waktu mulai dan akhir menggunakan jam 24 jam, dan nilai harus dalam formathh:mm:ss. Misalnya, untuk menunjukkan waktu mulai pukul 18:30, masukkan. 18:30:00

    2. Pilih tanggal akhir untuk rentang di kalender, atau tentukan tanggal dan waktu akhir di bawah kalender. Pilih Terapkan.

  4. Untuk mengatur Relatif ke rentang waktu acara yang dipilih, lakukan hal berikut.

    1. Pilih periode waktu yang telah ditetapkan relatif terhadap waktu mulai acara Wawasan. Nilai preset tersedia dalam hitungan menit, jam, hari, atau minggu. Periode waktu relatif maksimum adalah 12 minggu.

    2. Jika diperlukan, sesuaikan nilai preset di kotak di bawah preset. Pilih Hapus untuk mengatur ulang perubahan Anda jika diperlukan. Ketika Anda telah mengatur waktu relatif yang Anda inginkan, pilih Terapkan.

  5. Di Kepada, pilih hari dan tentukan waktu yang Anda inginkan untuk menjadi akhir rentang waktu. Pilih Terapkan.

  6. Untuk menghapus filter rentang waktu, pilih ikon kalender di sebelah kanan kotak Rentang waktu, lalu pilih Hapus.

Melihat detail acara Wawasan

  1. Pilih acara Insights dalam daftar hasil untuk menampilkan detailnya. Halaman detail untuk acara Insights menunjukkan grafik timeline aktivitas yang tidak biasa.

    Halaman detail CloudTrail Wawasan yang menunjukkan API aktivitas yang tidak biasa.

  2. Arahkan kursor ke pita yang disorot untuk menunjukkan waktu mulai dan durasi setiap peristiwa Wawasan dalam grafik.

    Statistik peristiwa wawasan ditampilkan setelah melayang di atas acara Insights.

    Informasi berikut ditampilkan di area informasi tambahan dari grafik:

    • Jenis wawasan. Ini bisa berupa tingkat API panggilan atau tingkat API kesalahan.

    • Pemicu. Ini adalah tautan ke tab peristiwa Cloudtrail, yang mencantumkan peristiwa manajemen yang dianalisis untuk menentukan bahwa aktivitas yang tidak biasa terjadi.

    • APIpanggilan per menit

      • Rata-rata dasar - Tingkat kejadian khas per menit API di mana peristiwa Wawasan dicatat, yang diukur dalam kira-kira tujuh hari sebelumnya, di Wilayah tertentu di akun Anda.

      • Rata-rata wawasan - Tingkat kejadian per menit tentang hal ini API yang memicu peristiwa Wawasan. Rata-rata CloudTrail Wawasan untuk acara awal adalah tingkat panggilan atau kesalahan per menit pada peristiwa API yang memicu peristiwa Wawasan. Biasanya, ini adalah menit pertama aktivitas yang tidak biasa. Rata-rata Wawasan untuk acara akhir adalah tingkat API panggilan atau kesalahan per menit selama durasi aktivitas yang tidak biasa, antara acara Wawasan awal dan acara Wawasan akhir.

    • Sumber acara. Titik akhir AWS layanan di mana jumlah API panggilan atau kesalahan yang tidak biasa dicatat. Pada gambar sebelumnya, sumbernya adalah, yang merupakan ec2.amazonaws.com titik akhir layanan untuk Amazon. EC2

    • Acara IDs.

      • Mulai ID peristiwa - ID peristiwa Wawasan yang dicatat pada awal aktivitas yang tidak biasa.

      • End event ID - ID peristiwa Insights yang dicatat pada akhir aktivitas yang tidak biasa.

      • ID peristiwa bersama - Dalam peristiwa Insights, ID peristiwa Bersama adalah ID GUID yang dihasilkan oleh CloudTrail Wawasan untuk mengidentifikasi pasangan awal dan akhir peristiwa Wawasan secara unik. ID peristiwa bersama adalah umum antara peristiwa Wawasan awal dan akhir, dan membantu menciptakan korelasi antara kedua peristiwa tersebut untuk mengidentifikasi aktivitas yang tidak biasa secara unik.

  3. Pilih tab Atribusi untuk melihat informasi tentang identitas pengguna, agen pengguna, dan peristiwa Wawasan tingkat API panggilan, kode kesalahan yang berkorelasi dengan aktivitas dasar dan tidak biasa. Maksimal lima identitas pengguna, lima agen pengguna, dan lima kode kesalahan ditampilkan dalam tabel pada tab Atribusi, diurutkan berdasarkan rata-rata jumlah aktivitas, dalam urutan menurun dari tertinggi ke terendah.

  4. Pada tab CloudTrail peristiwa, lihat peristiwa terkait yang CloudTrail dianalisis untuk menentukan bahwa aktivitas yang tidak biasa terjadi. Secara default, filter sudah diterapkan untuk nama acara Insights, yang juga merupakan nama yang terkaitAPI. Tab CloudTrail peristiwa menunjukkan peristiwa CloudTrail manajemen yang terkait dengan subjek API yang terjadi antara waktu mulai (minus satu menit) dan waktu akhir (ditambah satu menit) dari acara Wawasan.

    Saat Anda memilih peristiwa Insights lainnya dalam grafik, peristiwa yang ditampilkan dalam tabel CloudTrail peristiwa berubah. Peristiwa ini membantu Anda melakukan analisis yang lebih dalam untuk menentukan kemungkinan penyebab peristiwa Wawasan dan alasan aktivitas yang tidak biasa. API

    Untuk menampilkan semua CloudTrail peristiwa yang dicatat selama durasi acara Insights, dan tidak hanya kejadian terkaitAPI, matikan filter.

  5. Pilih tab Catatan peristiwa Wawasan untuk melihat peristiwa awal dan akhir Wawasan dalam JSON format.

  6. Memilih sumber Peristiwa yang ditautkan akan mengembalikan Anda ke halaman Wawasan, yang difilter oleh sumber peristiwa tersebut.

Memperbesar, menggeser, dan mengunduh grafik

Anda dapat memperbesar, menggeser, dan mengatur ulang sumbu grafik di halaman detail peristiwa Wawasan dengan menggunakan bilah alat di sudut kanan atas.

Unduh asPNG, zoom, pan, zoom in, zoom out, dan reset toolbar perintah sumbu.

Dari kiri ke kanan, tombol perintah pada toolbar grafik melakukan hal berikut:

  • Unduh plot sebagai PNG - Unduh gambar grafik yang ditampilkan di halaman detail, dan simpan dalam PNG format.

  • Zoom - Seret untuk memilih area pada grafik yang ingin Anda perbesar dan lihat lebih detail.

  • Pan - Geser grafik untuk melihat tanggal atau waktu yang berdekatan.

  • Atur ulang sumbu - Ubah sumbu grafik kembali ke pengaturan zoom dan pan yang asli, bersihkan.

Ubah pengaturan rentang waktu grafik

Anda dapat mengubah rentang waktu—durasi peristiwa yang dipilih yang ditampilkan pada sumbu x—yang ditampilkan dalam grafik dengan memilih pengaturan di sudut kanan atas grafik.

Kontrol rentang waktu untuk acara Insights.

Rentang waktu default yang ditampilkan dalam grafik bergantung pada durasi acara Wawasan yang dipilih.

Durasi acara Insights Rentang waktu default

Kurang dari 4 jam

3 jam (tiga jam)

Antara 4 dan 12 jam

12 jam (12 jam)

Antara 12 dan 24 jam

1d (satu hari)

Antara 24 dan 72 jam

3d (tiga hari)

Lebih dari 72 jam

1w (satu minggu)

Anda dapat memilih preset lima menit, 30 menit, satu jam, tiga jam, 12 jam, atau Custom. Gambar berikut menunjukkan Relatif terhadap periode waktu acara yang dipilih yang dapat Anda pilih di Pengaturan khusus. Periode waktu relatif adalah perkiraan periode waktu sekitar awal dan akhir acara Wawasan yang dipilih yang ditampilkan di halaman detail acara Wawasan.

Wawasan grafik rentang waktu konfigurasi kustom, Waktu relatif

Untuk menyesuaikan preset yang dipilih, tentukan nomor dan satuan waktu di kotak di bawah preset.

Untuk menentukan tanggal dan rentang waktu yang tepat, pilih tab Absolute. Jika Anda menetapkan tanggal dan rentang waktu absolut, waktu mulai dan akhir diperlukan. Untuk informasi tentang cara mengatur waktu, lihat Memfilter acara Wawasan di topik ini.

Wawasan grafik rentang waktu konfigurasi kustom, Waktu absolut.

Mengunduh acara Wawasan

Anda dapat mengunduh riwayat peristiwa Wawasan yang direkam sebagai file dalam CSV atau JSON format. Gunakan filter dan rentang waktu untuk mengurangi ukuran file yang Anda unduh.

catatan

CloudTrail file riwayat peristiwa adalah file data yang berisi informasi (seperti nama sumber daya) yang dapat dikonfigurasi oleh pengguna individu. Beberapa data berpotensi ditafsirkan sebagai perintah dalam program yang digunakan untuk membaca dan menganalisis data ini (CSVinjeksi). Misalnya, ketika CloudTrail peristiwa diekspor ke CSV dan diimpor ke program spreadsheet, program tersebut mungkin memperingatkan Anda tentang masalah keamanan. Sebagai praktik keamanan terbaik, nonaktifkan tautan atau makro dari file riwayat peristiwa yang diunduh.

  1. Tentukan filter dan rentang waktu untuk acara yang ingin Anda unduh. Misalnya, Anda dapat menentukan nama acaraStartInstances, dan menentukan rentang waktu untuk tiga hari terakhir aktivitas.

  2. Pilih Unduh acara, lalu pilih Unduh CSV atau Unduh JSON. Anda diminta untuk memilih lokasi untuk menyimpan file.

    catatan

    Unduhan Anda mungkin membutuhkan waktu untuk selesai. Untuk hasil yang lebih cepat, sebelum Anda memulai proses pengunduhan, gunakan filter yang lebih spesifik atau rentang waktu yang lebih pendek untuk mempersempit hasil.

  3. Setelah unduhan Anda selesai, buka file untuk melihat peristiwa yang Anda tentukan.

  4. Untuk membatalkan unduhan Anda, pilih Batalkan unduhan. Jika Anda membatalkan unduhan sebelum selesai, JSON file CSV atau di komputer lokal Anda mungkin hanya berisi sebagian dari acara Anda.