Melihat peristiwa Insights untuk jejak dengan konsol - AWS CloudTrail
Memfilter acara WawasanMelihat detail acara WawasanMemperbesar, menggeser, dan mengunduh grafikUbah pengaturan rentang waktu grafikMengunduh acara Wawasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat peristiwa Insights untuk jejak dengan konsol

Bagian ini menjelaskan cara melihat, mencari, dan mengunduh 90 hari terakhir acara Insights untuk mendapatkan jejak dari halaman Insights di CloudTrail konsol. Untuk informasi tentang cara melihat CloudTrail Wawasan untuk penyimpanan data acara, lihatMelihat dasbor Wawasan untuk penyimpanan data acara.

Setelah peristiwa Insights dicatat untuk mengikuti jejak, acara akan ditampilkan di halaman Wawasan selama 90 hari. Anda tidak dapat menghapus peristiwa secara manual dari halaman Wawasan. Karena peristiwa Insights yang diaktifkan untuk jejak disimpan di bucket Amazon S3 yang dikonfigurasi untuk jejak tersebut, menghapus peristiwa Insights dari bucket akan menghapus peristiwa tersebut.

Anda dapat memantau log jejak dan diberi tahu saat peristiwa Wawasan tertentu terjadi dengan mengaktifkan CloudWatch Log. Untuk informasi selengkapnya, lihat Memantau File CloudTrail Log dengan CloudWatch Log Amazon.

catatan

CloudTrail Acara Insights harus diaktifkan di jejak Anda untuk melihat peristiwa Insights di konsol. Biarkan hingga 36 jam CloudTrail untuk menyampaikan peristiwa Insights pertama, asalkan aktivitas yang tidak biasa terdeteksi selama waktu itu.

Untuk mencatat peristiwa Insights pada tingkat API panggilan, jejak harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa Insights pada tingkat API kesalahan, jejak harus mencatat read atau write mengelola peristiwa.

Untuk melihat acara Insights

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/rumah/.

  2. Di panel navigasi, pilih Wawasan untuk melihat semua peristiwa Wawasan yang masuk ke akun Anda dalam 90 hari terakhir. Anda juga dapat melihat lima peristiwa Insights terbaru dari halaman Dasbor.

  3. Pada halaman Wawasan, Anda dapat memfilter peristiwa Wawasan berdasarkan sumber peristiwa, nama acara, atau ID peristiwa. Untuk informasi selengkapnya tentang memfilter peristiwa Wawasan, lihat. Memfilter acara Wawasan

  4. Anda selanjutnya dapat membatasi daftar ke rentang Relatif atau rentang Absolut.

Memfilter acara Wawasan

Secara default, peristiwa di halaman Wawasan ditampilkan dalam urutan kronologis terbalik berdasarkan waktu mulai acara.

Anda dapat memfilter daftar dengan memilih dari salah satu dari tiga atribut berikut:

Nama peristiwa

Nama acara, biasanya AWS API di mana tingkat aktivitas yang tidak biasa dicatat.

Sumber peristiwa

AWS Layanan tempat permintaan dibuat, seperti iam.amazonaws.com ataus3.amazonaws.com. Jika Anda memilih untuk memfilter berdasarkan sumber acara, Anda dapat menggulir daftar sumber acara.

ID peristiwa

ID acara Insights. Peristiwa tidak IDs ditampilkan di tabel halaman Wawasan, tetapi merupakan atribut tempat Anda dapat memfilter peristiwa Wawasan. Peristiwa IDs peristiwa manajemen yang dianalisis untuk menghasilkan peristiwa Insights berbeda dari peristiwa IDs Insights.

Filter daftar acara CloudTrail Wawasan.

Daftar berikut menjelaskan atribut suatu peristiwa, yang tidak dapat difilter:

Jenis wawasan

Jenis peristiwa CloudTrail Insights, yang merupakan tingkat API panggilan atau tingkat API kesalahan. Jenis wawasan tingkat API panggilan menganalisis API panggilan manajemen khusus tulis yang dikumpulkan per menit terhadap volume panggilan dasar. API Jenis wawasan tingkat API kesalahan menganalisis API panggilan manajemen yang menghasilkan kode kesalahan. Kesalahan ditampilkan jika API panggilan tidak berhasil.

Waktu mulai acara

Waktu mulai peristiwa Insights, diukur sebagai menit pertama di mana aktivitas yang tidak biasa direkam. Atribut ini ditampilkan di tabel Wawasan, tetapi Anda tidak dapat memfilter waktu mulai acara di konsol.

Rata-rata dasar

Baseline mewakili pola normal tingkat API panggilan atau aktivitas tingkat kesalahan, dihitung setiap hari. Rata-rata baseline adalah rata-rata dari baseline harian ini selama tujuh hari sebelum dimulainya acara Insights. Sementara periode ini umumnya tujuh hari, CloudTrail membulatkan periode perhitungan ke seluruh jumlah hari, sehingga durasi dasar yang tepat mungkin sedikit berbeda.

Rata-rata wawasan

Rata-rata jumlah panggilan keAPI, atau jumlah rata-rata kesalahan tertentu yang dikembalikan pada panggilan keAPI, yang memicu peristiwa Insights. Rata-rata CloudTrail Insights untuk acara awal adalah tingkat kejadian yang memicu peristiwa Insights. Biasanya, ini adalah menit pertama aktivitas yang tidak biasa. Rata-rata Wawasan untuk acara akhir adalah tingkat kejadian selama durasi aktivitas yang tidak biasa, antara acara Wawasan awal dan acara Wawasan akhir.

Perubahan nilai

Perbedaan antara nilai rata-rata Baseline dan rata-rata Insight, diukur sebagai persentase. Misalnya, jika rata-rata dasar AccessDenied kesalahan yang terjadi adalah 1,0, dan rata-rata Insight adalah 3,0, perubahan tingkat adalah 300%. Perubahan tarif untuk rata-rata Insight yang melebihi rata-rata dasar menunjukkan panah atas di sebelah nilai. Jika peristiwa Insights dicatat karena aktivitas berada di bawah rata-rata baseline, perubahan Rate menunjukkan panah bawah di samping persentase.

Jika tidak ada peristiwa yang dicatat untuk atribut atau waktu yang Anda pilih, daftar hasil kosong. Anda hanya dapat menerapkan satu filter atribut selain rentang waktu. Jika Anda memilih filter atribut yang berbeda, rentang waktu yang ditentukan akan dipertahankan.

Langkah-langkah berikut menjelaskan cara memfilter berdasarkan atribut.

Untuk memfilter berdasarkan atribut

  1. Untuk memfilter hasil berdasarkan atribut, pilih atribut pencarian dari menu tarik-turun, lalu ketik atau pilih nilai di Masukkan nilai pencarian kotak.

  2. Untuk menghapus filter atribut, pilih X di sebelah kanan kotak filter atribut.

Langkah-langkah berikut menjelaskan cara memfilter berdasarkan tanggal dan waktu mulai dan berakhir.

Untuk memfilter berdasarkan tanggal dan waktu mulai dan berakhir

  1. Dari Filter berdasarkan tanggal dan waktu, pilih salah satu dari berikut ini:

    • Rentang absolut - Memungkinkan Anda memilih waktu tertentu. Lanjutkan ke langkah berikutnya.

    • Rentang relatif - Dipilih secara default. Memungkinkan Anda memilih periode waktu relatif terhadap waktu mulai acara Wawasan. Lanjutkan ke langkah 3.

  2. Untuk mengatur rentang Absolute, lakukan hal berikut.

    1. Pilih hari yang Anda inginkan untuk memulai rentang waktu. Masukkan waktu mulai pada hari yang dipilih. Untuk memasukkan tanggal secara manual, ketik tanggal dalam formatyyyy/mm/dd. Waktu mulai dan akhir menggunakan jam 24 jam, dan nilai harus dalam formathh:mm:ss. Misalnya, untuk menunjukkan waktu mulai pukul 18:30, masukkan. 18:30:00

    2. Pilih tanggal akhir untuk rentang di kalender, atau tentukan tanggal dan waktu akhir di bawah kalender. Pilih Terapkan.

  3. Untuk mengatur rentang Relatif, lakukan hal berikut.

    1. Pilih periode waktu yang telah ditetapkan relatif terhadap waktu mulai acara Wawasan. Rentang waktu preset meliputi 30 menit, 1 jam, 12 jam, atau 1 hari. Untuk menentukan rentang waktu kustom, pilih Kustom.

    2. Ketika Anda telah mengatur waktu relatif yang Anda inginkan, pilih Terapkan.

  4. Untuk menghapus filter rentang waktu, pilih ikon kalender di sebelah kanan kotak Filter menurut tanggal dan waktu, lalu pilih Hapus dan singkirkan.

Melihat detail acara Wawasan

  1. Pilih acara Insights dalam daftar hasil untuk menampilkan detailnya. Halaman detail untuk acara Insights menunjukkan grafik timeline aktivitas yang tidak biasa.

    Halaman detail CloudTrail Wawasan yang menunjukkan API aktivitas yang tidak biasa.

  2. Arahkan kursor ke pita yang disorot untuk menunjukkan waktu mulai dan durasi setiap peristiwa Wawasan dalam grafik.

    Statistik peristiwa wawasan ditampilkan setelah melayang di atas acara Insights.

    Informasi berikut ditampilkan di area informasi tambahan dari grafik:

    • Jenis wawasan. Ini bisa berupa tingkat API panggilan atau tingkat API kesalahan.

    • Pemicu. Ini adalah tautan ke tab peristiwa Cloudtrail, yang mencantumkan peristiwa manajemen yang dianalisis untuk menentukan bahwa aktivitas yang tidak biasa terjadi.

    • APIpanggilan per menit atau Kesalahan per menit

      • Rata-rata dasar - Tingkat kejadian khas per menit API di mana peristiwa Wawasan dicatat, yang diukur dalam kira-kira tujuh hari sebelumnya, di Wilayah tertentu di akun Anda.

      • Rata-rata wawasan - Tingkat kejadian per menit tentang hal ini API yang memicu peristiwa Wawasan. Rata-rata CloudTrail Wawasan untuk acara awal adalah tingkat panggilan atau kesalahan per menit pada peristiwa API yang memicu peristiwa Wawasan. Biasanya, ini adalah menit pertama aktivitas yang tidak biasa. Rata-rata Wawasan untuk acara akhir adalah tingkat API panggilan atau kesalahan per menit selama durasi aktivitas yang tidak biasa, antara acara Wawasan awal dan acara Wawasan akhir.

    • Sumber acara. Titik akhir AWS layanan di mana jumlah API panggilan atau kesalahan yang tidak biasa dicatat. Pada gambar sebelumnya, sumbernya adalah, yang merupakan ec2.amazonaws.com titik akhir layanan untuk Amazon. EC2

    • Mulai ID peristiwa - ID peristiwa Wawasan yang dicatat pada awal aktivitas yang tidak biasa.

    • End event ID - ID peristiwa Insights yang dicatat pada akhir aktivitas yang tidak biasa.

    • ID peristiwa bersama - Dalam peristiwa Insights, ID peristiwa Bersama adalah ID GUID yang dihasilkan oleh CloudTrail Wawasan untuk mengidentifikasi pasangan awal dan akhir peristiwa Wawasan secara unik. ID peristiwa bersama adalah umum antara peristiwa Wawasan awal dan akhir, dan membantu menciptakan korelasi antara kedua peristiwa tersebut untuk mengidentifikasi aktivitas yang tidak biasa secara unik.

  3. Pilih tab Atribusi untuk melihat informasi tentang identitas pengguna, agen pengguna, dan peristiwa Wawasan tingkat API panggilan, kode kesalahan yang berkorelasi dengan aktivitas dasar dan tidak biasa. Maksimal lima identitas pengguna, lima agen pengguna, dan lima kode kesalahan ditampilkan dalam tabel pada tab Atribusi, diurutkan berdasarkan rata-rata jumlah aktivitas, dalam urutan menurun dari tertinggi ke terendah.

  4. Pada tab CloudTrail peristiwa, lihat peristiwa terkait yang CloudTrail dianalisis untuk menentukan bahwa aktivitas yang tidak biasa terjadi. Secara default, filter sudah diterapkan untuk nama acara Insights, yang juga merupakan nama yang terkaitAPI. Tab CloudTrail peristiwa menunjukkan peristiwa CloudTrail manajemen yang terkait dengan subjek API yang terjadi antara waktu mulai (minus satu menit) dan waktu akhir (ditambah satu menit) dari acara Wawasan.

    Saat Anda memilih peristiwa Insights lainnya dalam grafik, peristiwa yang ditampilkan dalam tabel CloudTrail peristiwa berubah. Peristiwa ini membantu Anda melakukan analisis yang lebih dalam untuk menentukan kemungkinan penyebab peristiwa Wawasan dan alasan aktivitas yang tidak biasa. API

    Untuk menampilkan semua CloudTrail peristiwa yang dicatat selama durasi acara Insights, dan tidak hanya kejadian terkaitAPI, matikan filter.

  5. Pilih tab Catatan peristiwa Wawasan untuk melihat peristiwa awal dan akhir Wawasan dalam JSON format.

  6. Memilih sumber Peristiwa yang ditautkan akan mengembalikan Anda ke halaman Wawasan, yang difilter oleh sumber peristiwa tersebut.

Memperbesar, menggeser, dan mengunduh grafik

Anda dapat memperbesar, menggeser, dan mengatur ulang sumbu grafik di halaman detail peristiwa Wawasan dengan menggunakan bilah alat di sudut kanan atas.

Unduh sebagaiPNG, perbesar, geser, perbesar, perkecil, dan atur ulang bilah alat perintah sumbu.

Dari kiri ke kanan, tombol perintah pada toolbar grafik melakukan hal berikut:

  • Unduh plot sebagai PNG - Unduh gambar grafik yang ditampilkan di halaman detail, dan simpan dalam PNG format.

  • Zoom - Seret untuk memilih area pada grafik yang ingin Anda perbesar dan lihat lebih detail.

  • Pan - Geser grafik untuk melihat tanggal atau waktu yang berdekatan.

  • Atur ulang sumbu - Ubah sumbu grafik kembali ke aslinya, bersihkan pengaturan zoom dan pan.

Ubah pengaturan rentang waktu grafik

Anda dapat mengubah rentang waktu—durasi peristiwa yang dipilih yang ditampilkan pada sumbu x—yang ditampilkan dalam grafik dengan memilih pengaturan di sudut kanan atas grafik.

Kontrol rentang waktu untuk acara Insights.

Mengunduh acara Wawasan

Anda dapat mengunduh riwayat peristiwa Wawasan yang direkam sebagai file dalam CSV atau JSON format. Gunakan filter dan rentang waktu untuk mengurangi ukuran file yang Anda unduh.

catatan

CloudTrail file riwayat peristiwa adalah file data yang berisi informasi (seperti nama sumber daya) yang dapat dikonfigurasi oleh pengguna individu. Beberapa data berpotensi ditafsirkan sebagai perintah dalam program yang digunakan untuk membaca dan menganalisis data ini (CSVinjeksi). Misalnya, ketika CloudTrail peristiwa diekspor ke CSV dan diimpor ke program spreadsheet, program tersebut mungkin memperingatkan Anda tentang masalah keamanan. Sebagai praktik keamanan terbaik, nonaktifkan tautan atau makro dari file riwayat peristiwa yang diunduh.

  1. Tentukan filter dan rentang waktu untuk acara yang ingin Anda unduh. Misalnya, Anda dapat menentukan nama acaraStartInstances, dan menentukan rentang waktu untuk 12 jam terakhir aktivitas.

  2. Pilih Unduh acara, lalu pilih Unduh sebagai CSV atau Unduh sebagai JSON. Anda diminta untuk memilih lokasi untuk menyimpan file.

    catatan

    Unduhan Anda mungkin membutuhkan waktu untuk selesai. Untuk hasil yang lebih cepat, sebelum Anda memulai proses pengunduhan, gunakan filter yang lebih spesifik atau rentang waktu yang lebih pendek untuk mempersempit hasil.

  3. Setelah unduhan Anda selesai, buka file untuk melihat peristiwa yang Anda tentukan.

  4. Untuk membatalkan unduhan Anda, pilih Batalkan. Jika Anda membatalkan unduhan sebelum selesai, JSON file CSV atau di komputer lokal Anda mungkin hanya berisi sebagian dari acara Anda.