Visualizzazione degli eventi CloudTrail Insights per i percorsi con la console - AWS CloudTrail
Filtro degli eventi InsightsVisualizzazione dei dettagli degli eventi InsightsZoom, panoramica e download del graficoModifica delle impostazioni dell'intervallo temporale del graficoDownload di eventi Insights

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione degli eventi CloudTrail Insights per i percorsi con la console

Dopo aver abilitato gli eventi di CloudTrail Insights su un percorso, When CloudTrail rileva attività insolite API o con un tasso di errore, CloudTrail genera eventi Insights e li visualizza nelle pagine Dashboard e Insights di. AWS Management Console Puoi visualizzare gli eventi Insights nella console e risolvere i problemi relativi all'attività insolita. I 90 giorni più recenti degli eventi Insights vengono mostrati nella console. Puoi anche scaricare gli eventi di Insights utilizzando la AWS CloudTrail console. È possibile cercare gli eventi a livello di programmazione utilizzando o. AWS SDKs AWS Command Line Interface Per ulteriori informazioni sugli eventi CloudTrail Insights, consulta questa Registrazione degli eventi Insights guida.

Nota

Per registrare gli eventi di Insights sul volume delle API chiamate, il percorso deve registrare gli eventi di write gestione. Per registrare gli eventi di Insights sul tasso di API errore, il percorso deve registrare read gli eventi di write gestione.

Una volta registrati, gli eventi Insights vengono mostrati nella pagina Insights per 90 giorni. Non è possibile eliminare manualmente gli eventi dalla pagina Insights. Poiché è necessario creare un percorso prima di poter abilitare CloudTrail Insights, è possibile visualizzare gli eventi di Insights registrati nel percorso purché vengano archiviati nel bucket S3 configurato nelle impostazioni del trail.

Monitora i tuoi trail log e ricevi notifiche quando si verificano attività di eventi Insights specifici con Amazon CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs.

Per visualizzare gli eventi Insights

CloudTrail Gli eventi Insights devono essere abilitati sul percorso per visualizzare gli eventi Insights nella console. Attendi fino a 36 ore CloudTrail per la distribuzione dei primi eventi Insights, se viene rilevata un'attività insolita.

  1. Accedi a AWS Management Console e apri la CloudTrail console a https://console.aws.amazon.com/cloudtrail/casa/.

  2. Nel pannello di navigazione, seleziona Dashboard (Pannello di controllo) per visualizzare i cinque eventi Insights più recenti, oppure Insights per visualizzare tutti gli eventi Insights registrati nell'account negli ultimi 90 giorni.

    Nella pagina Insights, puoi filtrare gli eventi di Insights in base a criteri quali l'APIorigine dell'evento, il nome dell'evento e l'ID dell'evento e limitare gli eventi visualizzati a quelli che si verificano in un intervallo di tempo specifico. Per ulteriori informazioni sul filtro degli eventi Insights, consulta Filtro degli eventi Insights.

Filtro degli eventi Insights

La visualizzazione predefinita degli eventi in Insights mostra gli eventi in ordine cronologico inverso. Gli eventi Insights più recenti, ordinati per orario d'inizio dell'evento, si trovano in alto. Nell'elenco seguente vengono descritti gli attributi disponibili. È possibile filtrare i primi tre attributi: Nome evento, Origine eventi, e ID evento.

Il filtro dell'elenco degli eventi di CloudTrail Insights.
Nome evento

Il nome dell'evento, in genere quello AWS API in cui sono stati registrati livelli di attività insoliti.

Tipo di informazioni

Il tipo di evento CloudTrail Insights, che può essere la frequenza delle API chiamate o la percentuale di API errore. Il tipo di analisi della frequenza delle API chiamate analizza le API chiamate di gestione in sola scrittura aggregate al minuto rispetto a un volume di chiamate di base. API Il tipo APIError Rate Insight analizza le API chiamate di gestione che generano codici di errore. L'errore viene visualizzato se la API chiamata non ha esito positivo.

Origine eventi

Il AWS servizio a cui è stata effettuata la richiesta, ad esempio iam.amazonaws.com os3.amazonaws.com. È possibile scorrere un elenco di origini degli eventi dopo aver scelto il filtro Event source (Origine eventi).

ID evento

L'ID dell'evento Insights. IDsGli eventi non vengono visualizzati nella tabella della pagina Insights, ma sono un attributo in base al quale è possibile filtrare gli eventi di Insights. L'evento IDs degli eventi di gestione che vengono analizzati per generare eventi Insights è diverso dall'evento IDs degli eventi Insights.

Ora di inizio dell'evento

L'ora di inizio dell'evento Insights, misurata come il primo minuto in cui è stata registrata un'attività insolita. Questo attributo è mostrato nella tabella Insights, ma non puoi filtrare l'ora di inizio dell'evento nella console.

Media di base

Lo schema normale della frequenza delle API chiamate o dell'attività relativa al tasso di errore. La media di riferimento viene calcolata nei sette giorni precedenti all'inizio di un evento Insights. Sebbene il valore della durata di base, ovvero il periodo in cui viene CloudTrail analizzata la normale attività, APIs sia di circa sette giorni, CloudTrail arrotonda la durata di base a un giorno intero, pertanto la durata di base esatta può variare.

Media di informazioni

Il numero medio di chiamate a unAPI, o il numero medio di un errore specifico restituito dalle chiamate a un, che ha attivato l'evento Insights. API La media di CloudTrail Insights per l'evento di avvio è la frequenza di occorrenze che hanno attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media di informazione per l'evento finale è la frequenza di chiamate API al minuto per la durata dell'attività insolita, tra l'evento Insights di inizio e di fine.

Cambio del tasso

La differenza tra il valore di Media di base e Media dell'informazione misurato come percentuale. Ad esempio, se la media di base di un errore AccessDenied che si verifica è 1,0 e la media di informazione è 3,0, la variazione del tasso è del 300%. Una variazione del tasso per una media di informazione che supera la media di base mostra una freccia superiore accanto al valore. Se l'evento Insights è stato registrato perché l'attività è inferiore alla media di base, Cambio di tasso mostra una freccia verso il basso accanto alla percentuale.

Se non sono presenti eventi registrati per l'attributo o l'intervallo di tempo scelto, l'elenco dei risultati è vuoto. È possibile applicare solo un filtro attributo oltre all'intervallo di tempo. Se si scegli un filtro attributo diverso, l'intervallo di tempo specificato viene conservato.

La procedura riportata di seguito illustra come filtrare i dati in base a un attributo.

Per filtrare in base un attributo

  1. Per filtrare i risultati in base a un attributo, scegli un attributo di ricerca dal menu a tendina e quindi digita o scegli un valore nella casella Enter a lookup value (Inserisci un valore di ricerca).

  2. Per rimuovere un filtro attributo, scegliere X a destra della casella del filtro attributo.

La procedura riportata di seguito illustra come filtrare in base alla data e all'ora di inizio e fine.

Per filtrare in base a una data e ora di inizio e fine

  1. Per restringere l'intervallo di tempo relativo agli eventi che desideri visualizzare, scegli un intervallo di tempo sulla barra dell'intervallo di tempo nella parte superiore della tabella. Gli intervalli di tempo preimpostati includono 30 minuti, 1 ora, 3 ore o 12 ore. Per specificare un intervallo di tempo personalizzato, scegli Custom (Personalizzato).

  2. Scegli una delle seguenti schede.

    • Absolute (Assoluto): consente di scegliere un orario specifico. Passa alla fase successiva.

    • Relative to selected event (Relativo a evento selezionato): selezionata per impostazione predefinita. Consente di scegliere un periodo di tempo relativo all'ora di inizio di un evento Insights. Passa alla fase 4.

  3. Per impostare un intervallo di tempo Absolute (Assoluto), esegui le seguenti operazioni.

    1. Nella scheda Absolute (Assoluto), scegli il giorno di inizio dell'intervallo di tempo. Inserisci un'ora di inizio nel giorno selezionato. Per inserire manualmente una data, digita la data nel formato yyyy/mm/dd. L'ora di inizio e di fine utilizzano un orologio di 24 ore e i valori devono essere nel formato hh:mm:ss. Ad esempio, per indicare un'ora di inizio alle 18:30, inserisci 18:30:00.

    2. Scegli una data di fine per l'intervallo nel calendario oppure specifica una data e un'ora di fine al di sotto del calendario. Scegli Applica.

  4. Per impostare un intervallo di tempo Relative to selected event(Relativo a evento selezionato), esegui le seguenti operazioni.

    1. Scegli un periodo di tempo preimpostato relativo all'ora di inizio di eventi Insights. I valori preimpostati sono disponibili in minuti, ore, giorni o settimane. Il periodo di tempo relativo massimo è 12 settimane.

    2. Se necessario, personalizza il valore preimpostato nelle caselle sotto le impostazioni predefinite. Scegli Clear (Cancella) per ripristinare le modifiche, se necessario. Dopo aver impostato l'ora relativa che desideri, scegli Apply (Applica).

  5. In To (A), selezionare il giorno e specificare l'ora preferita per la fine dell'intervallo di tempo. Scegli Applica.

  6. Per rimuovere un filtro basato su un intervallo di tempo, scegliere l'icona del calendario a destra della casella Time range (Intervallo di tempo) e quindi scegliere Remove (Rimuovi).

Visualizzazione dei dettagli degli eventi Insights

  1. Scegliere un evento Insights nell'elenco dei risultati per visualizzare i relativi dettagli. La pagina dei dettagli di un evento Insights mostra un grafico della sequenza temporale dell'attività insolita.

    Una pagina di dettaglio di CloudTrail Insights che mostra attività insoliteAPI.

  2. Passa il puntatore del mouse sulle bande evidenziate per visualizzare l'ora di inizio e la durata di ogni evento Insights nel grafico.

    Statistiche di un evento Insights che compaiono dopo aver passato il mouse su un evento Insights.

    La seguente informazione è mostrata nell'area del grafico Informazioni aggiuntive:

    • Insight type (Tipo di informazioni). Può essere la frequenza delle API chiamate o la percentuale di API errore.

    • Trigger. Questo è un collegamento alla scheda Cloudtrail events (Eventi Cloudtrail), che elenca gli eventi di gestione analizzati per determinare che si è verificata un'attività insolita.

    • APIchiamate al minuto

      • Media di base: il tasso tipico di occorrenze al minuto API in cui è stato registrato l'evento Insights, misurato all'incirca nei sette giorni precedenti, in una regione specifica dell'account.

      • Media di Insights: il tasso di occorrenze al minuto API che ha attivato l'evento Insights. La media di CloudTrail Insights per l'evento di avvio è la frequenza di chiamate o errori al minuto sull'evento API che ha attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media Insights per l'evento finale è la frequenza di API chiamate o errori al minuto per tutta la durata dell'attività insolita, tra l'evento Insights di inizio e l'evento Insights di fine.

    • Event source (Origine eventi). L'endpoint del AWS servizio su cui è stato registrato il numero insolito di API chiamate o errori. Nell'immagine precedente, l'origine èec2.amazonaws.com, che è l'endpoint del servizio per Amazon. EC2

    • Evento. IDs

      • ID evento di inizio - L'ID dell'evento Insights registrato all'inizio di attività insolita.

      • ID evento di fine - L'ID dell'evento Insights registrato al termine di attività insolita.

      • ID evento condiviso: negli eventi Insights, l'ID evento condiviso è generato da CloudTrail Insights per identificare in modo univoco una coppia di eventi Insights di inizio e fine. GUID ID evento condiviso è comune tra gli eventi Insights di inizio e di fine e consente di creare una correlazione tra entrambi gli eventi per identificare in modo univoco l'attività insolita.

  3. Scegli la scheda Attribuzioni per visualizzare informazioni sulle identità degli utenti, sugli user agent e sugli eventi di API Call Rate Insights, sui codici di errore correlati alle attività insolite e di base. Sono visualizzati un massimo di cinque identità utente, cinque agenti dell'utente e cinque codici di errore nelle tabelle nella scheda Attributions (Attribuzioni), ordinati in base alla media del conteggio delle attività, in ordine decrescente dalla più alta alla più bassa.

  4. Nella scheda CloudTrail Eventi, visualizza gli eventi correlati CloudTrail analizzati per determinare che si è verificata un'attività insolita. Per impostazione predefinita, viene già applicato un filtro per il nome dell'evento Insights, che è anche il nome dell'evento correlatoAPI. La scheda CloudTrail eventi mostra gli eventi di CloudTrail gestione relativi all'argomento API che si sono verificati tra l'ora di inizio (meno un minuto) e l'ora di fine (più un minuto) dell'evento Insights.

    Quando si selezionano altri eventi di Insights nel grafico, gli eventi mostrati nella tabella degli CloudTrail eventi cambiano. Questi eventi consentono di eseguire un'analisi più approfondita per determinare la causa probabile di un evento Insights e i motivi dell'APIattività insolita.

    Per mostrare tutti CloudTrail gli eventi registrati durante la durata dell'evento Insights, e non solo quelli correlatiAPI, disattiva il filtro.

  5. Scegli la scheda di registrazione degli eventi di Insights per visualizzare gli eventi di inizio e fine di Insights nel JSON formato.

  6. Selezionando l'Event source (Origine eventi) collegata, puoi tornare alla pagina Insights, filtrata in base all'origine eventi.

Zoom, panoramica e download del grafico

È possibile eseguire lo zoom, la panoramica e il ripristino degli assi del grafico nella pagina dei dettagli dell'evento Insights utilizzando una barra degli strumenti nell'angolo in alto a destra.

Scarica la barra degli strumenti dei comandi asPNG, zoom, pan, zoom avanti, zoom indietro e reset axes.

Da sinistra a destra, i pulsanti di comando sulla barra degli strumenti del grafico effettuano le seguenti operazioni:

  • Scarica il grafico come file PNG - Scarica l'immagine del grafico mostrata nella pagina dei dettagli e salvala nel PNG formato.

  • Zoom – Trascina per selezionare un'area del grafico da ingrandire e visualizzare nei minimi dettagli.

  • Pan (Panoramica) – Sposta il grafico per visualizzare le date o le ore adiacenti.

  • Reset axes (Ripristina assi) – Modifica gli assi del grafico ai valori originari, eliminando le impostazioni dello zoom e della panoramica.

Modifica delle impostazioni dell'intervallo temporale del grafico

Puoi modificare l'intervallo di tempo, ovvero la durata selezionata degli eventi visualizzati sull'asse x, mostrato nel grafico scegliendo un'impostazione nell'angolo superiore destro del grafico.

Controllo dell'intervallo di tempo per un evento Insights.

L'intervallo di tempo predefinito visualizzato nel grafico dipende dalla durata dell'evento Insights selezionato.

Durata dell'evento Insights Intervallo temporale predefinito

Inferiore a 4 ore

3h (tre ore)

Tra 4 e 12 ore

12h(12 ore)

Tra 12 e 24 ore

1d (un giorno)

Tra 24 e 72 ore

3d (tre giorni)

Superiore a 72 ore

1w (una settimana)

Puoi scegliere le impostazioni predefinite di cinque minuti, 30 minuti, un'ora, tre ore, 12 ore o Custom (Personalizzato). La seguente immagine mostra i periodi di tempo Relative to selected event (Relativo a evento selezionato) che puoi scegliere nelle impostazioni Custom (Personalizzato). I periodi di tempo relativi sono periodi temporali approssimativi attorno all'inizio e alla fine dell'evento Insights selezionato che viene mostrato nella pagina dei dettagli di un evento Insights.

Configurazione personalizzata dell'intervallo di tempo del grafico Insights, orario Relative (Relativo)

Per personalizzare un'impostazione predefinita selezionata, specifica un numero e un'unità di tempo nelle caselle sotto le impostazioni predefinite.

Per specificare una data e un intervallo di tempo esatti, selezionare la scheda Absolute (Assoluto). Se imposti una data e un intervallo di tempo assoluti, sono necessarie l'ora di inizio e di fine. Per informazioni su come impostare l'ora, consulta Filtro degli eventi Insights in questo argomento.

Configurazione personalizzata dell'intervallo di tempo del grafico Insights, orario Absolute (Assoluto).

Download di eventi Insights

È possibile scaricare la cronologia degli eventi di Insights registrata come file in CSV o JSON formato. Utilizzare i filtri e gli intervalli di tempo per ridurre le dimensioni del file scaricato.

Nota

CloudTrail i file di cronologia degli eventi sono file di dati che contengono informazioni (come i nomi delle risorse) che possono essere configurate dai singoli utenti. Alcuni dati possono essere potenzialmente interpretati come comandi nei programmi utilizzati per leggere e analizzare questi dati (CSViniezione). Ad esempio, quando CloudTrail gli eventi vengono esportati CSV e importati in un programma di fogli di calcolo, tale programma potrebbe avvisare l'utente in merito a problemi di sicurezza. Come best practice di sicurezza, è consigliabile disabilitare i collegamenti o le macro dai file scaricati della cronologia degli eventi.

  1. Specificare il filtro e l'intervallo di tempo per gli eventi che si desidera scaricare. Ad esempio, è possibile specificare il nome dell'evento, StartInstances, e specificare un intervallo di tempo per gli ultimi tre giorni di attività.

  2. Scegli Scarica eventi, quindi scegli Scarica o Scarica. CSV JSON Viene richiesto di scegliere una posizione in cui salvare il file.

    Nota

    Il download potrebbe richiedere alcuni minuti per essere completato. Per ottenere più rapidamente i risultati, prima di avviare il processo di download, utilizzare un filtro più specifico o un intervallo di tempo più breve per limitare i risultati.

  3. Al termine del download, aprire il file per visualizzare gli eventi specificati.

  4. Per annullare il download, scegliere Cancel download (Annulla download). Se annulli un download prima che sia terminato, un JSON file CSV o sul computer locale potrebbe contenere solo una parte dei tuoi eventi.