CloudTrail insightDetailsインサイト要素 - AWS CloudTrail
insightDetails ブロックの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail insightDetailsインサイト要素

AWS CloudTrail Insights イベントレコードには、JSON CloudTrail 構造内の他のイベントとは異なるフィールド (ペイロードと呼ばれることもあります) が含まれます。 CloudTrail Insights イベントレコードには、イベントソース、ユーザー ID、ユーザーエージェント、過去の平均またはベースライン、統計、API 名、イベントが Insights イベントの開始か終了かなど、Insights insightDetails イベントの基礎となるトリガーに関する情報を含むブロックが含まれます。insightDetails ブロックには、以下の情報が含まれています。

  • state - Insights イベントが開始または終了の Insights イベントであるかどうか。ここには、Start または End が表示されます。

    使用可能: 1.07 以降

    オプション: False

  • eventSource- AWS 異常なアクティビティの原因となったサービスエンドポイント (など)。ec2.amazonaws.com

    使用可能: 1.07 以降

    オプション: False

  • eventName - Insights イベントの名前。通常、異常なアクティビティのソースであった API の名前。

    使用可能: 1.07 以降

    オプション: False

  • insightType - Insights イベントのタイプ。この値は ApiCallRateInsight または ApiErrorRateInsight となります。

    使用可能: 1.07 以降

    オプション: False

  • insightContext -

    Insights AWS CloudTrail イベントを生成するために分析されたイベントに関連するツール (ユーザーエージェントと呼ばれる)、IAM ユーザーとロール (ユーザー ID と呼ばれる)、エラーコードに関する情報。また、この要素には、Insights イベントの異常なアクティビティがベースラインまたは通常のアクティビティとどのように比較されるかを示す統計も含まれます。

    使用可能: 1.07 以降

    オプション: False

    • statistics - ベースラインに関するデータ、ベースライン期間中に測定されたアカウントによるサブジェクト API への呼び出しまたはエラーの一般的な平均率、Insights イベントの最初の 1 分間に Insights イベントをトリガーしたコールまたはエラーの平均率、および Insights イベントの継続時間 (分)、およびベースラインの継続時間 (分) 測定期間が含まれます。

      使用可能: 1.07 以降

      オプション: False

      • baseline - Insights イベントの開始前の 7 日間に計算された、アカウントの Insights イベントのサブジェクト API のベースライン期間中の 1 分あたりの API コールまたはエラーの平均数。 

        使用可能: 1.07 以降

        オプション: False

      • insight -

        Insights イベントの開始の場合、この値は、異常なアクティビティの開始時の 1 分あたりの API コールまたはエラーの平均数です。終了 Insights イベントの場合、この値は、異常なアクティビティの期間中の 1 分あたりの API コールまたはエラーの平均数です。

        使用可能: 1.07 以降

        オプション: False

      • insightDuration - Insights イベントの期間 (分) (サブジェクト API における異常なアクティビティの開始から終了までの期間) です。insightDuration は、開始および終了 Insights イベントの両方で発生します。

        使用可能: 1.07 以降

        オプション: False

      • baselineDuration - ベースライン期間 (分) (サブジェクト API で通常のアクティビティが測定される期間) です。baselineDuration は、最低でも Insights イベントの 7 日間 (10080 分) 前である必要があります。このフィールドは、Insights イベントの開始と終了の両方で発生します。baselineDuration 測定の終了時刻に、必ず Insights イベントが開始します。

        使用可能: 1.07 以降

        オプション: False

    • attributions - このブロックには、異常なアクティビティやベースラインアクティビティに関連するユーザーアイデンティティ、ユーザーエージェント、エラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で Insights イベント attributions ブロックでキャプチャされます。

      使用可能: 1.07 以降

      オプション: True

      • attribute - 属性タイプが含まれます。値は userIdentityArnuserAgent、または errorCode になります。

        • userIdentityArn-異常なアクティビティやベースライン期間中に API AWS 呼び出しやエラーの原因となったユーザーまたは IAM ロールの上位 5 件まで表示するブロック。CloudTrail レコードの内容userIdentity も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーアイデンティティ ARN の上位 5 つまでを、API コールAPI コールの最大数から最小数までの降順で表示するブロック。また、異常なアクティビティ期間中にユーザーアイデンティティによって行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーアイデンティティの上位 5 つの内の 1 つのARN。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーアイデンティティの異常なアクティビティ期間中の 1 分あたりの API コールまたはエラーの数。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールまたはエラーに最も貢献したユーザーアイデンティティ ARN の上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーアイデンティティによって行われた API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 通常のアクティビティ期間中に行われた API コールまたはエラーに貢献したユーザーアイデンティティの上位 5 つの内の 1 つのARN。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーアイデンティティの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

        • userAgent-異常なアクティビティとベースライン期間中に、ユーザー ID が API AWS 呼び出しの原因となったツールの上位 5 つまで表示するブロック。これらのツールには AWS Management Console、 AWS CLI、または SDK が含まれます。 AWS CloudTrail レコードの内容userAgent も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーエージェント ARN の上位 5 つまでを、API コールAPI コールの最大数から最小数までの降順で表示するブロック。また、異常なアクティビティ期間中にユーザーエージェントがログ記録された API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーエージェントの上位 5 つの内の 1 つ。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーエージェントの異常なアクティビティ期間中の 1 分あたりにログ記録された API コールまたはエラーの数。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールに最も貢献したユーザーエージェント の上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーエージェントによってログ記録された API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 通常のアクティビティ期間中にログ記録された API コールまたはエラーに貢献したユーザーエージェントの上位 5 つの内の 1 つ。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーエージェントの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

        • errorCode - 異常なアクティビティおよびベースライン期間中に API コールで発生したエラーコードの上位 5 つまでを、API コールの最大数から最小数の降順に表示するブロック。CloudTrail レコードの内容errorCode も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールで発生したエラーコードの上位 5 つまでを、関連づけられた API コールの最大数から最小数の降順に表示するブロック。また、異常なアクティビティ期間中に発生したエラーに対して行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - AccessDeniedException など、異常なアクティビティ期間中に行われた API コールで発生した、上位 5 つのエラーコードのうちの 1 つ。

              Insights イベントをトリガーしたコールでエラーが発生しなかった場合、この値は null です。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのエラーコードの異常なアクティビティ期間中の 1 分あたりの API コールの数。

              エラーコードの値が null の場合、insightブロックに他のエラーコードはなく、average 値はstatistics ブロックを Insights イベント全体のものと同じです。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールで発生したエラーコードの上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーエージェントによって行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - AccessDeniedException など、通常のアクティビティ期間中に行われた API コールで発生した、上位 5 つのエラーコードのうちの 1 つ。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのエラーコードの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

insightDetails ブロックの例

次は、アプリケーション Auto Scaling API CompleteLifecycleAction が異常な回数呼び出されたときに発生した Insights イベントの insightDetails ブロックの Insights イベントの例です。完全な Insights イベントの例については、「Insights イベント」を参照してください。

この例は、"state": "Start" により示される、開始 Insights イベントからのものです。Insights イベントに関連付けられた API を呼び出した上位ユーザーアイデンティティ、CodeDeployRole1CodeDeployRole2、および CodeDeployRole3 がこの Insights イベントの平均 API コールレート、CodeDeployRole1ロールのベースラインとともに attributions ブロックに表示されます。attributionsこのブロックには、ユーザーエージェントcodedeploy.amazonaws.com、つまり上位のユーザー ID AWS CodeDeploy がコンソールを使用して API 呼び出しを実行したことも示されています。

Insights イベントを生成するために分析されたイベントに関連付けられたエラーコードがないため (値は null )、エラーコードの insight 平均は、statistics ブロックに表示された、全体の Insights イベント全体の insight 平均と同じです。

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }