CloudTrail 인사이트 insightDetails 요소 - AWS CloudTrail
insightDetails 블록 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 인사이트 insightDetails 요소

AWS CloudTrail Insights 이벤트 레코드에는 JSON 구조의 다른 CloudTrail 이벤트와 다른 필드 (페이로드라고도 함) 가 포함됩니다. CloudTrail Insights 이벤트 레코드에는 이벤트 소스, 사용자 ID, 사용자 에이전트, 과거 평균 또는 기준, 통계, API 이름, 이벤트가 Insights 이벤트의 시작인지 끝인지와 같은 Insights 이벤트의 기본 트리거에 대한 정보가 들어 있는 insightDetails 블록이 포함됩니다. insightDetails 블록에는 다음 정보가 포함됩니다.

  • state - 이벤트가 시작 또는 종료 Insights 이벤트인지 여부입니다. Start 또는 End 값을 가질 수 있습니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • eventSource- 비정상적인 활동의 소스였던 AWS 서비스 엔드포인트 (예: ec2.amazonaws.com

    다음 버전 이후: 1.07

    선택 사항: False

  • eventName- Insights 이벤트의 이름. 일반적으로 비정상적인 활동의 API 소스가 된 이벤트의 이름입니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • insightType - Insights 이벤트 유형입니다. 이 값은 ApiCallRateInsight, ApiErrorRateInsight 또는 모두일 수 있습니다.

    다음 버전 이후: 1.07

    선택 사항: False

  • insightContext -

    AWS 도구 (사용자 에이전트라고 함), IAM 사용자 및 역할 (사용자 ID라고 함), Insights 이벤트를 생성하기 위해 CloudTrail 분석된 이벤트와 관련된 오류 코드에 대한 정보. 이 요소에는 Insights 이벤트의 비정상적인 활동이 기준 또는 정상, 활동과 비교되는 방식을 보여 주는 통계도 포함됩니다.

    다음 버전 이후: 1.07

    선택 사항: False

    • statistics- 기준 기간 동안 측정한 기준 또는 API 계정별 평균 통화 또는 오류 발생률, Insights 이벤트의 첫 1분 동안 Insights 이벤트를 트리거한 평균 통화 또는 오류 비율, Insights 이벤트의 지속 시간 (분), 기준 측정 기간의 지속 시간 (분) 에 대한 데이터를 포함합니다.

      다음 버전 이후: 1.07

      선택 사항: False

      • baseline- Insights 이벤트 주제에 API 대한 기준 기간 동안의 분당 평균 API 통화 또는 오류 수로, Insights 이벤트 시작 전 7일 동안 계산한 값입니다.

        다음 버전 이후: 1.07

        선택 사항: False

      • insight -

        시작 Insights 이벤트의 경우 이 값은 비정상적인 활동이 시작된 동안의 분당 평균 API 통화 또는 오류 수입니다. 종료된 Insights 이벤트의 경우 이 값은 비정상적인 활동이 발생한 기간 동안의 분당 평균 API 통화 또는 오류 수입니다.

        다음 버전 이후: 1.07

        선택 사항: False

      • insightDuration- Insights 이벤트의 지속 시간 (분 단위) (주제에 대한 비정상적 활동의 시작부터 종료까지의 기간API). insightDurationInsights 이벤트의 시작과 종료 모두에서 발생합니다.

        다음 버전 이후: 1.07

        선택 사항: False

      • baselineDuration- 기준 기간 (피험자의 정상 활동이 측정되는 기간) 의 기간 (분 단위API) baselineDurationInsights 이벤트가 발생하기 최소 7일 (1,080분) 전이어야 합니다. 이 필드는 시작 및 종료 Insights 이벤트 모두에서 발생합니다. baselineDuration 측정 종료 시간은 항상 Insights 이벤트의 시작입니다.

        다음 버전 이후: 1.07

        선택 사항: False

    • attributions - 이 블록에는 비정상적인 기준 활동과 관련된 사용자 자격 증명, 사용자 에이전트 및 오류 코드에 대한 정보가 포함됩니다. 최대 5개의 사용자 자격 증명, 5개의 사용자 에이전트 및 5개의 오류 코드가 Insights 이벤트 attributions 블록에 캡처되며, 활동 수의 평균을 기준으로 가장 높은 것에서 가장 낮은 것까지 내림차순으로 정렬됩니다.

      다음 버전 이후: 1.07

      선택 사항: True

      • attribute - 속성 유형을 포함합니다. 값은 userIdentityArn, userAgent 또는 errorCode일 수 있습니다.

        • userIdentityArn- 비정상적인 활동 및 기준 기간 동안 API 통화 또는 오류에 기여한 AWS 사용자 또는 IAM 역할을 상위 5명까지 표시하는 블록입니다. CloudTrail 레코드 내용userIdentity도 참조하세요.

          다음 버전 이후: 1.07

          선택 사항: False

          • insight- 비정상적 활동 기간 동안 걸려온 통화에 관여한 상위 5명의 사용자 ID를 ARNs 가장 많은 API 통화 수에서 가장 작은 API 통화까지 내림차순으로 표시하는 블록입니다. 또한 비정상적 활동 기간 동안 사용자 ID로 API 걸려온 평균 전화 횟수도 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 비정상적 활동 기간 동안 걸려온 API 통화에 기여한 상위 5개 사용자 ID ARN 중 하나입니다.

              다음 버전 이후: 1.07

              선택 사항: False

            • average- 해당 value 필드의 사용자 ID에 대한 비정상적 활동 기간 동안의 분당 API 통화 또는 오류 수.

              다음 버전 이후: 1.07

              선택 사항: False

          • baseline- 정상 활동 기간 동안 API 통화 또는 오류에 가장 많이 기여한 사용자 ID를 ARNs 상위 5명까지 표시하는 블록입니다. 또한 정상 활동 기간 동안 사용자 ID로 기록된 평균 API 통화 또는 오류 수를 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 정상 활동 기간 동안 API 통화 또는 오류의 원인이 된 상위 5개 사용자 ID 중 하나입니다. ARN

              다음 버전 이후: 1.07

              선택 사항: False

            • average- 해당 필드의 사용자 ID에 대한 Insights 활동 시작 전 7일 동안의 분당 API 통화 또는 오류의 과거 평균입니다. value

              다음 버전 이후: 1.07

              선택 사항: False

        • userAgent- 비정상적인 활동 및 기준 기간 동안 사용자 ID가 API 통화에 기여한 상위 5개 AWS 도구를 표시하는 블록입니다. 이러한 도구에는 AWS Management Console AWS CLI, 또는 가 포함됩니다. AWS SDKs CloudTrail 레코드 내용userAgent도 참조하세요.

          다음 버전 이후: 1.07

          선택 사항: False

          • insight- 비정상적 활동 기간 동안 걸려온 통화에 관여한 사용자 에이전트 중 가장 많은 API 통화에서 가장 적은 API 통화의 내림차순으로 최대 5명의 사용자 에이전트를 표시하는 블록입니다. 또한 비정상적 활동 기간 동안 사용자 에이전트가 기록한 평균 API 통화 또는 오류 수를 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 비정상적 활동 기간 동안 걸려온 API 통화에 기여한 상위 5명의 사용자 에이전트 중 하나입니다.

              다음 버전 이후: 1.07

              선택 사항: False

            • average- value 현장에서 사용자 에이전트가 비정상적으로 활동한 기간 동안 분당 기록된 API 통화 또는 오류 수입니다.

              다음 버전 이후: 1.07

              선택 사항: False

          • baseline- 정상 활동 기간 동안 걸려온 API 통화에 가장 많이 기여한 사용자 에이전트를 상위 5명까지 표시하는 블록입니다. 또한 정상 활동 기간 동안 사용자 에이전트가 기록한 평균 API 통화 또는 오류 수를 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 정상 활동 기간 동안 기록된 API 통화 또는 오류에 기여한 상위 5개 사용자 에이전트 중 하나입니다.

              다음 버전 이후: 1.07

              선택 사항: False

            • average- 현장의 사용자 에이전트에 대한 Insights 활동 시작 전 7일 동안의 분당 API 통화 또는 오류의 과거 평균입니다. value

              다음 버전 이후: 1.07

              선택 사항: False

        • errorCode- 비정상적인 활동 및 기준 기간 동안 통화에서 발생한 상위 5개의 오류 코드를 가장 많은 API 통화 수에서 가장 작은 API 통화 수까지 내림차순으로 표시하는 블록입니다. CloudTrail 레코드 내용errorCode도 참조하세요.

          다음 버전 이후: 1.07

          선택 사항: False

          • insight- 비정상적 활동 기간 동안 걸려온 통화에서 발생한 오류 코드를 관련 API API 통화 수가 가장 많은 것부터 가장 작은 것까지 내림차순으로 표시하는 블록입니다. 또한 비정상적인 활동 기간 동안 오류가 발생한 평균 API 통화 수를 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 다음과 같이 비정상적 활동 기간 동안 걸려온 API 통화에서 발생한 상위 5개 오류 코드 중 하나입니다AccessDeniedException.

              Insights 이벤트를 트리거한 호출 중에서 오류가 발생하지 않은 경우 이 값은 null입니다.

              다음 버전 이후: 1.07

              선택 사항: False

            • average- value 필드의 오류 코드에 대한 비정상적 활동 기간 동안의 분당 API 통화 수

              오류 코드 값이 null이고 insight 블록에 다른 오류 코드가 없는 경우 average 값은 전체 Insights 이벤트에 대한 statistics 블록의 값과 동일합니다.

              다음 버전 이후: 1.07

              선택 사항: False

          • baseline- 정상 활동 기간 동안 걸려온 API 통화에서 발생한 오류 코드를 상위 5개까지 표시하는 블록입니다. 또한 정상 활동 기간 동안 사용자 에이전트가 걸은 평균 API 통화 횟수도 보여줍니다.

            다음 버전 이후: 1.07

            선택 사항: False

            • value- 일반적인 활동 기간 동안 걸려온 API 통화에서 발생한 상위 5개 오류 코드 중 하나입니다 (예:AccessDeniedException.

              다음 버전 이후: 1.07

              선택 사항: False

            • average- 해당 value 필드의 오류 코드에 대한 Insights 활동 시작 시간 이전 7일 동안의 분당 API 통화 또는 오류의 과거 평균입니다.

              다음 버전 이후: 1.07

              선택 사항: False

insightDetails 블록 예

다음은 Application Auto Scaling이 비정상적으로 여러 번 API CompleteLifecycleAction 호출되었을 때 발생한 Insights 이벤트에 대한 Insights 이벤트 insightDetails 블록의 예입니다. 전체 Insights 이벤트의 예는 인사이트 이벤트 단원을 참조하세요.

이 예는 "state": "Start"로 표시된 시작 Insights 이벤트에서 가져온 것입니다. Insights APIs 이벤트와 관련된 상위 사용자 ID,, CodeDeployRole1 CodeDeployRole2CodeDeployRole3, 가 attributions 블록에 해당 Insights 이벤트에 대한 평균 API 호출 속도, 역할 기준선과 함께 표시됩니다. CodeDeployRole1 또한 attributions 블록에는 사용자 에이전트가 다음과 같이 표시됩니다. 즉codedeploy.amazonaws.com, 상위 사용자 ID가 AWS CodeDeploy 콘솔을 사용하여 통화를 실행했다는 의미입니다. API

Insights 이벤트를 생성하기 위해 분석된 이벤트와 관련된 오류 코드가 없기 때문에(값이 null임) 오류 코드에 대한 insight 평균은 statistics 블록에 표시된 전체 Insights 이벤트에 대한 전체 insight 평균과 동일합니다.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }