As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visualizando eventos do CloudTrail Insights para trilhas com o AWS CLI
Você pode pesquisar os eventos do CloudTrail Insights dos últimos 90 dias executando o aws cloudtrail lookup-events
comando. O comando lookup-events
apresenta as seguintes opções:
-
--end-time
-
--event-category
-
--max-results
-
--start-time
-
--lookup-attributes
-
--next-token
-
--generate-cli-skeleton
-
--cli-input-json
Para obter informações gerais sobre como usar o AWS Command Line Interface, consulte o Guia AWS Command Line Interface do usuário.
Sumário
- Pré-requisitos
- Receber ajuda da linha de comando
- Pesquisar eventos do Insights
- Especificar o número de eventos do Insights que devem ser retornados
- Pesquisar eventos do Insights por intervalo de tempo
- Pesquisar eventos do Insights por atributo
- Especificar a próxima página de resultados
- Obtendo JSON entrada de um arquivo
- Pesquisar campos de resultados
Pré-requisitos
-
Para executar AWS CLI comandos, você deve instalar AWS CLI o. Para obter mais informações, consulte Conceitos básicos do AWS CLI.
-
Certifique-se de que sua AWS CLI versão seja maior que 1.6.6. Para verificar a CLI versão, execute aws --version na linha de comando.
-
Para definir a conta, a região e o formato de saída padrão para uma AWS CLI sessão, use o aws configure comando. Para obter mais informações, consulte Configurar a interface de linha de comando da AWS.
-
Para registrar eventos do Insights sobre o volume de API chamadas, a trilha deve registrar os eventos
write
de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, a trilha deve registrarread
ouwrite
gerenciar eventos.
nota
Os CloudTrail AWS CLI comandos diferenciam maiúsculas de minúsculas.
Receber ajuda da linha de comando
Para ver a ajuda da linha de comando para lookup-events
, digite o comando a seguir.
aws cloudtrail lookup-events help
Pesquisar eventos do Insights
Para ver os dez eventos do Insights mais recentes, digite o comando a seguir.
aws cloudtrail lookup-events --event-category insight
Um evento retornado tem aparência semelhante ao seguinte exemplo:
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" } ] }
Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte Pesquisar campos de resultados neste tópico. Para ver uma explicação sobre os eventos do Insights, consulte CloudTrail conteúdo do registro.
Especificar o número de eventos do Insights que devem ser retornados
Para especificar o número de eventos que devem ser retornados, digite o comando a seguir.
aws cloudtrail lookup-events --event-category insight --max-results
<integer>
O valor padrão para <integer>
, se não for especificado, é 10. Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um resultado.
aws cloudtrail lookup-events --event-category insight --max-results 1
Pesquisar eventos do Insights por intervalo de tempo
Os eventos do Insights dos últimos 90 dias estão disponíveis para pesquisa. Para especificar um intervalo de tempo, digite o comando a seguir.
aws cloudtrail lookup-events --event-category insight --start-time
<timestamp>
--end-time<timestamp>
--start-time
especifica, emUTC, que somente os eventos do Insights que ocorrem após ou no horário especificado são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.<timestamp>
--end-time
especifica, emUTC, que somente os eventos do Insights que ocorrem antes ou no horário especificado sejam retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.<timestamp>
O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.
Todos os carimbos de data/hora são mostrados em. UTC
Pesquisar eventos do Insights por atributo
Para filtrar por um atributo, digite o comando a seguir.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=
<attribute>
,AttributeValue=<string>
É possível especificar somente um par de chave-valor do atributo para cada comando lookup-events. Veja a seguir os valores de evento do Insights válidos para AttributeKey
. Os nomes dos valores diferenciam maiúsculas de minúsculas.
-
EventId
-
EventName
-
EventSource
O tamanho máximo para o AttributeValue
é de 2.000 caracteres. Os caracteres a seguir (_
'', '
', ',
', '\\n
') contam como dois caracteres até o limite de 2.000 caracteres.
Exemplos de consulta de atributo
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventName
é PutRule
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventId
é b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
O exemplo de comando a seguir retorna os eventos do Insights nos quais o valor de EventSource
é iam.amazonaws.com
.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Especificar a próxima página de resultados
Para obter a próxima página de resultados de um comando lookup-events
, digite o comando a seguir.
aws cloudtrail lookup-events --event-category insight
<same parameters as previous command>
--next-token=<token>
Neste comando, o valor para <token>
é obtido do primeiro campo da saída do comando anterior.
Quando você usa --next-token
em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, suponha que você tenha executado o comando a seguir.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Para obter a próxima página de resultados, seu próximo comando pareceria com o indicado a seguir.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Obtendo JSON entrada de um arquivo
O AWS CLI para alguns AWS serviços tem dois parâmetros --generate-cli-skeleton
e--cli-input-json
, que você pode usar para gerar um JSON modelo, que você pode modificar e usar como entrada para o --cli-input-json
parâmetro. Esta seção descreve como usar esses parâmetros com aws cloudtrail lookup-events
. Para obter mais informações, consulte AWS CLI esqueletos e arquivos de entrada.
Para pesquisar eventos do Insights obtendo JSON informações de um arquivo
-
Crie um modelo de entrada para uso com
lookup-events
redirecionando os resultados--generate-cli-skeleton
para um arquivo, como no exemplo a seguir.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
O arquivo de modelo gerado (nesse caso, LookupEvents .txt) tem a seguinte aparência.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" }
-
Use um editor de texto para modificá-los JSON conforme necessário. A JSON entrada deve conter somente valores especificados.
Importante
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.
O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 }
-
Para usar o arquivo editado como entrada, use a sintaxe
--cli-input-json file://
<filename>
, como no exemplo a seguir.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
nota
É possível usar outros argumentos na mesma linha de comando como --cli-input-json
.
Pesquisar campos de resultados
- Eventos
-
Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foram especificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cada entrada contém informações sobre a solicitação de pesquisa e inclui uma representação em cadeia de caracteres do CloudTrail evento que foi recuperado.
As seguintes entradas descrevem os campos de cada evento de pesquisa.
- CloudTrailEvent
-
Uma JSON string que contém uma representação de objeto do evento retornado. Para obter informações sobre cada um dos elementos retornados, consulte Conteúdo do corpo do registro.
- EventId
-
Uma string que contém o GUID do evento retornado.
- EventName
-
Uma string que contém o nome do evento retornado.
- EventSource
-
O AWS serviço para o qual a solicitação foi feita.
- EventTime
-
A data e a hora, em formato de UNIX hora, do evento.
- Recursos
-
Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especifica um tipo e um nome do recurso.
- ResourceName
-
Uma string que contém o nome do recurso referenciado pelo evento.
- ResourceType
-
Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso não pode ser determinado, null é retornado.
- Username
-
Uma string que contém o nome do usuário da conta do evento retornado.
- NextToken
-
Uma string para obter a próxima página de resultados de um comando
lookup-events
anterior. Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entradaNextToken
aparecer nos resultados, significa que não há mais resultados a serem retornados.
Para obter mais informações sobre os eventos do CloudTrail Insights, consulte Registrar eventos do Insights este guia.