Visualizando eventos do CloudTrail Insights para trilhas com o console - AWS CloudTrail
Filtrar eventos do InsightsVisualizar detalhes de eventos do InsightsAproximar, inclinar e baixar o gráficoAlterar as configurações de intervalo de tempo do gráficoFazer download de eventos do Insights

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando eventos do CloudTrail Insights para trilhas com o console

Depois de ativar os eventos do CloudTrail Insights em uma trilha, ao CloudTrail detectar atividades incomuns API ou com taxa de erro, CloudTrail gera eventos do Insights e os exibe nas páginas do Painel e do Insights no AWS Management Console. É possível visualizar os eventos do Insights no console e solucionar problemas da atividade incomum. Os últimos 90 dias dos eventos dos Insights são mostrados no console. Você também pode baixar eventos do Insights usando o AWS CloudTrail console. Você pode pesquisar eventos de forma programática usando o AWS SDKs ou. AWS Command Line Interface Para obter mais informações sobre os eventos do CloudTrail Insights, consulte Registrar eventos do Insights este guia.

nota

Para registrar eventos do Insights sobre o volume de API chamadas, a trilha deve registrar os eventos write de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, a trilha deve registrar read ou write gerenciar eventos.

Depois que os eventos do Insights forem registrados em log, eles serão exibidos na página Insights por 90 dias. Não é possível excluir manualmente os eventos na página Insights. Como você deve criar uma trilha antes de habilitar o CloudTrail Insights, você pode visualizar os eventos do Insights que estão registrados na sua trilha enquanto você os armazena no bucket do S3 que está configurado nas configurações da trilha.

Monitore seus registros de trilhas e seja notificado quando ocorrerem atividades específicas de eventos do Insights com o Amazon CloudWatch Logs. Para ter mais informações, consulte Monitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs.

Para visualizar eventos do Insights

CloudTrail Os eventos do Insights devem estar habilitados em sua trilha para ver os eventos do Insights no console. Aguarde até 36 horas CloudTrail para entregar os primeiros eventos do Insights, se uma atividade incomum for detectada.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/casa/.

  2. No painel de navegação, escolha Dashboard (Painel) para ver os cinco últimos eventos do Insights ou Insights para ver todos os eventos do Insights registrados em log na conta nos últimos 90 dias.

    Na página Insights, você pode filtrar os eventos do Insights por critérios, incluindo API fonte do evento, nome do evento e ID do evento, e limitar os eventos exibidos aos que ocorrem dentro de um intervalo de tempo específico. Para obter mais informações sobre a filtragem de eventos do Insights, consulte Filtrar eventos do Insights.

Filtrar eventos do Insights

A exibição padrão de eventos em Insights mostra eventos em ordem cronológica inversa. Os eventos dos Insights mais recentes, classificados por hora de início do evento, estão no topo. A lista a seguir descreve os atributos disponíveis. Você pode filtrar os três primeiros atributos: Event name (Nome do evento), Fonte do evento, e ID do evento.

O filtro da lista de eventos do CloudTrail Insights.
Nome do evento

O nome do evento, normalmente aquele AWS API em que níveis incomuns de atividade foram registrados.

Tipo de insight

O tipo de evento do CloudTrail Insights, que é a taxa de API chamadas ou a taxa de API erro. O tipo APICall Rate Insight analisa as API chamadas de gerenciamento somente de gravação que são agregadas por minuto em relação a um volume básico de chamadas. API O tipo de insight da taxa de API erro analisa as API chamadas de gerenciamento que resultam em códigos de erro. O erro é exibido se a API chamada não for bem-sucedida.

Origem do evento.

O AWS serviço para o qual a solicitação foi feita, como iam.amazonaws.com ous3.amazonaws.com. Você pode percorrer uma lista de fontes de eventos depois que selecionar o filtro Origem do evento.

ID do evento

O ID de evento do Insights. IDsOs eventos não são mostrados na tabela da página do Insights, mas são um atributo no qual você pode filtrar os eventos do Insights. O evento IDs dos eventos de gerenciamento que são analisados para gerar eventos do Insights é diferente do evento IDs dos eventos do Insights.

Hora de início do evento

A hora de início do evento do Insights, medida como o primeiro minuto em que a atividade de API incomum foi registrada. Este atributo é mostrado na tabela do Insights, mas não é possível filtrar a hora de início do evento no console.

Linha de base

O padrão normal da atividade da taxa de API chamadas ou da taxa de erro. A linha de base é calculada ao longo dos sete dias anteriores ao início de um evento do Insights. Embora o valor da duração da linha de base — o período em que a atividade normal APIs é CloudTrail analisada — seja de aproximadamente sete dias, CloudTrail arredonda a duração da linha de base para um dia inteiro inteiro, de modo que a duração exata da linha de base possa variar.

Média do Insight

O número médio de chamadas para umAPI, ou o número médio de um erro específico que foi retornado nas chamadas para umAPI, que acionou o evento Insights. A média do CloudTrail Insights para o evento inicial é a taxa de ocorrências que acionaram o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento de término é a taxa de chamadas de API por minuto sobre a duração da atividade incomum, entre o evento do Insights de início e o evento do Insights de término.

Mudança de taxa

A diferença entre o valor de Linha de base e média do Insight, medido em porcentagem. Por exemplo, se a média da linha de base de um AccessDenied erro ocorrido é 1,0, e a média do Insight é 3,0, a variação da taxa é de 300%. Uma mudança de taxa para uma média do Insight que excede uma média de linha de base mostra uma seta para cima ao lado do valor. Se o evento Insights foi registrado porque a atividade está abaixo da média da linha de base, Mudança de taxa mostra uma seta para baixo ao lado da porcentagem.

Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultados estará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro de atributo diferente, o intervalo de tempo especificado será preservado.

As etapas a seguir descrevem como filtrar por atributo.

Para filtrar por atributo

  1. Para filtrar os resultados por um atributo, escolha um atributo de pesquisa do menu suspenso e digite ou escolha um valor na caixa Enter a lookup value (Inserir um valor de pesquisa).

  2. Para remover um filtro de atributo, selecione o X à direita da caixa de filtros de atributos.

As etapas a seguir descrevem como filtrar por data e hora de início e de término.

Para filtrar por data e hora de início e de término

  1. Para limitar o período dos eventos que você deseja ver, escolha um período na barra de períodos na parte superior da tabela. Os intervalos de tempo predefinidos incluem 30 minutos, 1 hora, 3 horas ou 12 horas. Para especificar um período personalizado, escolha Custom (Personalizado).

  2. Escolha uma das guias a seguir.

    • Absolute (Absoluto): permite-lhe escolher um horário específico. Prossiga para a próxima etapa.

    • Relative to selected event (Relativo ao evento selecionado): selecionado por padrão. Permite escolher um período relativo à hora de início de um evento do Insights. Prossiga para a etapa 4.

  3. Para definir um intervalo Absolute (Absoluto), faça o seguinte.

    1. Na guia Absolute (Absoluto), escolha o dia em que você deseja que o intervalo de tempo comece. Insira uma hora de início no dia selecionado. Para inserir uma data manualmente, digite a data no formato yyyy/mm/dd. As horas de início e término usam um relógio de 24 horas e os valores devem estar no formato hh:mm:ss. Por exemplo, para indicar uma hora de início de 18h30, digite 18:30:00.

    2. Escolha uma data de término para o intervalo no calendário ou especifique uma data e hora finais abaixo do calendário. Selecione Apply (Aplicar).

  4. Para definir um período Relative to selected event (Relativo ao evento selecionado), faça o seguinte.

    1. Escolha um período predefinido relativo à hora de início dos eventos do Insights. Os valores predefinidos estão disponíveis em minutos, horas, dias ou semanas. O período relativo máximo é de 12 semanas.

    2. Se necessário, personalize o valor predefinido nas caixas abaixo das predefinições. Escolha Clear (Limpar) para redefinir as alterações, se necessário. Quando definir a hora relativa que você deseja, escolha Apply (Aplicar).

  5. Em To (Até), escolha o dia e especifique a hora que deseja ser o fim do intervalo de tempo. Selecione Apply (Aplicar).

  6. Para remover um filtro de período, selecione o ícone de calendário à direita da caixa Time range (Período) e escolha Remove (Remover).

Visualizar detalhes de eventos do Insights

  1. Escolha um evento do Insights na lista de resultados para mostrar os detalhes dele. A página de detalhes de um evento do Insights mostra um gráfico da linha do tempo da atividade incomum.

    Uma página de detalhes do CloudTrail Insights mostrando API atividades incomuns.

  2. Passe o mouse sobre as faixas destacadas para mostrar a hora inicial e a duração de cada evento do Insights no gráfico.

    Estatísticas de evento do Insights mostradas após passar o mouse sobre um evento do Insights.

    As informações a seguir são mostradas na área do gráfico Informações adicionais:

    • Insight type (Tipo de insight). Isso pode ser taxa de API chamadas ou taxa de API erro.

    • Acionador. Este é um link para a guia Cloudtrail events (Eventos do Cloudtrail), que lista os eventos de gerenciamento que foram analisados para determinar se ocorreu atividade incomum.

    • APIchamadas por minuto

      • Média da linha de base - A taxa típica de ocorrências por minuto API na qual o evento do Insights foi registrado, medida aproximadamente nos sete dias anteriores, em uma região específica da sua conta.

      • Média do Insights - A taxa de ocorrências por minuto API que acionou o evento do Insights. A média do CloudTrail Insights para o evento inicial é a taxa de chamadas ou erros por minuto no evento API que acionou o evento do Insights. Normalmente, esse é o primeiro minuto de atividade incomum. A média do Insights para o evento final é a taxa de API chamadas ou erros por minuto durante a duração da atividade incomum, entre o evento inicial do Insights e o evento final do Insights.

    • Event source (Fonte do evento). O endpoint do AWS serviço no qual o número incomum de API chamadas ou erros foi registrado. Na imagem anterior, a origem éec2.amazonaws.com, que é o endpoint do serviço da Amazon. EC2

    • Evento IDs.

      • ID do evento de início - O ID do evento do Insights que foi registrado em log no início da atividade incomum.

      • ID do evento do fim - O ID do evento Insights que foi registrado no final de uma atividade incomum.

      • ID de evento compartilhado - Em eventos do Insights, o ID do evento compartilhado é gerado pelo CloudTrail Insights para identificar de forma exclusiva um par inicial e final de eventos do Insights. GUID ID do evento compartilhado é comum entre o evento do Insights de início e de término e ajuda a criar uma correlação entre ambos os eventos para identificar exclusivamente a atividade incomum.

  3. Escolha a guia Atribuições para ver informações sobre identidades de usuários, agentes de usuário e sobre eventos do API Call Rate Insights, códigos de erro correlacionados a atividades incomuns e básicas. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são mostrados nas tabelas da guia Attributions (Atribuições), ordenadas por uma média da contagem de atividade, em ordem decrescente da mais alta para a mais baixa.

  4. Na guia CloudTrail Eventos, visualize os eventos relacionados que CloudTrail foram analisados para determinar a ocorrência de uma atividade incomum. Por padrão, um filtro já está aplicado para o nome do evento do Insights, que também é o nome do relacionadoAPI. A guia de CloudTrail eventos mostra eventos CloudTrail de gerenciamento relacionados ao assunto API que ocorreram entre a hora de início (menos um minuto) e a hora de término (mais um minuto) do evento Insights.

    Conforme você seleciona outros eventos do Insights no gráfico, os eventos mostrados na tabela de CloudTrail eventos mudam. Esses eventos ajudam você a realizar uma análise mais profunda para determinar a causa provável de um evento do Insights e os motivos de uma API atividade incomum.

    Para mostrar todos os CloudTrail eventos que foram registrados durante a duração do evento do Insights, e não apenas aqueles relacionadosAPI, desative o filtro.

  5. Escolha a guia de registro de eventos do Insights para visualizar os eventos de início e término do Insights em JSON formato.

  6. No painel da esquerda da página de detalhes, selecionar a Event source (Fonte do evento) vinculada retorna à página do Insights filtrada por essa fonte do evento.

Aproximar, inclinar e baixar o gráfico

É possível aplicar zoom, panorâmica e reiniciar os eixos do gráfico na página de detalhes do evento do Insights usando uma barra de ferramentas no canto direito superior.

Baixe a barra de ferramentas de comando comoPNG, amplie, amplie, diminua o zoom e redefina os eixos.

Da esquerda para a direita, os botões de comando na barra de ferramentas do gráfico fazem o seguinte:

  • Baixe o gráfico como um PNG - Baixe a imagem do gráfico mostrada na página de detalhes e salve-a no PNG formato.

  • Zoom – arraste para selecionar uma área no gráfico que você deseja ampliar e ver com mais detalhes.

  • Pan (Panorâmica) – desloque o gráfico para ver datas ou horas adjacentes.

  • Reset axes (Redefinir eixos) – altere os eixos do gráfico de volta aos originais, limpando as configurações de zoom e panorâmica.

Alterar as configurações de intervalo de tempo do gráfico

É possível alterar o intervalo de tempo (a duração selecionada dos eventos mostrada no eixo x) que é exibido no gráfico escolhendo uma configuração no canto superior direito do gráfico.

Controle de intervalo de tempo para um evento do Insights.

O intervalo de tempo padrão mostrado no gráfico depende da duração do evento do Insights selecionado.

Duração do evento do Insights Intervalo de tempo padrão

Menos de 4 horas

3h (três horas)

Entre 4 e 12 horas

12h(12 horas)

Entre 12 e 24 horas

1d (um dia)

Entre 24 e 72 horas

3d (três dias)

Mais de 72 horas

1w (uma semana)

Você pode escolher predefinições de 5 minutos, 30 minutos, 1 hora, 3 horas, 12 horas ou Custom (Personalizadas). A imagem a seguir mostra períodos de Relative to selected event (Relativo ao evento selecionado) que podem ser escolhidos nas configurações Custom (Personalizadas). Períodos relativos são períodos aproximados do início e do término do evento do Insights selecionado exibido em uma página de detalhes do evento do Insights.

Configuração personalizada do intervalo de tempo do gráfico do Insights, período Relative (Relativo)

Para personalizar uma predefinição selecionada, especifique um número e uma unidade de tempo nas caixas abaixo das predefinições.

Para especificar um intervalo de tempo e uma data exatos, selecione a guia Absolute (Absoluto). Se você definir um intervalo absoluto de data e hora, as horas inicial e final serão necessárias. Para obter informações sobre como definir a hora, consulte Filtrar eventos do Insights neste tópico.

Configuração personalizada do intervalo de tempo do gráfico do Insights, período Absolute (Absoluto).

Fazer download de eventos do Insights

Você pode baixar o histórico de eventos gravado do Insights como um arquivo CSV ou JSON formato. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.

nota

CloudTrail arquivos de histórico de eventos são arquivos de dados que contêm informações (como nomes de recursos) que podem ser configuradas por usuários individuais. Alguns dados podem ser potencialmente interpretados como comandos em programas usados para ler e analisar esses dados (CSVinjeção). Por exemplo, quando CloudTrail os eventos são exportados CSV e importados para um programa de planilhas, esse programa pode avisá-lo sobre questões de segurança. Como melhor prática de segurança, desative links ou macros de arquivos do histórico de eventos obtidos por download.

  1. Especifique o filtro e o intervalo de tempo para os eventos dos quais você deseja fazer download. Por exemplo, você pode especificar o nome do evento, StartInstances, e um período relativo aos últimos três dias de atividade.

  2. Escolha Baixar eventos e, em seguida, escolha Baixar CSV ou Baixar JSON. Você será solicitado a escolher um local para salvar o arquivo.

    nota

    O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos, antes de iniciar o processo de download, use um filtro específico ou um período mais curto para restringir os resultados.

  3. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.

  4. Para cancelar o download, escolha Cancel download (Cancelar download). Se você cancelar um download antes que ele termine, um JSON arquivo CSV ou em seu computador local poderá conter somente parte dos seus eventos.