本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 CloudTrail 事件
中的事件 CloudTrail 是 AWS 账户中活动的记录。此活动可以是 IAM 身份或可由 CloudTrail监控的服务采取的操作。 CloudTrail 事件提供通过 AWS Management Console、 AWS SDK、命令行工具和其他工具进行的 API 和非 API 账户活动的历史记录。 AWS 服务
CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序出现。
有三种类型 CloudTrail 的事件:
默认情况下,跟踪记录和事件数据存储将记录管理事件,但不记录数据事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 Records
数组中。
有关 CloudTrail 事件记录字段的信息,请参见CloudTrail 录制内容。
管理事件
管理事件提供有关对您 AWS 账户中的资源执行的管理操作的信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如, AWS Identity and Access Management
AttachRolePolicy
API 操作)。 -
注册设备(例如,Amazon EC2
CreateDefaultVpc
API 操作)。 -
配置传送数据的规则(例如,Amazon EC2
CreateSubnet
API 操作)。 -
设置日志记录(例如, AWS CloudTrail
CreateTrail
API 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin
事件。有关更多信息,请参阅 捕获的非 API 事件 CloudTrail。
默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅记录管理事件。
以下示例显示了管理事件的单个日志记录。在这种情况下,名为的 IAM 用户Mary_Major
运行aws cloudtrail start-logging命令调用 CloudTrail StartLogging
操作,在名为的跟踪上启动日志记录过程myTrail
。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在该示例中,名为 Paulo_Santos
的 IAM 用户运行 aws cloudtrail start-event-data-store-ingestion 命令调用 StartEventDataStoreIngestion
操作,开始对事件数据存储进行提取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。
示例数据事件包括:
-
针@@ 对 S3 存储桶中对象的 Amazon S3 对象级
PutObject
API 活动(例如GetObject
DeleteObject
、和 API 操作)。 -
AWS Lambda 函数执行活动(
Invoke
API)。 -
CloudTrail
PutAuditEvents
用于记录外部事件的 L CloudTrail ake 频道上的活动 AWS。 -
针对主题的 Amazon SNS
Publish
和PublishBatch
API 操作。
下表显示可用于跟踪和事件数据存储的数据事件类型。数据事件类型(控制台)列显示控制台中的相应选择。resources.typ resources.type
e 值列显示您将使用或 API 指定的值,以便在跟踪或事件数据存储中包含该 AWS CLI 类型的数据事件。 CloudTrail
对于跟踪,您可以使用基本或高级事件选择器在通用存储桶、Lambda 函数和 DynamoDB 表(显示在表的前三行)中记录 Amazon S3 对象的数据事件。您只能使用高级事件选择器来记录其余行中显示的数据事件类型。
对于事件数据存储,只能使用高级事件选择器来包含数据事件。
AWS 服务 | 描述 | 数据事件类型(控制台) | resources.type 值 |
---|---|---|---|
Amazon DynamoDB | 表上的 Amazon DynamoDB 项目级 API 活动(例如 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
AWS Lambda | AWS Lambda 函数执行活动( |
Lambda | AWS::Lambda::Function |
Amazon S3 | 针对通用@@ 存储桶中的对象的 Amazon S3 对象级 |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig 用于配置操作的 API 活动,例如对 |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
Amazon Bedrock | 代理别名上的 Amazon Bedrock API 活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
Amazon Bedrock | 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront 在 a KeyValueStore上的 API 活动 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map 命名空间上的 API 活动。 | AWS Cloud Map 命名空间 |
|
AWS Cloud Map | AWS Cloud Map 服务上的 API 活动。 | AWS Cloud Map service |
|
AWS CloudTrail | CloudTrail |
CloudTrail 频道 | AWS::CloudTrail::Channel |
Amazon CloudWatch | CloudWatch 公制 | AWS::CloudWatch::Metric |
|
Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | 个人资料上的亚马逊 CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | 针对 Amazon Cognito 身份池的 Amazon Cognito API 活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
Amazon DynamoDB | 针对流的 Amazon DynamoDB API 活动 |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) 直接 API,例如 Amazon EBS 快照上的 |
Amazon EBS 直接 API | AWS::EC2::Snapshot |
Amazon EMR | 针对预写日志工作空间的 Amazon EMR API 活动。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
Amazon FinSpace | 针对环境的 Amazon FinSpace API 活动 |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue 在 Lake Formation 创建的表格上的 API 活动。 |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | 探测器的亚马逊 GuardDuty API 活动。 |
GuardDuty 探测器 | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging 数据存储上的 API 活动。 |
MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
AWS IoT | 物联网证书 | AWS::IoT::Certificate |
|
AWS IoT | AWS IoT API 在事物上的活动。 |
物联网的东西 | AWS::IoT::Thing |
AWS IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录被拒绝访问的事件。 |
物联网 Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | 部署时来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录被拒绝访问的事件。 |
物联网 Greengrass 部署 | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | 资产上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
AWS IoT SiteWise | 时间序列上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
AWS IoT TwinMaker | 实体上的物联网 TwinMaker API 活动。 |
物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | 工作空间上的物联网 TwinMaker API 活动。 |
物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
Amazon Kendra Intelligent Ranking | 针对重新评分执行计划的 Amazon Kendra Intelligent Ranking API 活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 Amazon Keyspaces API 活动。 | 卡桑德拉桌 | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | 直播中的 Kinesis Data Streams API 活动。 | Kinesis 直播 | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Kinesis Data Streams 针对直播使用者的 API 活动。 | Kinesis 直播消费者 | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Kinesis Video Streams 视频流上的 API 活动,例如GetMedia 对和的调用。PutMedia |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
Amazon Machine Learning | 机器学习模型上的 Machine Learning API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | 针对 Ethereum 节点的 Amazon Managed Blockchain JSON-RPC 调用,如 |
托管区块链 | AWS::ManagedBlockchain::Node |
Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
AWS Private CA | AWS Private CA 活动目录 API 活动的连接器。 |
AWS Private CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA 用于 SCEP API 活动的连接器。 |
AWS Private CA 适用于 SCEP 的连接器 | AWS::PCAConnectorSCEP::Connector |
亚马逊 Q 应用程序 | 亚马逊 Q 应用程序上的数据 API 活动。 |
亚马逊 Q 应用程序 | AWS::QApps:QApp |
Amazon Q Business | 应用程序上的 Amazon Q Business API 活动。 |
Amazon Q Business 应用程序 | AWS::QBusiness::Application |
Amazon Q Business | 数据来源上的 Amazon Q Business API 活动。 |
Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
Amazon Q Business | 索引上的 Amazon Q Business API 活动。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
Amazon Q Business | Web 体验上的 Amazon Q Business API 活动。 |
Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
Amazon RDS | 数据库集群上的 Amazon RDS API 活动。 |
RDS 数据 API-数据库集群 | AWS::RDS::DBCluster |
Amazon S3 | 接入点上的 Amazon S3 API 活动。 |
S3 接入点 | AWS::S3::AccessPoint |
Amazon S3 | Amazon S3 对象 Lambda 接入点 API 活动,例如对和的调用。 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 on Outposts | Amazon S3 on Outposts 对象级别 API 活动。 |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | 终端节点上的亚马逊 SageMaker InvokeEndpointWithResponseStream 活动。 |
SageMaker 端点 | AWS::SageMaker::Endpoint |
Amazon SageMaker | 特色商店中的亚马逊 SageMaker API 活动。 |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | Amazon SageMaker API 在实验试用组件上的活动。 |
SageMaker 指标实验试验组件 | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | 针对平台端点的 Amazon SNS |
SNS 平台端点 | AWS::SNS::PlatformEndpoint |
Amazon SNS | 针对主题的 Amazon SNS |
SNS 主题 | AWS::SNS::Topic |
Amazon SQS | 消息上的 Amazon SQS API 活动。 |
SQS | AWS::SQS::Queue |
AWS Step Functions | Step Functions 状态机 | AWS::StepFunctions::StateMachine |
|
AWS Supply Chain | AWS Supply Chain 实例上的 API 活动。 |
供应链 | AWS::SCN::Instance |
Amazon SWF | SWF 域名 | AWS::SWF::Domain |
|
AWS Systems Manager | 控制通道上的 Systems Manager API 活动。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
Amazon Timestream | 针对数据库的 Amazon Timestream Query API 活动。 |
Timestream 数据库 | AWS::Timestream::Database |
Amazon Timestream | 针对表的 Amazon Timestream Query API 活动。 |
Timestream 表 | AWS::Timestream::Table |
Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
AWS X-Ray | 追踪上@@ 的 X-Ray API 活动。 |
X 射线追踪 | AWS::XRay::Trace |
默认情况下,在您创建跟踪或事件数据存储时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 使用 CloudTrail 控制台创建跟踪 和 使用控制台为事件创建 CloudTrail事件数据存储。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅AWS CloudTrail 定价
以下示例显示了 Amazon SNS Publish
操作的数据事件的单个日志记录。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
下一个示例显示了 Amazon Cognito GetCredentialsForIdentity
操作的数据事件的单个日志记录。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
洞察活动
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 AWS 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况或错误率记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 次 Simple Storage Service(Amazon S3)
deleteBucket
API 调用,但是您的账户一开始就平均每分钟记录 100 次deleteBucket
API 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次对 Amazon EC2
AuthorizeSecurityGroupIngress
API 的调用,但是您的账户开始记录对AuthorizeSecurityGroupIngress
的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
您的账户七天内对 AWS Identity and Access Management API、
DeleteInstanceProfile
记录的AccessDeniedException
错误通常不到一个。你的账户开始对DeleteInstanceProfile
API 调用每分钟平均记录 12 个AccessDeniedException
错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅 使用控制台为 Insights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅AWS CloudTrail 定价
CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。下面的示例显示了一个启动见解事件的单个日志记录,该事件是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction
时发生的。对于见解事件,eventCategory
的值为 Insight
。insightDetails
块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 insightDetails
块的更多信息,请参阅 CloudTrail 见解insightDetails元素。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }