本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用控制台查看跟踪的 CloudTrail Insights 事件
在跟踪上启用 CloudTrail Insights 事件后,当 CloudTrail 检测到异常活动API或错误率活动时, CloudTrail 会生成 Insights 事件并将其显示在中的控制面板和 Insights 页面上 AWS Management Console。您可以在控制台中查看 Insights 事件,并对异常活动进行故障排除。控制台中显示了最近 90 天的 Insights 事件。您也可以使用 AWS CloudTrail 控制台下载 Insights 事件。您可以使用 AWS SDKs或 AWS Command Line Interface以编程方式查找事件。有关 CloudTrail Insights 事件的更多信息,请参阅本指南记录 Insights 事件中的。
注意
要按API通话量记录 Insights 事件,跟踪必须记录write
管理事件。要按API错误率记录 Insights 事件,跟踪必须记录read
或write
管理事件。
记录见解事件后,事件将显示在 Insights(见解)页面上达 90 天。您不能从 Insights (Insights) 页面上手动删除事件。由于您必须先创建跟踪,然后才能启用 CloudTrail Insights,因此,只要您将这些事件存储在跟踪设置中配置的 S3 存储桶中,您就可以查看记录到您的跟踪中的 Insights 事件。
使用 Amazon CloudWatch Logs 监控您的跟踪日志,并在发生特定的 Insights 事件活动时收到通知。有关更多信息,请参阅 使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件。
查看 Insights 事件
CloudTrail 必须在您的跟踪中启用 Insights 事件,才能在控制台中查看 Insights 事件。如果检测到异常活动,则留出最多 36 小时的时间 CloudTrail 来发布第一个 Insights 事件。
-
登录 AWS Management Console 并在家中打开 CloudTrail 主机 https://console.aws.amazon.com/cloudtrail//
。 -
在导航窗格中,选择 Dashboard(控制面板)以查看最近的五个 Insights 事件,或选择 Insights(见解)以查看过去 90 天内在您的账户中记录的所有 Insights 事件。
在 Insights 页面上,您可以按事件API源、事件名称和事件 ID 等条件筛选 Insights 事件,并将显示的事件限制在特定时间范围内发生的事件。有关筛选 Insights 事件的更多信息,请参阅 筛选 Insights 事件。
筛选 Insights 事件
Insights(见解)中事件的默认显示按照相反的时间顺序显示事件。顶部是最新的 Insights 事件,按事件开始时间排序。下面的列表描述了可用的属性。您可以根据前三个属性进行筛选:Event name(事件名称)、Event source(事件源)和 Event ID(事件 ID)。
- 事件名称
-
事件的名称,通常是 AWS API记录异常活动水平的事件。
- Insights 类型
-
CloudTrail Insights 事件的类型,即API呼叫率或API错误率。API呼叫率洞察类型根据基准API呼叫量分析每分钟汇总的只写管理API呼叫。API错误率洞察类型分析导致错误代码的管理API调用。如果API呼叫失败,则会显示错误。
- 事件源
-
向其发出请求的 AWS 服务,例如
iam.amazonaws.com
或s3.amazonaws.com
。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。 - 事件 ID
-
Insights 事件的 ID。事件IDs不会显示在 Insights 页面表格中,但它们是您可以根据它们筛选 Insights 事件的属性。为生成 Insights 事件而进行分析的管理事件与 Insights 事件IDs的事件不同。IDs
- 事件开始时间
-
Insights 事件的开始时间,测量方式为记录异常活动的第一分钟。此属性显示在 Insights(见解)表中,但无法在控制台中通过事件开始时间筛选。
- 基线平均值
-
API通话率或错误率活动的正常模式。计算 Insights 事件开始前七天的基线平均值。尽管基线持续时间( CloudTrail分析正常活动的时间段)的值约APIs为七天,但将基线持续时间 CloudTrail四舍五入为整数天,因此确切的基线持续时间可能会有所不同。
- Insight 平均值
-
触发 Ins API ights 事件的平均调用次数,或者在调用时返回的API特定错误的平均次数。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的发生率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内发生的速率。
- 速率变更
-
以百分比表示 Baseline average(基线平均值)和 Insight average(Insight 平均值)的区别。例如,如果
AccessDenied
发生错误的基线平均值为 1.0,并且 Insight 平均值为 3.0,那么速率变更为 300%。超过基线平均值的 Insight 平均值的速率变更在该值旁边显示向上箭头。如果因活动低于基线平均值而记录了 Insights 事件,Rate change(速率变更)在百分比旁边显示向下箭头。
如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。
以下步骤介绍如何按属性筛选。
按属性筛选
-
要按属性筛选结果,请从下拉菜单中选择查找属性,然后在 Enter a lookup value(输入查找值)框中键入或选择值。
-
要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 X。
以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。
按开始日期和时间与结束日期和时间筛选
-
要缩小您要查看的事件的时间范围,请在表格顶部的时间跨度栏上选择时间范围。预设时间范围包括 30 分钟、1 小时、3 小时或 12 小时。要指定自定义时间范围,请选择 Custom(自定义)。
-
选择以下选项卡之一。
-
Absolute(绝对)- 供您选择具体的时间。继续执行下一步。
-
Relative to selected event(相对于所选事件)- 默认选中。让您选择相对于 Insights 事件开始时间的时间段。继续执行步骤 4。
-
-
要设置 Absolute(绝对)时间范围,请执行以下操作。
-
在 Absolute(绝对)选项卡上,选择希望时间范围开始的日期。输入所选日期的开始时间。要手动输入日期,请使用
yyyy/mm/dd
格式键入日期。开始时间和结束时间使用 24 小时制,且值必须采用hh:mm:ss
格式。例如,要指示开始时间为下午 6:30,请输入18:30:00
。 -
在日历上选择范围的结束日期,或在日历下方指定结束日期和时间。选择 应用。
-
-
要设置 Relative to selected event(相对于所选事件)时间范围,请执行以下操作。
-
选择相对于 Insights 事件开始时间的预设时间段。预设值单位可为分钟、小时、天或周。最长相对时间周期为 12 周。
-
如果需要,请在预设下方的框中自定义预设值。如果老板娘,选择 Clear(清除)以重置您的更改。设置了所需的相对时间后,请选择 Apply(应用)。
-
-
在 To (结束时间) 中,选择日期并指定要作为时间范围结束的时间。选择 应用。
-
要删除一个时间范围筛选条件,请选择该 Time range (时间范围) 框右侧的日历图标,然后选择 Remove (删除)。
查看 Insights 事件详细信息
-
选择 Insights 列表中的事件以显示其详细信息。Insights 事件的详细信息页面显示异常活动时间表的图表。
-
将鼠标悬停在突出显示的带上,以显示图表中的每个 Insights 事件的开始时间和持续时间。
Additional information(其他信息)图表区域显示以下信息:
-
见解类型:这可以是API呼叫速率或API错误率。
-
触发器:这是指向 Cloudtrail events(CloudTrail 事件)选项卡的链接,该选项卡列出了为确定发生了异常活动而分析的管理事件。
-
API每分钟通话次数
-
基线平均值-记录Insights事件的API典型每分钟发生率,在大约前七天内,在您账户的特定区域中测量。
-
Insights 平均值-每分钟触发 Insights 事件的API发生率。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件API的每分钟调用率或错误率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是异常活动持续时间内,即在开始 Insights 事件和结束 Insights 事件之间,每分钟的API调用率或错误率。
-
-
事件源:记录异常数量的API呼叫或错误的 AWS 服务端点。在上图中,源是
ec2.amazonaws.com
,这是 Amazon 的服务终端节点EC2。 -
事件IDs。
-
Start event ID(开始事件 ID)– 异常活动开始时记录的 Insights 事件 ID。
-
End event ID(结束事件 ID)– 异常活动结束时记录的 Insights 事件 ID。
-
共享事件 ID-在 Insights 事件中,共享事件 ID 由 CloudTrail Insights 生成,用于唯一标识 Insights 事件的开始和结束对。GUIDShared event ID(共享事件 ID)在开始和结束 Insights 事件之间是通用的,并且有助于在这两个事件建立关联以唯一地标识异常活动。
-
-
-
选择 “归因” 选项卡可查看有关用户身份、用户代理以及API通话费率 Insights 事件、与异常活动和基线活动相关的错误代码的信息。在 Attributions(归因)选项卡上的表格中显示最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。
-
在CloudTrail 事件选项卡上,查看相关事件,这些事件 CloudTrail经过分析以确定发生了异常活动。默认情况下,已对 Insights 事件名称应用过滤器,该名称也是相关事件的名称API。CloudTrail 事件选项卡显示在 Insights 事件API的开始时间(减去一分钟)和结束时间(加一分钟)之间发生的与主题相关的 CloudTrail 管理事件。
当您在图表中选择其他 Insights 事件时,事件表中显示CloudTrail 的事件会发生变化。这些事件可帮助您进行更深入的分析,以确定 Insights 事件的可能原因和异常API活动的原因。
要显示在 Insights 事件持续时间内记录的所有 CloudTrail 事件,而不仅仅是相关事件的那些事件API,请关闭过滤器。
-
选择 Insights 事件记录选项卡,以JSON格式查看 Insights 开始和结束事件。
-
选择链接的 Event source(事件源)将返回由该事件源筛选的 Insights(见解)页面。
缩放、平移和下载图表
您可以使用右上角的工具栏缩放、平移和重置 Insights 事件详细信息页面上图表的轴。
从左到右,图表工具栏上的命令按钮执行以下操作:
-
将绘图下载为 PNG-下载详细信息页面上显示的图形图像,并以PNG格式保存。
-
Zoom (缩放) - 拖动以选择图表上要放大的区域并更详细地查看。
-
Pan (平移) - 移动图表以查看相邻的日期或时间。
-
Reset axes (重置轴) - 将图表轴更改回原始状态,同时清除缩放和平移设置。
更改图表时间跨度设置
您可以更改时间跨度 - 事件显示在 x 轴上的所选持续时间 - 通过选择图表右上角的设置显示在图表中。
图表中显示的默认时间跨度取决于所选 Insights 事件的持续时间。
Insights 活动的持续时间 | 默认时间跨度 |
---|---|
小于 4 小时 |
3h(三小时) |
4 至 12 小时之间 |
12h(12 小时) |
12 至 24 小时之间 |
1d(一天) |
24 至 72 小时之间 |
3d(三天) |
超过 72 小时 |
1w(一周) |
您可以选择 5 分钟、30 分钟、1 小时、3 小时、12 小时或 Custom(自定义)。下图显示了 Relative to selected event(相对于所选事件)时间段,您可以在 Custom(自定义)设置中选择。相对时间段是在 Insights 事件详细信息页面上显示的所选 Insights 事件的开始和结束前后的大致时间段。
要自定义选定的预设,请在预设下方的框中指定数值和时间单位。
要指定确切的日期和时间范围,请选择 Absolute (绝对) 选项卡。如果设置绝对日期和时间范围,则需要提供开始和结束时间。有关如何设置时间的信息,请参阅本主题中的 筛选 Insights 事件。
下载 Insights 事件
您可以将录制的 Insights 事件历史记录下载为CSV或JSON格式的文件。使用筛选条件和时间范围可减小您下载的文件的大小。
注意
CloudTrail 事件历史文件是包含可由个人用户配置的信息(例如资源名称)的数据文件。某些数据可能会被解释为程序中用于读取和分析这些数据(CSV注入)的命令。例如,将 CloudTrail 事件导出到CSV电子表格程序或将其导入电子表格程序时,该程序可能会警告您注意安全问题。作为安全最佳实践,请禁用来自下载的事件历史记录文件中的链接或宏。
-
指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称
StartInstances
,并指定时间范围为过去 3 天的活动。 -
选择 “下载事件”,然后选择 “下载” CSV 或 “下载” JSON。系统会提示您选择保存文件的位置。
注意
您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。
-
下载完成后,打开文件以查看您指定的事件。
-
要取消下载,请选择 Cancel download (取消下载)。如果您在下载完成之前取消下载,则本地计算机上的CSV或JSON文件可能只包含部分事件。