总API通话量的活动详情 - Amazon Detective
活动详细信息的内容(用户、角色、账户、角色会话、EC2实例、S3 存储桶)活动详细信息的内容(IP 地址)对活动详细信息进行排序筛选活动详细信息为活动详细信息选择时间范围查询原始日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

总API通话量的活动详情

总API呼叫量” 的活动详细信息显示选定时间范围内发出的API呼叫。

要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息,请选择显示范围时间的详细信息

请注意,从2021年7月14日起,Detective开始存储和显示API通话的服务名称。该日期会在配置文件面板时间轴上突出显示。对于在该日期之前发生的活动,服务名称为未知服务

活动详细信息的内容(用户、角色、账户、角色会话、EC2实例、S3 存储桶)

对于IAM用户、IAM角色、账户、角色会话、EC2实例和 S3 存储桶,活动详细信息包含以下信息:

  • 每个选项卡都提供有关在所选时间范围内发出的一组API呼叫的信息。

    对于 S3 存储桶,该信息反映了对 S3 存储桶的API调用。

    这些API呼叫按呼叫它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

  • 对于每个条目,活动详细信息显示成功和失败的调用次数。观察到的 IP 地址选项卡还显示每个 IP 地址的位置。

  • 每个条目都显示进行调用者的信息。对于账户,活动详细信息可用于确定用户或角色。对于角色而言,活动详细信息可用于确定角色会话。对于用户和角色会话,活动详细信息标识了访问密钥标识符 (AKIDs)。

    请注意,自 2021 年 7 月 14 日起,对于账户资料,活动详情显示的是用户或角色,而不是AKIDs。对于角色配置文件,活动详细信息显示的是角色会话,而不是AKIDs。对于 2021 年 7 月 14 日之前发生的活动,调用者被列为未知资源

活动详细信息包含以下选项卡:

观察到的 IP 地址

最初显示用于发出API呼叫的 IP 地址列表。

您可以展开每个 IP 地址以显示从该 IP 地址发出的API呼叫列表。这些API呼叫按呼叫它们的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

然后,您可以展开每个API呼叫以显示来自该 IP 地址的来电者列表。根据个人资料,来电者可能是用户、角色、角色会话或AKID。

“总体API呼叫量” 面板的 “观察到的 IP 地址” 选项卡的视图,其中一个条目展开后显示了 IP 地址、API呼叫和的层次结构AKIDs。API呼叫按服务分组。
API按服务划分的方法

最初显示已发出的API呼叫列表。API呼叫按发出呼叫的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

您可以展开每种API方法以显示发出呼叫的 IP 地址列表。

然后,您可以展开每个 IP 地址以显示从该 IP 地址发出API呼叫的列表。AKIDs

“总体API呼叫量” 面板的 “按服务划分API的方法” 选项卡的视图,其中一个条目展开后显示了API呼叫的层次结构、IP 地址和AKIDs。API呼叫按服务分组。
资源或访问密钥 ID

最初显示用户、角色、角色会话或AKIDs用于发出API呼叫的用户列表。

您可以展开每个来电者以显示来电者发出API呼叫的 IP 地址列表。

然后,您可以展开每个 IP 地址以显示该API呼叫者从该 IP 地址发出的呼叫列表。API呼叫按发出呼叫的服务进行分组。对于 S3 存储桶,服务始终是 Amazon S3。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

“总体API呼叫量” 面板的 “资源” 选项卡视图,该条目展开后显示按服务分组的 IP 地址和API呼叫的层次结构。AKIDs

活动详细信息的内容(IP 地址)

对于 IP 地址,活动详细信息包含以下信息:

  • 每个选项卡都提供有关在所选时间范围内发出的一组API呼叫的信息。API呼叫按发出呼叫的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

  • 对于每个条目,活动详细信息显示成功和失败的调用次数。

活动详细信息包含以下选项卡:

资源

最初显示从该 IP 地址发出API呼叫的资源列表。

对于每种资源,列表都包括资源名称、类型和 AWS 账户。

您可以展开每个资源以显示该资源从该 IP 地址发出的API呼叫列表。API呼叫按发出呼叫的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

在 IP 地址的总体API呼叫量配置文件面板上查看活动详细信息的 “资源” 选项卡。
API按服务划分的方法

最初显示已发出的API呼叫列表。API呼叫按发出呼叫的服务进行分组。如果 Detective 无法确定发出调用的服务,则该调用将列在未知服务下。

您可以展开每个API呼叫以显示在所选时间段内从该 IP 地址发出API呼叫的资源列表。

IP 地址的 “总体API呼叫量配置文件” 面板中活动详细信息的 “按服务划分API方法” 选项卡的视图。

对活动详细信息进行排序

您可以按列表中的任何一列对活动详细信息进行排序。

使用第一列进行排序时,只对顶层列表进行排序。较低级别的列表始终按成功API呼叫次数排序。

筛选活动详细信息

您可以使用筛选选项将重点放在活动详细信息中表示的活动的特定子集或方面。

在所有选项卡上都可以根据第一列中的任何值筛选列表。

添加筛选器

  1. 选择筛选器框。

  2. 属性中,选择要用于筛选的属性。

  3. 提供用于筛选的值。筛选器支持部分值。例如,当您按方法筛选时,如果按API方法进行筛选Instance,则结果将包括其名称Instance中包含的所有API操作。因此,ListInstanceAssociationsUpdateInstanceInformation 都能匹配。

    对于服务名称、API方法和 IP 地址,您可以指定值或选择内置过滤器。

    对于 “常用API子字符串”,选择表示操作类型的子字符串,例如ListCreate、或。Delete每个API方法名称都以操作类型开头。

    对于CIDR模式,您可以选择仅包含公有 IP 地址、私有 IP 地址或与特定CIDR模式匹配的 IP 地址。

  4. 如果您有多个筛选器,请选择 Boolean 选项来设置这些筛选器的连接方式。

    活动详细信息筛选器的各个筛选器之间的可用连接器列表。

  5. 要删除筛选器,请选择标签右上角的 x 标记。

  6. 要清除所有筛选器,请选择清除筛选器

为活动详细信息选择时间范围

首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

要更改活动详细信息的时间范围

  1. 选择编辑

  2. 编辑时间窗口上,选择要使用的开始和结束时间。

    要将时间窗口设置为配置文件的默认范围时间,请选择设置为默认范围时间

  3. 选择更新时间窗口

活动详细信息的时间范围在配置文件面板图表上突出显示。

“总体API通话量配置文件” 面板的突出显示时间窗口

查询原始日志

Amazon Detective 与 Amazon Security Lake 集成,这意味着您可以查询和检索 Security Lake 存储的原始日志数据。有关此集成的更多信息,请参阅Amazon Detective 与亚马逊安全湖集成

使用此集成,您可以从 Security Lake 原生支持的以下来源收集和查询日志与事件。

  • AWS CloudTrail 管理事件版本 1.0 及更高版本

  • 亚马逊 Virtual Private Cloud(亚马逊VPC)流日志 1.0 及更高版本

  • 亚马逊 Elastic Kubernetes Service(EKS亚马逊)审核日志 2.0 版

注意

在 Detective 中查询原始数据日志不会产生额外费用。包括亚马逊 Athena 在内的其他 AWS 服务的使用费仍按公布费率收取。

查询原始日志

  1. 选择显示时间范围的详细信息

  2. 在此处,您可以开始查询原始日志

  3. 原始日志预览表中,您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息,您可以查看 Amazon Athena 中显示的数据。

    在查询原始日志表中,您可以取消查询请求在 Amazon Athena 中查看结果,并下载结果 [下载为逗号分隔值(.csv)文件]。

如果您在 Detective 中看到日志,但查询未返回任何结果,则可能是由于以下原因而引起的。

  • 原始日志可能会先在 Detective 中可用,然后才显示在 Security Lake 日志表中。请稍后重试。

  • Security Lake 中可能缺少日志。如果您等待了很长时间,则表示 Security Lake 中缺少日志。要解决该问题,请联系您的 Security Lake 管理员。