本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudTrail 見解insightDetails元素
AWS CloudTrail 見解事件記錄包含與其JSON結構中的其他 CloudTrail 事件不同的欄位,有時稱為裝載。 CloudTrail Insights 事件記錄包含一個insightDetails區塊,其中包含 Insights 事件基礎觸發器的相關資訊,例如事件來源、使用者身分識別、使用者代理程式、歷史平均值或基準線、統計資料、API名稱,以及事件是否為 Insights 事件的開始或結束。insightDetails 區塊包含下列資訊:
-
state- 活動是否為開始或結束 Insights 事件。此值可以為Start或End。自:1.07
選用:False
-
eventSource-作為異常活動來源的 AWS 服務端點,例如ec2.amazonaws.com。自:1.07
選用:False
-
eventName-Insights 事件的名稱,通常API是異常活動來源的名稱。自:1.07
選用:False
-
insightType- Insights 事件的類型。此值可以為ApiCallRateInsight或ApiErrorRateInsight(或兩者)。自:1.07
選用:False
-
insightContext-AWS 工具 (稱為使用者代理程式)、使IAM用者和角色 (稱為使用者身分識別),以及與 CloudTrail 分析以產生 Insights 事件之事件相關聯的錯誤碼的相關資訊。此元素也包含統計資料,顯示 Insights 事件中的異常活動與基準或正常活動的比較。
自:1.07
選用:False
-
statistics-包含帳戶在基準期間測量的基準線或主體的典型平均API通話率或錯誤的相關資料、Insights 事件第一分鐘觸發 Insights 事件的平均呼叫率或錯誤、Insights 事件的持續時間 (以分鐘為單位),以及基準測量週期的持續時間 (以分鐘為單位)。自:1.07
選用:False
-
baseline-在 Insights 事件主API旨帳戶的基準持續時間內,每分鐘的平均API呼叫或錯誤次數,計算在 Insights 事件開始前七天。自:1.07
選用:False
-
insight-對於開始 Insights 事件而言,此值是異常活動開始期間每分鐘的平均API呼叫或錯誤數。對於結束的 Insights 事件,此值是異常活動持續時間內每分鐘的平均API呼叫或錯誤數。
自:1.07
選用:False
-
insightDuration-「見解」事件的持續時間 (針對主旨的異常活動開始到結束的時間段API)。insightDuration發生在開始和結束見解事件中。自:1.07
選用:False
-
baselineDuration-基準期間 (針對主體測量正常活動的時間段) 的持續時間 (以分鐘為單位API)。baselineDuration至少是「見解」事件前七天 (10080 分鐘)。此欄位會出現在開始和結束 Insights 事件中。baselineDuration測量的結束時間永遠是 Insights 事件的開始。自:1.07
選用:False
-
-
attributions- 此區塊包括有關使用者身分、使用者代理程式和錯誤碼與異常和基準活動相關的資訊。Insights 事件中最多會擷取五個使用者身分、五個使用者代理程式和五個錯誤碼attributions區塊,按活動計數的平均值按從高到低的降序排列。自:1.07
選用:True
-
attribute- 包含屬性類型。此值可以是userIdentityArn、userAgent或errorCode。-
userIdentityArn-一個區塊,最多可顯示前五名 AWS 使用者或IAM角色,這些使用者或角色會在異常活動和基準期間造成API通話或錯誤。另請參閱userIdentity中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight-一個區塊,最多可顯示前五名使用者身分,ARNs這些身分對異常活動期間進行的API呼叫做出貢獻,從最多API通話數量降序排列到最小。它也會顯示使用者身分在異常活動期間API撥打的平均通話次數。自:1.07
選用:False
-
value-造成ARN異常活動期間API通話的前五名使用者身分之一。自:1.07
選用:False
-
average-欄位中使用者身分在異常活動期間內每分鐘的API通話次數或錯誤value數。自:1.07
選用:False
-
-
baseline-最多顯示前五名使用者身分的區塊ARNs,在正常活動期間對API呼叫或錯誤造成最大貢獻。它也會顯示正常活動期間內,使用者身分所記錄的API呼叫或錯誤的平均數目。自:1.07
選用:False
-
value-正ARN常活動期間內造成API呼叫或錯誤的前五名使用者身分之一。自:1.07
選用:False
-
average-在欄位中針對使用者身分識別的 Insights 活動開始時間前七天內,每分鐘API通話或錯誤的歷史平均value值。自:1.07
選用:False
-
-
-
userAgent-顯示在異常活動和基準期間,用戶身份對API呼叫做出貢獻的前五個 AWS 工具的塊。這些工具包括 AWS Management Console AWS CLI、或 AWS SDKs。另請參閱userAgent中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight-一個區塊,最多顯示前五名使用者代理程式,這些使用者代理程式對異常活動期間進行的API呼叫做出貢獻,從最多API呼叫次數降序排列到最小。它還顯示了在異常活動期間由用戶代理記錄的API呼叫或錯誤的平均數量。自:1.07
選用:False
-
value-在異常活動期間為API呼叫做出貢獻的前五名用戶代理之一。自:1.07
選用:False
-
average-欄位中使用者代理程式的異常活動期間,每分鐘記錄的API呼叫或錯誤value數。自:1.07
選用:False
-
-
baseline-最多顯示前五名使用者代理程式的區塊,對正常活動期間進行的API通話貢獻最大。它也會顯示使用者代理程式在正常活動期間記錄的API呼叫或錯誤的平均數目。自:1.07
選用:False
-
value-在正常活動期間記錄的API呼叫或錯誤造成的前五名使用者代理程式之一。自:1.07
選用:False
-
average-欄位中使用者代理程式在 Insights 活動開始時間前七天內,每分鐘API通話或錯誤的歷史平均value值。自:1.07
選用:False
-
-
-
errorCode-一個區塊,顯示在異常活動和基準期間API通話中發生的前五個錯誤代碼,從API通話次數從最多到最小的降序排列。另請參閱errorCode中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight-一個區塊,顯示在異常活動期間進行的API通話中發生的前五個錯誤代碼,從關聯API通話數量從最多到最小的降序排列。它也會顯示異常活動期間發生錯誤的平均API通話次數。自:1.07
選用:False
-
value-在異常活動期間進行的API呼叫中發生的前五名錯誤代碼之一,例如AccessDeniedException。如果觸發 Insights 事件的呼叫都不會產生錯誤,則此值為
null。自:1.07
選用:False
-
average-欄位中錯誤代碼的異常活動期間,每分鐘的API呼叫次value數。如果錯誤碼值為
null,並且insight區塊中沒有其他錯誤碼,average中的值與 Insights 事件的statistics區塊中的值整體相同。自:1.07
選用:False
-
-
baseline-一個區塊,最多可顯示在正常活動期間進行的API通話中發生的前五個錯誤代碼。它還顯示用戶代理在正常活動期間API撥打的平均數量。自:1.07
選用:False
-
value-在正常活動期間進行的API呼叫中發生的前五個錯誤代碼之一,例如AccessDeniedException。自:1.07
選用:False
-
average-在欄位中錯誤代API碼的 Insights 活動開始時間前七天內,每分鐘通話或錯誤的歷史平均value值。自:1.07
選用:False
-
-
-
-
-
範例 insightDetails 區塊
以下是當 Application Auto Scaling API CompleteLifecycleAction 例呼叫不尋常次數時,Insights 事件所發生的 Insights 事件insightDetails區塊範例。如需完整 Insights 事件的範例,請參閱 Insights 事件。
此範例來自開始 Insights 事件,由 "state": "Start" 指示。呼叫與 Insights 事件、CodeDeployRole1、CodeDeployRole2和APIs相關聯的前幾個使用者身分識別,以及CodeDeployRole3這個 Insights 事件的平均API通話費率,以及CodeDeployRole1角色的基準線。attributions該attributions塊還顯示用戶代理是codedeploy.amazonaws.com,這意味著 AWS CodeDeploy 主控台用於運行API調用的頂級用戶身份。
因為沒有與已分析以產生 Insight 事件的事件相關聯的錯誤碼 (值為 null),錯誤碼的 insight 平均值與整個 Insights 事件的整體 insight 的平均值相同 (顯示在 statistics 區塊。
"insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }
