本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 CloudTrail 事件
中的事件 CloudTrail 是 AWS 帳戶中活動的記錄。此活動可以是 IAM 身分或可監控的服務所 CloudTrail採取的動作。 CloudTrail 事件提供透過 AWS Management Console、 AWS SDK、命令列工具及其他進行的 API 和非 API 帳戶活動的歷史記錄。 AWS 服務
CloudTrail 日誌文件不是公共 API 調用的有序堆棧跟踪,因此事件不會以任何特定順序顯示。
有三種類型的 CloudTrail 事件:
依預設,追蹤和事件資料存放區會記錄管理事件,但不會記錄資料或 Insights 事件。
所有事件類型都使用 CloudTrail JSON 記錄格式。日誌會包含您帳戶中的資源請求資訊,例如請求的提出者、使用過的服務、執行過的動作,以及動作的參數。事件資料都包含在 Records 陣列中。
如需 CloudTrail 事件記錄欄位的資訊,請參閱CloudTrail 記錄內容。
管理事件
管理事件提供有關對您 AWS 帳戶中資源執行之管理作業的相關資訊。這些也稱為控制平面操作。
範例管理事件包含:
-
設定安全性 (例如 AWS Identity and Access Management
AttachRolePolicyAPI 作業)。 -
註冊裝置 (例如,Amazon EC2
CreateDefaultVpcAPI 操作)。 -
設定規則以路由資料 (例如,Amazon EC2
CreateSubnetAPI 操作)。 -
設定記錄 (例如 AWS CloudTrail
CreateTrailAPI 作業)。
管理事件也可以包含您帳戶中發生的非 API 事件。例如,當使用者登入您的帳戶時,會 CloudTrail 記錄ConsoleLogin事件。如需詳細資訊,請參閱 擷取的非 API 事件 CloudTrail。
依預設, CloudTrail 追蹤和 CloudTrail Lake 事件資料會儲存記錄管理事件。如需記錄管理事件的詳細資訊,請參閱記錄管理事件。
下列範例顯示管理事件的單一記錄檔記錄。在此情況下,名為的 IAM 使用者會Mary_Major執行aws cloudtrail start-logging命令來呼叫 CloudTrail StartLogging動作,以便在名為的追蹤上啟動記錄程序myTrail。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在這個後續範例中,名為 Paulo_Santos 的 IAM 使用者執行 aws cloudtrail start-event-data-store-ingestion 命令呼叫 StartEventDataStoreIngestion 動作,以便在事件資料存放區上開始擷取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
資料事件
資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作。資料事件通常是大量資料的活動。
範例資料事件包含:
-
S3 儲存貯體中物件上的 Amazon S3 物件層級
PutObjectAPI 活動 (例如DeleteObject,和 API 操作)。GetObject -
AWS Lambda 函數執行活動(
InvokeAPI)。 -
CloudTrail
PutAuditEventsCloudTrail Lake 頻道上的活動,用於從外部記錄事件 AWS。 -
主題上的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表顯示可用於追蹤和事件資料存放區的資料事件類型。資料事件類型 (主控台) 欄顯示主控台中的適當選取項目。resource .type 值欄會顯示您要指定以使用或 API 將該類型的資料事件納入追蹤或事件資料存放區中的resources.type AWS CLI 值。 CloudTrail
對於追蹤,您可以使用基本或進階事件選取器,在一般用途儲存貯體、Lambda 函數和 DynamoDB 表格 (顯示在表格的前三列中) 記錄 Amazon S3 物件的資料事件。您只能使用進階事件選取器來記錄剩餘列中顯示的資料事件類型。
對於事件資料存放區,您只能使用進階事件選取器來包含資料事件。
| AWS 服務 | 描述 | 資料事件類型 (主控台) | resources.type 值 |
|---|---|---|---|
| Amazon DynamoDB | 資料表上的 Amazon DynamoDB 項目層級 API 活動 (例如 注意對於已啟用串流的資料表,資料事件中的 |
DynamoDB |
|
| AWS Lambda | AWS Lambda 函數執行活動( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 一般用途儲存貯體中物件上的 Amazon S3 物件層級 |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig 設定作業的 API 活動,例如呼叫 |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS 數據交換 | 用於轉換器作業的 B2B 資料交換 API 活動,例如呼叫 |
B2B 資料交換 | AWS::B2BI::Transformer |
| Amazon Bedrock | 代理程式別名上的 Amazon Bedrock API 活動。 | Bedrock 代理程式別名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 知識庫中的 Amazon Bedrock API 活動。 | Bedrock 知識庫 | AWS::Bedrock::KnowledgeBase |
| Amazon CloudFront | CloudFront 上的 API 活動 KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map 命名空間上的 API 活動。 | AWS Cloud Map 命名空間 | |
| AWS Cloud Map | AWS Cloud Map 服務上的 API 活動。 | AWS Cloud Map 服務 | |
| AWS CloudTrail | CloudTrail |
CloudTrail 渠道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指標上的 Amazon CloudWatch API 活動。 |
CloudWatch 公制 | AWS::CloudWatch::Metric |
| Amazon CodeWhisperer | 在自定義 Amazon CodeWhisperer API 活動。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 設定檔上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito 身分集區上的 Amazon Cognito API 活動。 |
Cognito 身分池 | AWS::Cognito::IdentityPool |
| Amazon DynamoDB | 串流上的 Amazon DynamoDB API 活動。 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) direct API,例如 Amazon EBS 快照上的 |
Amazon EBS direct API | AWS::EC2::Snapshot |
| Amazon EMR | 預寫日誌工作區上的 Amazon EMR API 活動。 | EMR 預寫日誌工作區 | AWS::EMRWAL::Workspace |
| Amazon FinSpace | 環境上的 Amazon FinSpace API 活動。 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue 由 Lake Formation 創建的表上的 API 活動。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 檢測器的 Amazon GuardDuty API 活動。 |
GuardDuty 探測器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging 資料存放區上的 API 活動。 |
MedicalImaging 資料倉庫 | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT 證書 | AWS::IoT::Certificate |
|
| AWS IoT | IoT 的事 | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | 來自組件版本的 Greengrass 核心設備的 API 活動。 注意Greengrass 不會記錄訪問被拒絕的事件。 |
IoT Greengrass 件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上來自 Greengrass 核心裝置的 API 活動。 注意Greengrass 不會記錄訪問被拒絕的事件。 |
IoT 環境部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise 資產 | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise 時間序列 | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT TwinMaker | 實體上的 IoT TwinMaker API 活動。 |
IoT TwinMaker 實體 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | 工作區上的 IoT TwinMaker API 活動。 |
IoT TwinMaker 工作區 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 重新評分執行計畫上的 Amazon Kendra Intelligent Ranking API 活動。 |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (適用於 Apache Cassandra) | 表上的 Amazon Keyspaces API 活動。 | 卡桑德拉表 | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | 串流上的 Kinesis Data Streams 流 API 活動。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 串流取用者的室運動資料串流 API 活動。 | Kinesis 流消費者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams 片串流上的 API 活動,例如呼叫GetMedia和PutMedia. |
Kinesis 視訊串流 | AWS::KinesisVideo::Stream |
| Amazon Machine Learning | ML 模型上的 Machine Learning API 活動。 | 機械學習 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 網路上的 Amazon Managed Blockchain API 活動。 |
Managed Blockchain 網路 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Ethereum 節點上的 Amazon Managed Blockchain JSON-RPC 呼叫,例如 |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Neptune 圖形 | Neptune 圖形上的資料 API 活動,例如查詢、演算法或向量搜尋。 |
Neptune 圖形 | AWS::NeptuneGraph::Graph |
| AWS Private CA | AWS Private CA 作用中目錄 API 活動的連接器。 |
AWS Private CA 作用中目錄的連接器 | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA 用於 SCEP API 活動的連接器。 |
AWS Private CA 連接器應用於 SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 應用 | Amazon Q 應用程式上的資料 API 活動。 |
Amazon Q 應用 | AWS::QApps:QApp |
| Amazon Q Business | 應用程式上的 Amazon Q Business API 活動。 |
Amazon Q Business 應用程式 | AWS::QBusiness::Application |
| Amazon Q Business | 資料來源上的 Amazon Q Business API 活動。 |
Amazon Q Business 資料來源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 Amazon Q Business API 活動。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 體驗上的 Amazon Q Business API 活動。 |
Amazon Q Business Web 體驗 | AWS::QBusiness::WebExperience |
| Amazon RDS | 資料庫叢集上的 Amazon RDS API 活動。 |
RDS 數據 API-數據庫集群 | AWS::RDS::DBCluster |
| Amazon S3 | 存取點上的 Amazon S3 API 活動。 |
S3 存取點 | AWS::S3::AccessPoint |
| Amazon S3 | Amazon S3 物件 Lambda 存取點 API 活動,例如呼叫 |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 on Outposts | Outposts 上 Amazon S3 物件層級的 API 活動。 |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker | 端點上的 Amazon SageMaker InvokeEndpointWithResponseStream活動。 |
SageMaker 端點 | AWS::SageMaker::Endpoint |
| Amazon SageMaker | 功能商店上的 Amazon SageMaker API 活動。 |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker | 實驗試用元件上的 Amazon SageMaker API 活動。 |
SageMaker 度量實驗試驗元件 | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SNS | 平台端點上的 Amazon SNS |
SNS 平台端點 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 主題上的 Amazon SNS |
SNS 主題 | AWS::SNS::Topic |
| Amazon SQS | 訊息上的 Amazon SQS API 活動。 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | Step Functions 狀態機器 | AWS::StepFunctions::StateMachine |
|
| AWS Supply Chain | AWS Supply Chain 執行個體上的 API 活動。 |
供應鏈 | AWS::SCN::Instance |
| Amazon SWF | SWF 網域名稱 | AWS::SWF::Domain |
|
| AWS Systems Manager | 控制通道上的 Systems Manager API 活動。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 受管節點上的系統管理員 API 活動。 | 系統管理員管理節點 | AWS::SSM::ManagedNode |
| Amazon Timestream | 資料庫上的 Amazon Timestream Query API 活動。 |
Timestream 資料庫 | AWS::Timestream::Database |
| Amazon Timestream | 資料庫上的 Amazon Timestream Query API 活動。 |
Timestream 資料表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 政策存放區上的 Amazon Verified Permissions API 活動。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客戶端 | WorkSpaces 裝置上的精簡型用戶端 API 活動。 | 精簡型客戶端裝置 | AWS::ThinClient::Device |
| Amazon WorkSpaces 瘦客戶端 | WorkSpaces 環境上的精簡型用戶端 API 活動。 | 精簡型客戶端環境 | AWS::ThinClient::Environment |
| AWS X-Ray | 軌跡上的 X-Ray API 活動。 |
X-Ray 軌跡 | AWS::XRay::Trace |
依預設,在您建立追蹤或事件資料存放區時,不會記錄資料事件。若要記錄資 CloudTrail 料事件,您必須明確新增要收集活動的支援資源或資源類型。如需詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤 及 使用主控台為 CloudTrail事件建立事件資料存放區。
記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱AWS CloudTrail 定價
下列範例顯示 Amazon SNS Publish 動作之資料事件的單一日誌記錄。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
下一個範例顯示 Amazon Cognito GetCredentialsForIdentity 動作之資料事件的單一日誌記錄。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
洞察活動
CloudTrail 洞察事件會透過分析 CloudTrail 管理活動,擷取您 AWS 帳戶中異常的 API 呼叫率或錯誤率活動。Insights 事件會提供相關資訊,例如關聯的 API、錯誤代碼、事件時間及統計資料,以協助您了解並針對異常活動採取行動。與 CloudTrail 追蹤或事件資料存放區中擷取的其他類型事件不同,Insights 事件只有在 CloudTrail 偵測到帳戶 API 使用情況或錯誤率記錄的變更時,才會記錄與帳戶的一般使用模式明顯不同。
可能產生 Insights 事件的活動範例包括:
-
您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3
deleteBucketAPI 呼叫,但是您的帳戶開始記錄到每分鐘平均 100 個deleteBucketAPI 呼叫。異常活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常的活動結束。 -
您的帳戶通常每分鐘記錄 20 個 Amazon EC2
AuthorizeSecurityGroupIngressAPI 呼叫,但您的帳戶開始記錄到零個AuthorizeSecurityGroupIngress呼叫。異常活動開始時會記錄 Insights 事件,並在十分鐘後,當異常活動結束時,記錄另一個 Insights 事件以標示異常的活動結束。 -
您的帳戶於 7 天內在 AWS Identity and Access Management API 上記錄通常少於一個的
AccessDeniedException錯誤,DeleteInstanceProfile。您的帳戶開始在DeleteInstanceProfileAPI 呼叫中記錄每分鐘 12 個AccessDeniedException錯誤的平均值。異常錯誤率活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常活動的結束。
這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。
若要記錄 CloudTrail Insights 事件,您必須在新的或現有的追蹤或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤。如需有關建立事件資料存放區的詳細資訊,請參閱 使用主控台為 Insights 事件建立事件資料存放區。
Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價
在 CloudTrail Insights 中記錄了兩個事件,以顯示異常活動:開始事件和結束事件。下列範例顯示 Application Auto Scaling API CompleteLifecycleAction 被呼叫異常次數時發生的開始 Insights 事件的單一日誌記錄。對於 Insights 事件,eventCategory 的值為 Insight。insightDetails 區塊會識別事件狀態、來源、名稱、Insights 類型和內容,包括統計資料和歸因。如需 insightDetails 區塊的詳細資訊,請參閱 CloudTrail 見解insightDetails元素。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
