使用主控台檢視追蹤的 CloudTrail 深入解析事件 - AWS CloudTrail
篩選 Insights 事件檢視 Insights 事件的詳細資訊縮放、平移和下載圖表變更圖表時間範圍設定下載 Insights 事件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台檢視追蹤的 CloudTrail 深入解析事件

在追蹤上啟用 CloudTrail Insights 事件後,當 CloudTrail 偵測到異常API或錯誤率活動時, CloudTrail 會產生深入解析事件,並將其顯示在的儀表板和「見解」頁面上 AWS Management Console。您可以在控制台中查看 Insights 事件,並對異常的活動進行疑難排解。主控台中會顯示最近 90 天的 Insights 事件。您也可以使用 AWS CloudTrail 主控台下載見解事件。您可以使用或以程式設計方式查詢事 AWS SDKs件 AWS Command Line Interface。如需 CloudTrail 深入解析事件的詳細資訊,請參閱本指南記錄 Insights 事件中的。

注意

若要在API呼叫磁碟區上記錄 Insights 事件,追蹤必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件,追蹤必須記錄readwrite管理事件。

記錄 Insights 事件之後,事件會顯示在 Insights (深入分析) 頁面 90 天。您無法從 Insights (深入分析) 頁面手動刪除事件。因為您必須先建立追蹤,才能啟用 CloudTrail Insights,因此只要您將事件存放在追蹤設定中設定的 S3 儲存貯體中,就可以檢視記錄到追蹤中的 Insights 事件。

監控追蹤日誌,並在 Amazon CloudWatch Logs 發生特定洞察事件活動時收到通知。如需詳細資訊,請參閱 使用 Amazon CloudWatch 日 CloudTrail 誌監控日誌檔

檢視 Insights 事件

CloudTrail 必須在追蹤上啟用深入解析事件,才能在主控台中查看 Insights 事件。如果偵測到異常活動,最多需 CloudTrail 要 36 小時才能傳遞第一個「見解」事件。

  1. 登入 AWS Management Console 並在家中開啟 CloudTrail https://console.aws.amazon.com/cloudtrail/主機/

  2. 在導覽窗格中,選擇 Dashboard (儀表板) 查看最近五個 Insights 事件,或選擇 Insights 查看過去 90 天內您帳戶記錄的所有 Insights 事件。

    在「見解」頁面上,您可以依照事件API來源、事件名稱和事件 ID 等條件篩選 Insights 事件,並將顯示的事件限制在特定時間範圍內發生的事件。如需有關篩選 Insights 事件的詳細資訊,請參閱篩選 Insights 事件

篩選 Insights 事件

Insights (深入分析) 中事件的預設顯示會以反向時間順序顯示事件。最新的 Insights 事件 (按事件開始時間排序) 顯示在頂端。下列清單說明可用的屬性。您可以篩選前三個屬性:Event name (事件名稱)、Event source (事件來源) 及 Event ID (事件 ID)。

CloudTrail 見解事件清單篩選器。
事件名稱

事件的名稱,通常是記錄不尋常的活動水平。 AWS API

洞見類型

「 CloudTrail 見解」事件的類型,也就是API呼叫率API錯誤率。通API話速率深入解析類型會分析每分鐘針對基準API通話量彙總的唯寫管理API呼叫。API錯誤率深入解析類型會分析導致錯誤碼的管理API呼叫。如果API通話不成功,則會顯示錯誤。

事件來源

提出要求的 AWS 服務,例如iam.amazonaws.com.rproxy.goskope.coms3.amazonaws.com。在您選擇 Event source (事件來源) 篩選條件之後,即可捲動事件來源清單。

事件 ID

Insights 事件的 ID。事件不IDs會顯示在「見解」頁面表格中,但它們是您可以在其上篩選「見解」事件的屬性。分析以產生見解事件IDs的管理事件事件與 Insights 事件IDs的事件不同。

事件開始時間

Insights 事件的開始時間,計算方式為記錄異常活動的第一分鐘。此屬性顯示於 Insights 資料表,但您無法在主控台中篩選事件開始時間。

基準平均值

API通話率或錯誤率活動的正常模式。基準平均值是在 Insights 事件開始前七天內計算。雖然基準線持續時間 APIs ( CloudTrail分析正常活動的期間) 的值大約為七天,但將基準持續時間 CloudTrail四捨五入為整數天,以便精確的基準持續時間可能會有所不同。

Insight 平均值

觸發 Insights 事件的呼叫平均數目API,或是在呼叫時傳回之特定錯誤的平均數目。API開始事件的「 CloudTrail 見解」平均值是觸發「見解」事件的發生率。通常情況下,這是異常活動的第一分鐘。結束事件的 Insights 平均值是異常活動持續時間 (開始 Insights 事件和結束 Insights 事件之間) 的發生率。

發生率變化

Baseline average (基準平均值) 和 Insight average (Insight 平均值) 之間的差異 (以百分比測量)。例如,如果 AccessDenied 錯誤發生率的基準平均值為 1.0,而 Insight 平均值為 3.0,則發生率變化為 300%。超過基準平均值的 Insight 平均值發生率變化會在數值旁顯示向上箭號。如果因為活動低於基準平均值而記錄 Insights 事件,Rate change (發生率變化) 會在百分比旁顯示向下箭頭。

如果在您所選擇的屬性或時間下沒有記錄的事件,則結果清單會是空的。除了時間範圍之外,您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件,則會保留您指定的時間範圍。

下列步驟說明如何依屬性進行篩選。

依屬性篩選

  1. 若要依屬性篩選結果,請從下拉式功能表中選擇查詢屬性,然後在 Enter lookup value (輸入查詢值) 方塊中輸入或選擇值。

  2. 若要移除屬性篩選條件,請選擇屬性篩選條件方塊右側的 X

下列步驟說明如何依開始與結束日期及時間進行篩選。

依開始與結束日期及時間進行篩選

  1. 若要縮小您要查看之事件的時間範圍,請選擇資料表頂部時間範圍列中的時間範圍。預設的時間範圍包括 30 分鐘、1 小時、3 小時或 12 小時。若要指定自訂時間範圍,請選擇 Custom (自訂)。

  2. 選擇下列其中一個索引標籤。

    • 絕對 - 可讓您選擇特定時間。繼續進行下一個步驟。

    • 相對於所選事件 - 預設為已選取。可讓您選擇與 Insights 事件開始時間相關的時段。繼續步驟 4。

  3. 若要設定 Absolute (絕對) 時間範圍,請執行下列動作。

    1. Absolute (絕對) 索引標籤上,選擇時間範圍開始的日期。輸入所選日期的開始時間。若要手動輸入日期,請以 yyyy/mm/dd 格式輸入日期。開始和結束時間使用 24 小時制,且值必須是格式 hh:mm:ss。例如,若要指示下午 6:30 的開始時間,請輸入 18:30:00

    2. 選擇行事曆上範圍的結束日期,或在行事曆下方指定結束日期與時間。選擇套用

  4. 若要設定 Relative to selected event (相對於所選事件) 時間範圍,請執行下列動作。

    1. 選擇與 Insights 事件開始時間相關的預設時段。可使用預設值 (分鐘、小時、天或週)。最大相對時段為 12 週。

    2. 如有需要,請在預設集下方的方塊中自訂預設值。選擇 Clear (清除),視需要重設您的變更。設定您想要的相對時間後,選擇 Apply (套用)。

  5. To (至) 中,選擇日期,並指定您想要成為時間範圍結束的時間。選擇套用

  6. 若要移除時間範圍篩選條件,請選擇 Time range (時間範圍) 方塊右側的行事曆圖示,然後選擇 Remove (移除)。

檢視 Insights 事件的詳細資訊

  1. 在結果清單中選擇 Insights 事件,以顯示其詳細資訊。Insights 事件的詳細資訊頁面會顯示異常活動時間表的圖表。

    顯示異常API活動的 CloudTrail 見解詳細資料頁面。

  2. 將滑鼠停留在反白顯示的頻帶上,以顯示圖表中每個 Insights 事件的開始事件和持續期間。

    將滑鼠停留在 Insights 事件上後,所顯示的 Insights 事件統計資料。

    下列資訊會顯示在圖表的 Additional information (其他資訊) 區域中:

    • Insight type (Insight 類型)。這可以是API通話速率或API錯誤率。

    • 觸發條件。這是 CloudTrail 事件索引標籤的連結,其中會列出已分析以判斷發生異常活動的管理事件。

    • API每分鐘通話

      • 基準平均值-記錄 Insights 事件的每分鐘一般發生率,在您帳戶中的特定區域中,大約在過去七天內測量。API

      • 洞察平均值-觸發「見解」事件的每分鐘發生次數。API開始事件的「 CloudTrail 深入解析」平均值是觸發「見解」API 事件的呼叫率或每分鐘錯誤數。通常情況下,這是異常活動的第一分鐘。結束事件的「見解」平均值是指在異常活動持續時間內 (在開始「見解」事件和結束「見解」事件之間) 的API呼叫率或每分鐘錯誤。

    • Event source (事件來源)。記錄異常API呼叫或錯誤數目的 AWS 服務端點。在前面的映像中,來源是ec2.amazonaws.com,也就是 Amazon 的服務端點EC2。

    • 事件IDs

      • Start event ID (開始事件 ID) - 異常活動開始時記錄的 Insights 事件 ID。

      • End event ID (結束事件 ID) - 異常活動結束時記錄的 Insights 事件 ID。

      • 共用事件 ID-在見解事件中,共用事件 ID 是由 CloudTrail 深入解析所產生的,用於唯一識別洞察事件的開始和結束配對。GUIDShared event ID (共用事件 ID) 在開始和結束 Insights 事件之間共用,有助於在這兩個事件之間建立關聯以唯一識別異常活動。

  3. 選擇 [屬性] 索引標籤以檢視使用者身分識別、使用者代理程式的相關資訊,以及API通話率見解事件、與異常活動和基準活動相關的錯誤代碼。Attributions (歸因) 索引標籤上的資料表中最多會顯示五個使用者身分、五個使用者代理程式和五個錯誤碼,按活動計數的平均值按從高到低的降序排列。

  4. CloudTrail 事件索引標籤上,檢視 CloudTrail分析的相關事件,以判斷發生異常活動。根據預設,篩選器已套用至 Insights 事件名稱,也是相關的名稱API。CloudTrail 事件索引標籤會顯示 CloudTrail 與 Insights 事件的開始時間 (減去一分鐘) 和結束時間 (加上一分鐘) 之間發生的主API旨相關的管理事件。

    當您在圖形中選取其他 Insights 事件時,事件表格中顯示的CloudTrail 事件會變更。這些事件可協助您執行更深入的分析,以判斷 Insights 事件的可能原因,以及異常API活動的原因。

    若要顯示 Insights 事件持續時間期間所 CloudTrail 記錄的所有事件,而不僅是相關事件API,請關閉篩選器。

  5. 選擇「見解」事件記錄索引標籤,以JSON格式檢視「深入解析」開始和結束事件。

  6. 選擇連結的 Event source (事件來源) 會返回由該事件來源篩選的 Insights 頁面。

縮放、平移和下載圖表

您可以使用右上角的工具列來縮放、平移和重設 Insights 事件詳細資訊頁面上的圖表軸。

下載為PNG、縮放、平移、放大、縮小和重置軸指令工具列。

圖表工具列上的命令按鈕從左到右執行以下作業:

  • 下載繪圖為 PNG-下載詳細信息頁面上顯示的圖形圖像,並將其保存為PNG格式。

  • Zoom (縮放) - 拖曳以在圖表上選取您要放大並更詳細地查看的區域。

  • Pan (平移) - 移動圖表以查看相鄰的日期或時間。

  • Reset axes (重置軸) - 將圖表軸變更回原始軸,清除縮放和平移設定。

變更圖表時間範圍設定

您可以變更時間範圍,也就是顯示在 x 軸 上的所選事件持續期間 - 透過選擇圖表右上角的設定來顯示在圖表中。

Insights 事件的時間範圍控制。

圖表中顯示的預設時間範圍,取決於所選 Insights 事件的持續時間。

Insights 事件的持續時間 預設時間範圍

少於 4 小時

3h (3 小時)

4 至 12 小時

12h (12 小時)

12 至 24 小時

1d (一天)

24 至 72 小時

3d (三天)

超過 72 小時

1w (一週)

您可以選擇 5 分鐘、30 分鐘、1 小時、3 小時、12 小時的預設集,或自訂。下圖顯示相對於所選事件時段,您可以在自訂設定中選擇。相對時段是指所選 Insights 事件 (顯示在 Insights 事件詳細資訊頁面上) 開始和結束周圍的大約時段。

Insights 圖表時間範圍自訂組態,Relative (相對) 時間

若要自訂選取的預設集,請在預設集下方的方塊中指定數字和時間單位。

若要指定確切的日期和時間範圍,請選擇 Absolute (絕對) 索引標籤。如果您設定了絕對日期和時間範圍,則需要開始和結束時間。如需設定時間的資訊,請參閱此主題中的 篩選 Insights 事件

Insights 圖表時間範圍自訂組態,Absolute (絕對) 時間。

下載 Insights 事件

您可以將記錄的 Insights 事件歷史記錄下載為文件CSV或JSON格式。善用篩選條件和時間範圍,減少下載的檔案大小。

注意

CloudTrail 事件歷程記錄檔案是包含可由個別使用者設定的資訊 (例如資源名稱) 的資料檔案。某些數據可能被解釋為用於讀取和分析此數據(CSV注入)的程序中的命令。例如,將 CloudTrail 事件匯出至試算表程式CSV並匯入至試算表程式時,該程式可能會警告您有關安全性考量的問題。安全最佳實務是停用下載事件歷史記錄檔中的連結或巨集。

  1. 指定您要下載之事件的篩選條件和時間範圍。例如,您可以指定事件名稱 StartInstances,並指定活動的時間範圍為最後三天。

  2. 選擇 [下載事件],然後選擇 [下載] CSV 或 [下載] JSON。系統會提示您選擇儲存檔案的位置。

    注意

    您的下載可能需要一些時間才能完成。如需更快速的結果,請在您開始下載程序之前,使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。

  3. 下載完成後,請開啟檔案,以檢視您指定的事件。

  4. 若要取消下載,請選擇 Cancel download (取消下載)。如果您在下載完成之前取消下載,則本機電腦上的CSV或JSON檔案可能只包含部分事件。