活動詳細資訊的內容（使用者、角色、帳戶、角色工作階段、EC2執行個體、S3 儲存貯體）活動詳細資訊的內容 (IP 地址)排序活動詳細資訊篩選活動詳細資訊選取活動詳細資訊的時間範圍查詢原始日誌

整體API通話量的活動詳細資訊

整體API通話量的活動詳細資訊會顯示所選時間範圍內發出的API通話。

若要顯示單一時間間隔的活動詳細資訊，請在圖表上選擇時間間隔。

若要顯示目前範圍時間的活動詳細資訊，請選擇顯示範圍時間的詳細資訊。

請注意，截至 2021 年 7 月 14 日， Detective 開始儲存和顯示API呼叫的服務名稱。該日期會在設定檔面板的時間軸上反白顯示。針對在該日期之前發生的活動，服務名稱為未知服務。

活動詳細資訊的內容（使用者、角色、帳戶、角色工作階段、EC2執行個體、S3 儲存貯體）

對於IAM使用者、IAM角色、帳戶、角色工作階段、EC2執行個體和 S3 儲存貯體，活動詳細資訊包含下列資訊：

每個索引標籤都會提供有關在所選時間範圍內發出之API呼叫集的資訊。

對於 S3 儲存貯體，資訊反映對 S3 儲存貯體進行的API呼叫。

API 呼叫會依呼叫它們的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。
針對每個項目，活動詳細資訊都會顯示成功和失敗的呼叫次數。觀察到的 IP 地址標籤也會顯示每個 IP 地址的位置。
每個項目均顯示呼叫方的訊息。活動詳細資訊會針對帳戶識別使用者或角色。活動詳細資訊會針對角色識別角色工作階段。對於使用者和角色工作階段，活動詳細資訊會識別存取金鑰識別符（AKIDs）。

請注意，自 2021 年 7 月 14 日起，對於帳戶設定檔，活動詳細資訊會顯示使用者或角色，而非 AKIDs。對於角色描述檔，活動詳細資訊會顯示角色工作階段，而不是 AKIDs。針對在 2021 年 7 月 14 日之前發生的活動，呼叫者會列為未知資源。

活動詳細資訊包含以下標籤：

觀察到的 IP 地址

一開始會顯示用於發出API呼叫的 IP 地址清單。

您可以展開每個 IP 地址，以顯示從該 IP 地址發出的API呼叫清單。API 呼叫會依呼叫它們的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。

然後，您可以展開每個API呼叫，以顯示來自該 IP 地址的呼叫者清單。根據設定檔，呼叫者可能是使用者、角色、角色工作階段或 AKID。

檢視整體API通話磁碟區面板的已觀察 IP 地址索引標籤，並展開項目以顯示 IP 地址、API通話和的階層AKIDs。API 呼叫會依服務分組。

API 服務方法

一開始會顯示已發出的API呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。

您可以展開每個API方法，以顯示發出呼叫的 IP 地址清單。

然後，您可以展開每個 IP 地址，以顯示從該 IP 地址AKIDs發出該API呼叫的清單。

依整體API通話磁碟區面板API的服務索引標籤檢視方法，並展開項目以顯示API通話、IP 地址和的階層AKIDs。API 呼叫會依服務分組。

資源或存取金鑰 ID

一開始會顯示使用者、角色、角色工作階段的清單，或用來發出API呼叫AKIDs的清單。

您可以展開每個呼叫者，以顯示呼叫者發出API呼叫的 IP 地址清單。

然後，您可以展開每個 IP 地址，以顯示該呼叫者從該 IP 地址發出的API呼叫清單。API 呼叫會依發出呼叫的服務分組。針對 S3 儲存貯體，服務始終為 Amazon S3。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。

整體API通話磁碟區面板的資源索引標籤檢視，其中展開的項目可顯示 AKIDs、IP 地址的階層，以及依服務分組的API通話。

活動詳細資訊的內容 (IP 地址)

針對 IP 地址，活動詳細資訊包含以下資訊：

每個索引標籤都會提供有關在所選時間範圍內發出之API呼叫集的資訊。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。
針對每個項目，活動詳細資訊都會顯示成功和失敗的呼叫次數。

活動詳細資訊包含以下標籤：

資源

一開始會顯示從 IP 地址發出API呼叫的資源清單。

針對每個資源，清單包括資源名稱、類型和 AWS 帳戶。

您可以展開每個資源，以顯示資源從 IP 地址發出的API呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。

在 IP 地址的整體API通話磁碟區設定檔面板上的活動詳細資訊資源索引標籤檢視。

API 服務方法

一開始會顯示已發出的API呼叫清單。API 呼叫會依發出呼叫的服務分組。如果 Detective 無法判斷已發出呼叫的服務，則該呼叫會列在未知服務下。

您可以展開每次API呼叫，以顯示在所選期間內從 IP 地址發出API呼叫的資源清單。

API 依服務索引標籤檢視 IP 地址整體API通話磁碟區設定檔面板的活動詳細資訊的方法。

排序活動詳細資訊

您可以依任何清單欄排序活動詳細資訊。

當您使用第一欄位排序時，系統只會排序頂層清單。較低層級清單一律會依成功API呼叫的數量排序。

篩選活動詳細資訊

您可以使用篩選選項，來專注於活動詳細資訊中所表示的特定子集或活動方面。

在所有標籤上，您可以依第一欄位中的任何值篩選清單。

若要新增篩選條件

選擇篩選條件方塊。
從屬性中，選擇要用於篩選的內容。
提供用於篩選的值。篩選條件支援部分值。例如，當您依 API 方法篩選時，如果您依篩選Instance，結果會包含名稱Instance中具有的任何API操作。所以 ListInstanceAssociations 和 UpdateInstanceInformation 兩者將匹配。

對於服務名稱、API方法和 IP 地址，您可以指定值或選擇內建篩選條件。

對於通用API子字串 ，選擇代表操作類型的子字串，例如 List、 Create或 Delete。每個API方法名稱都以操作類型開頭。

對於CIDR模式 ，您可以選擇僅包含符合特定CIDR模式的公有 IP 地址、私有 IP 地址或 IP 地址。
如果您有多個篩選條件，請選擇布林值選項來設定此類篩選條件的連線方式。
若要移除篩選條件，請選擇右上角的 x 圖示。
若要清除所有篩選條件，請選擇清除篩選條件。

選取活動詳細資訊的時間範圍

當您首次顯示活動詳細資訊時，時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。

若要變更活動詳細資訊的時間範圍

選擇編輯。
在編輯時間範圍上，選擇要使用的開始和結束時間。

若要將時間範圍設定為設定檔的預設範圍時間，請選擇設定為預設範圍時間。
選擇更新時間範圍。

活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。

查詢原始日誌

Amazon Detective 與 Amazon Security Lake 集成，這意味著您可以查詢和擷取 Security Lake 存儲的原始日誌資料。如需此整合的詳細資訊，請參閱 Amazon Detective 與 Amazon Security Lake 整合。

使用此整合，您可以從 Security Lake 原生支援的以下來源收集和查詢日誌和事件。

AWS CloudTrail 管理事件 1.0 版及更新版本
Amazon Virtual Private Cloud （AmazonVPC）流程日誌 1.0 版及更新版本
Amazon Elastic Kubernetes Service （Amazon EKS）稽核日誌 2.0 版

注意

在 Detective 內查詢原始資料日誌無須額外收費。其他 AWS 服務的用量費用，包括 Amazon Athena ，仍適用公告費率。

若要查詢原始日誌

選擇顯示範圍時間的詳細資訊。
您可以在此開始查詢原始日誌。
在原始日誌預覽資料表中，您可以檢視透過從 Security Lake 查詢資料擷取的日誌和事件。如需有關原始事件日誌的詳細資訊，您可以檢視 Amazon Athena 中顯示的資料。

您可以在查詢原始日誌資料表中取消查詢請求、在 Amazon Athena 中查看結果以及下載結果為逗號分隔值 (.csv) 設定檔。

如果您在 Detective 中查看日誌，但查詢未傳回任何結果，這可能因以下原因造成。

原始日誌可能會先在 Detective 中變成可用，然後才在 Security Lake 日誌表中顯示。請稍後再試。
Security Lake 可能會缺少日誌。如果您等待了很久的時間，則表示 Security Lake 缺少日誌。請與您的 Security Lake 管理員聯絡以解決問題。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

瀏覽活動詳細資訊

地理位置