本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 见解 insightDetails
元素
Amazon CloudTrail 见解事件记录包括与 JSON 结构中其他 CloudTrail 事件不同的字段,有时称为负载。CloudTrail 见解事件记录包括 insightDetails
数据块,其中包含有关见解事件的基础触发器的信息,例如事件源、用户身份、用户代理、历史平均值或基准、统计信息、API 名称,以及该事件是见解事件的开始还是结束。insightDetails
数据块包含以下信息。
-
state
- 事件是开始还是结束见解事件。该值可以是Start
或End
。从:1.07
Optional (可选):False
-
eventSource
- Amazon 服务终端节点,它是ec2.amazonaws.com
之类的异常活动的源。从:1.07
Optional (可选):False
-
eventName
- 见解事件的名称,通常是作为异常活动的源的 API 的名称。从:1.07
Optional (可选):False
-
insightType
- 见解事件的类型。该值可以是ApiCallRateInsight
和/或ApiErrorRateInsight
。从:1.07
Optional (可选):False
-
insightContext
-关于 Amazon 工具(称为用户代理)、IAM 用户和角色(称为用户身份)的信息,以及与 CloudTrail 为生成 Insights 事件所分析事件相关的错误代码的信息。此元素还包括统计信息,显示了 Insights 事件中的异常活动与基准或正常活动对比的情况。
从:1.07
Optional (可选):False
-
statistics
- 包括有关基准的数据,或者在基准期内账户对主题 API 的典型平均调用或错误速率、在 Insights 事件的第一分钟内触发 Insights 事件的调用或错误速率、Insights 事件的持续时间(以分钟为单位)以及基准测量周期的持续时间(以分钟为单位)。从:1.07
Optional (可选):False
-
baseline
- 在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。从:1.07
Optional (可选):False
-
insight
-对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。
从:1.07
Optional (可选):False
-
insightDuration
- 见解事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在见解事件开始和结束时都会发生insightDuration
。从:1.07
Optional (可选):False
-
baselineDuration
- 基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。baselineDuration
至少为见解事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。baselineDuration
测量的结束时间始终是见解事件的开始。从:1.07
Optional (可选):False
-
-
attributions
- 此数据块包含有关与异常活动和基准活动相关的用户身份、用户代理和错误代码的信息。在见解事件attributions
数据块中捕获最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。从:1.07
Optional (可选):True
-
attribute
- 包含属性类型。值可以是userIdentityArn
、userAgent
或errorCode
。-
userIdentityArn
- 此数据块显示在异常活动期间和基准期引发 API 调用或错误的排名前五的 Amazon 用户或 IAM 角色。另请参阅 CloudTrail 录制内容 中的userIdentity
。从:1.07
Optional (可选):False
-
insight
- 此数据块显示对异常活动期间进行的 API 调用有贡献的最多前五名的用户身份 ARN,按 API 调用数量从最大到最小的降序排列。它还显示了用户身份在异常活动期间进行的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value
- 对异常活动期间进行的 API 调用有贡献的排名前五的用户身份之一的 ARN。从:1.07
Optional (可选):False
-
average
-value
字段中的用户身份在异常活动期间每分钟的 API 调用或错误次数。从:1.07
Optional (可选):False
-
-
baseline
- 此数据块显示在正常活动期间,引发 API 调用或错误的排名前五的用户身份 ARN。它还显示了用户身份在正常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value
- 在正常活动期间,引发 API 调用或错误的排名前五的用户身份中某一个身份的 ARN。从:1.07
Optional (可选):False
-
average
- 在 Insights 活动开始时间之前的七天内,value
字段中用户身份的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
userAgent
- 此数据块显示在异常活动期间和基准期该用户身份通过它对 API 调用做出贡献的最多前五名的 Amazon 工具。这些工具包括 Amazon Web Services Management Console、Amazon CLI 或 Amazon 软件开发工具包。另请参阅 CloudTrail 录制内容 中的userAgent
。从:1.07
Optional (可选):False
-
insight
- 此数据块显示对异常活动期间进行的 API 调用有贡献的最多前五名的用户代理,按 API 调用数量从最大到最小的降序排列。它还显示了用户代理在异常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value
- 对异常活动期间进行的 API 调用有贡献的排名前五的用户代理之一。从:1.07
Optional (可选):False
-
average
-value
字段中的用户代理在异常活动期间,每分钟的 API 调用或错误数。从:1.07
Optional (可选):False
-
-
baseline
- 此数据块显示对正常活动期间进行的 API 调用贡献最大的最多前五名的用户代理。它还显示了用户代理在正常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value
- 在正常活动期间,引发 API 调用或错误的排名前五的用户代理之一。从:1.07
Optional (可选):False
-
average
- 在 Insights 活动开始时间之前的七天内,value
字段中的用户代理的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
errorCode
- 此数据块显示在异常活动期间和基准期的 API 调用中发生的最多前五名的错误代码,按 API 调用数量从最大到最小的降序排列。另请参阅 CloudTrail 录制内容 中的errorCode
。从:1.07
Optional (可选):False
-
insight
- 此数据块显示在异常活动期间进行的 API 调用中发生的最多前五名的错误代码,按相关 API 调用数量从最大到最小的降序排列。它还显示了在异常活动期间发生了错误的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value
- 在异常活动期间进行的 API 调用中发生的排名前五的错误代码之一,例如AccessDeniedException
。如果触发见解事件的任何调用都不会导致错误,则此值为
null
。从:1.07
Optional (可选):False
-
average
-value
字段中的错误代码在异常活动期间每分钟调用的 API 次数。如果错误代码值为
null
,并且insight
数据块中没有其他错误代码,则average
的值与表现见解事件总体的statistics
数据块中的值相同。从:1.07
Optional (可选):False
-
-
baseline
- 此数据块显示在正常活动期间进行的 API 调用中发生的最多前五名的错误代码。它还显示了用户代理在正常活动期间进行的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value
- 在正常活动期间进行的 API 调用中发生的排名前五的错误代码之一,例如AccessDeniedException
。从:1.07
Optional (可选):False
-
average
- 在 Insights 活动开始时间之前的七天内,value
字段中的错误代码的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
-
-
示例 insightDetails
数据块
下面是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction
时发生的见解事件的见解事件 insightDetails
数据块示例。有关完整见解事件的示例,请参阅 CloudTrail 日志事件参考。
此示例来自开始见解事件,通过 "state": "Start"
表示。调用与见解事件关联的 API 的顶级用户身份 CodeDeployRole1
、CodeDeployRole2
和 CodeDeployRole3
,与其对此见解事件的平均 API 调用率以及 CodeDeployRole1
角色的基准值一起显示在 attributions
数据块中。attributions
数据块还显示用户代理为 codedeploy.amazonaws.com
,这意味着顶级用户标识使用 Amazon CodeDeploy 控制台运行 API 调用。
因为没有与为了生成见解事件而分析的事件相关的错误代码(值为 null
),错误代码的 insight
平均值与整个见解事件的总体 insight
平均值相同,显示在 statistics
数据块中。
"insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }