本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 见解 insightDetails 元素
Amazon CloudTrail 见解事件记录包括与 JSON 结构中其他 CloudTrail 事件不同的字段,有时称为负载。CloudTrail 见解事件记录包括 insightDetails 数据块,其中包含有关见解事件的基础触发器的信息,例如事件源、用户身份、用户代理、历史平均值或基准、统计信息、API 名称,以及该事件是见解事件的开始还是结束。insightDetails 数据块包含以下信息。
-
state- 事件是开始还是结束见解事件。该值可以是Start或End。从:1.07
Optional (可选):False
-
eventSource- Amazon 服务终端节点,它是ec2.amazonaws.com之类的异常活动的源。从:1.07
Optional (可选):False
-
eventName- 见解事件的名称,通常是作为异常活动的源的 API 的名称。从:1.07
Optional (可选):False
-
insightType- 见解事件的类型。该值可以是ApiCallRateInsight和/或ApiErrorRateInsight。从:1.07
Optional (可选):False
-
insightContext-关于 Amazon 工具(称为用户代理)、IAM 用户和角色(称为用户身份)的信息,以及与 CloudTrail 为生成 Insights 事件所分析事件相关的错误代码的信息。此元素还包括统计信息,显示了 Insights 事件中的异常活动与基准或正常活动对比的情况。
从:1.07
Optional (可选):False
-
statistics- 包括有关基准的数据,或者在基准期内账户对主题 API 的典型平均调用或错误速率、在 Insights 事件的第一分钟内触发 Insights 事件的调用或错误速率、Insights 事件的持续时间(以分钟为单位)以及基准测量周期的持续时间(以分钟为单位)。从:1.07
Optional (可选):False
-
baseline- 在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。从:1.07
Optional (可选):False
-
insight-对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。
从:1.07
Optional (可选):False
-
insightDuration- 见解事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在见解事件开始和结束时都会发生insightDuration。从:1.07
Optional (可选):False
-
baselineDuration- 基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。baselineDuration至少为见解事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。baselineDuration测量的结束时间始终是见解事件的开始。从:1.07
Optional (可选):False
-
-
attributions- 此数据块包含有关与异常活动和基准活动相关的用户身份、用户代理和错误代码的信息。在见解事件attributions数据块中捕获最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。从:1.07
Optional (可选):True
-
attribute- 包含属性类型。值可以是userIdentityArn、userAgent或errorCode。-
userIdentityArn- 此数据块显示在异常活动期间和基准期引发 API 调用或错误的排名前五的 Amazon 用户或 IAM 角色。另请参阅 CloudTrail 录制内容 中的userIdentity。从:1.07
Optional (可选):False
-
insight- 此数据块显示对异常活动期间进行的 API 调用有贡献的最多前五名的用户身份 ARN,按 API 调用数量从最大到最小的降序排列。它还显示了用户身份在异常活动期间进行的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value- 对异常活动期间进行的 API 调用有贡献的排名前五的用户身份之一的 ARN。从:1.07
Optional (可选):False
-
average-value字段中的用户身份在异常活动期间每分钟的 API 调用或错误次数。从:1.07
Optional (可选):False
-
-
baseline- 此数据块显示在正常活动期间,引发 API 调用或错误的排名前五的用户身份 ARN。它还显示了用户身份在正常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value- 在正常活动期间,引发 API 调用或错误的排名前五的用户身份中某一个身份的 ARN。从:1.07
Optional (可选):False
-
average- 在 Insights 活动开始时间之前的七天内,value字段中用户身份的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
userAgent- 此数据块显示在异常活动期间和基准期该用户身份通过它对 API 调用做出贡献的最多前五名的 Amazon 工具。这些工具包括 Amazon Web Services Management Console、Amazon CLI 或 Amazon 软件开发工具包。另请参阅 CloudTrail 录制内容 中的userAgent。从:1.07
Optional (可选):False
-
insight- 此数据块显示对异常活动期间进行的 API 调用有贡献的最多前五名的用户代理,按 API 调用数量从最大到最小的降序排列。它还显示了用户代理在异常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value- 对异常活动期间进行的 API 调用有贡献的排名前五的用户代理之一。从:1.07
Optional (可选):False
-
average-value字段中的用户代理在异常活动期间,每分钟的 API 调用或错误数。从:1.07
Optional (可选):False
-
-
baseline- 此数据块显示对正常活动期间进行的 API 调用贡献最大的最多前五名的用户代理。它还显示了用户代理在正常活动期间记录的 API 调用或错误的平均数量。从:1.07
Optional (可选):False
-
value- 在正常活动期间,引发 API 调用或错误的排名前五的用户代理之一。从:1.07
Optional (可选):False
-
average- 在 Insights 活动开始时间之前的七天内,value字段中的用户代理的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
errorCode- 此数据块显示在异常活动期间和基准期的 API 调用中发生的最多前五名的错误代码,按 API 调用数量从最大到最小的降序排列。另请参阅 CloudTrail 录制内容 中的errorCode。从:1.07
Optional (可选):False
-
insight- 此数据块显示在异常活动期间进行的 API 调用中发生的最多前五名的错误代码,按相关 API 调用数量从最大到最小的降序排列。它还显示了在异常活动期间发生了错误的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value- 在异常活动期间进行的 API 调用中发生的排名前五的错误代码之一,例如AccessDeniedException。如果触发见解事件的任何调用都不会导致错误,则此值为
null。从:1.07
Optional (可选):False
-
average-value字段中的错误代码在异常活动期间每分钟调用的 API 次数。如果错误代码值为
null,并且insight数据块中没有其他错误代码,则average的值与表现见解事件总体的statistics数据块中的值相同。从:1.07
Optional (可选):False
-
-
baseline- 此数据块显示在正常活动期间进行的 API 调用中发生的最多前五名的错误代码。它还显示了用户代理在正常活动期间进行的 API 调用的平均数量。从:1.07
Optional (可选):False
-
value- 在正常活动期间进行的 API 调用中发生的排名前五的错误代码之一,例如AccessDeniedException。从:1.07
Optional (可选):False
-
average- 在 Insights 活动开始时间之前的七天内,value字段中的错误代码的每分钟 API 调用或错误的历史平均值。从:1.07
Optional (可选):False
-
-
-
-
-
示例 insightDetails 数据块
下面是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction 时发生的见解事件的见解事件 insightDetails 数据块示例。有关完整见解事件的示例,请参阅 CloudTrail 日志事件参考。
此示例来自开始见解事件,通过 "state": "Start" 表示。调用与见解事件关联的 API 的顶级用户身份 CodeDeployRole1、CodeDeployRole2 和 CodeDeployRole3,与其对此见解事件的平均 API 调用率以及 CodeDeployRole1 角色的基准值一起显示在 attributions 数据块中。attributions 数据块还显示用户代理为 codedeploy.amazonaws.com,这意味着顶级用户标识使用 Amazon CodeDeploy 控制台运行 API 调用。
因为没有与为了生成见解事件而分析的事件相关的错误代码(值为 null),错误代码的 insight 平均值与整个见解事件的总体 insight 平均值相同,显示在 statistics 数据块中。
"insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }