CloudTrail 为事件数据存储记录 Insights 事件的内容 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 为事件数据存储记录 Insights 事件的内容

Amazon CloudTrail 事件数据存储的 Insights 事件记录包括与 JSON 结构中其他CloudTrail 事件不同的字段,有时称为负载。事件数据存储的 CloudTrail Insights 事件记录包括以下字段:

注意

insightContextattributions 字段中的 insightValueinsightAveragebaselineValuebaselineAverage 字段将于 2025 年 6 月 23 日开始弃用。

  • eventVersion:日志事件格式的版本。

    可选:False

  • eventCategory:事件的类别。对于 Insights 事件,值始终为 Insight

    可选:False

  • eventType:事件类型。对于 Insights 事件,值始终为 AwsCloudTrailInsight

    可选:False

  • eventID— 由生成的 GUID CloudTrail ,用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。

    可选:False

  • eventTime:Insights 事件开始或停止的时间,以协调世界时(UTC)表示。

    可选:False

  • awsRegion— Insights 事件发生 Amazon Web Services 区域 的地点,例如us-east-2

    可选:False

  • recipientAccountId:表示已收到此事件的账户 ID。

    可选:True

  • sharedEventID— 由 CloudTrail Insights 生成的 GUID,用于唯一标识 Insights 事件。 sharedEventID在 Insights 事件开始和结束 Insights 事件之间很常见,它有助于将两个事件联系起来,以唯一的方式识别异常活动。您可以将 sharedEventID 视为整体 Insights 事件 ID。

    可选:False

  • addendum:如果事件传递延迟,或者在记录事件后获得了有关现有事件的其他信息,则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息,则附录字段将包含缺失的信息以及缺失信息的原因。另请参阅 CloudTrail 记录管理、数据和网络活动事件的内容 中的 addendum

    可选:True

  • insightSource:用于收集所分析的管理事件的源事件数据存储。

    可选:False

  • insightState:事件是开始还是结束 Insights 事件。该值可以是 StartEnd

    可选:False

  • insightEventSource— Amazon Web Services 服务 那是异常活动的来源,例如ec2.amazonaws.com

    可选:False

  • insightEventName:Insights 事件的名称,通常是作为异常活动的源的 API 的名称。

    可选:False

  • insightErrorCode:异常活动的错误代码。另请参阅 CloudTrail 记录管理、数据和网络活动事件的内容 中的 errorCode

    可选:True

  • insightType:Insights 事件的类型。该值可以是 ApiCallRateInsightApiErrorRateInsight

    可选:False

  • insightContext:包含有关 Insights 事件底层触发器的信息,例如用户身份、用户代理、历史平均值或基准以及 Insights 持续时间和平均值。

    可选:False

    • baselineAverage:在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。

      可选:False

    • insightAverage:对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。

      可选:False

    • baselineDuration:基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。baselineDuration 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。baselineDuration 测量的结束时间始终是见解事件的开始。

      可选:False

    • insightDuration:Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 insightDuration

      可选:False

    • attributions:包含有关与异常活动和基准活动相关的用户身份、用户代理或错误代码的信息。

      可选:True

      注意

      insightContextattributions 字段中的 insightValueinsightAveragebaselineValuebaselineAverage 字段将于 2025 年 6 月 23 日开始弃用。

      • attribute:包含属性类型。值可以是 userIdentityArnuserAgenterrorCode。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 userIdentityArnuserAgenterrorCode 值,但是每个属性实例只会包含 userIdentityArnuserAgenterrorCode 的一个值。

        可选:False

      • insightValue:异常活动期间进行的 API 调用或发生的错误的顶级属性值。

        可选:False

      • insightAverageinsightValue字段中的属性在异常活动期间每分钟的 API 调用或错误数。

        可选:False

      • baselineValue:对正常活动期间记录的 API 调用或错误有贡献的顶级属性值。

        可选:False

      • baselineAverage:在 Insights 活动开始时间之前的七天内,baselineValue 字段中的属性的每分钟 API 调用或错误的历史平均值。

        可选:False

      • insight:对异常活动期间进行的 API 调用或错误有贡献的前五个属性值。它还显示异常活动期间属性进行的 API 调用或发生的错误的平均数量。

        可选:False

        • value:对异常活动期间进行的 API 调用或错误有贡献的属性。

          可选:False

        • averagevalue字段中的属性在异常活动期间每分钟 API 调用或错误的平均数量。

          可选:False

      • baseline:对正常活动期间的 API 调用或错误最有贡献的前五个属性值。它还显示属性值在正常活动期间记录的 API 调用或错误的平均数量。

        可选:False

        • value:对正常活动期间的 API 调用或错误有贡献的属性。

          可选:False

        • average:在 Insights 活动开始时间之前的七天内,value 字段中的属性的每分钟 API 调用或错误的历史平均值。

          可选:False