Insights 事件传送 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Insights 事件传送

与 CloudTrail 捕获的其他类型的事件不同,仅在 CloudTrail 检测到账户的 API 使用情况的变化与账户的典型使用模式有显著差异时,才会记录 Insights 事件。

CloudTrail 传输事件的位置以及接收 Insights 事件所需的时间因跟踪和事件数据存储而异。

跟踪的 Insights 事件传输

如果已在跟踪上启用 Insights 事件并且 CloudTrail 检测到异常活动,CloudTrail 会将 Insights 事件传输到跟踪的所选目标 S3 存储桶中的 /CloudTrail-Insight 文件夹。首次对跟踪启用 CloudTrail Insights 后,CloudTrail 最多可能需要 36 小时才能开始传送 Insights 事件,前提是在此期间检测到异常活动。

如果您关闭跟踪上的 Insights 事件日志记录,然后重新启用 Insights 事件,或者停止并重新开始跟踪上的日志记录,则 CloudTrail 最多可能需要 36 小时才能重新开始传送 Insights 事件,前提是在此期间检测到异常活动。

事件数据存储的 Insights 事件传输

如果您在源事件数据存储上启用了 Insights 事件,CloudTrail 会将 Insights 事件传输到目标事件数据存储。首次在源事件数据存储上启用 CloudTrail Insights 后,CloudTrail 最多可能需要 7 天才能开始将 Insights 事件传送到目标事件数据存储,前提是在此期间检测到异常活动。

如果您关闭源事件数据存储上的 Insights 事件日志记录,然后重新启用 Insights 事件,或者停止并重新开始源事件数据存储上的事件摄取,则 CloudTrail 最多可能需要 7 天才能重新开始传送 Insights 事件,前提是在此期间检测到异常活动。在 CloudTrail Lake 中摄取 Insights 事件将收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价