本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
记录 Insights 事件
Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应与 API 调用和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用量和 API 错误率的正常模式(也称为基线),并在呼叫量或错误率超出正常模式时生成 Insights 事件。针对 write 管理 API 生成的 API 调用量的 Insights 事件,以及针对 read 和 write 管理 API 生成的 API 错误率的 Insights 事件。
注意
要针对 API 调用量记录 Insights 事件,跟踪或事件数据存储必须记录 write 管理事件。要针对 API 错误率记录 Insights 事件,跟踪或事件数据存储必须记录 read 或 write 管理事件。
CloudTrail Insights 分析发生在单个区域(而不是全球区域)的管理事件。 CloudTrail Insights 事件是在生成其支持管理事件的同一区域生成的。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
目录
了解 Insights 事件传输情况
与其他 CloudTrail 捕获类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用量发生变化且与账户的典型使用模式明显不同时才会被记录。
在何处 CloudTrail 交付事件以及接收 Insights 事件所需的时间因跟踪和事件数据存储而异。
跟踪的 Insights 事件传输
如果您已在跟踪上启用 Insights 事件并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的跟踪所选目标 S3 存储桶中的/CloudTrail-Insight文件夹。首次在跟踪中启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 36 小时 CloudTrail 才能交付第一个 Insights 事件。
如果您关闭 Insights 事件记录跟踪然后重新启用 Insights 事件,或者停止并重新启动跟踪的日志记录,则如果检测到异常活动,则可能需要长达 36 小时 CloudTrail 才能重新启动 Insights 事件的交付。
事件数据存储的 Insights 事件传输
如果您已在源事件数据存储上启用 Insights 事件,则会将 Insigh CloudTrail ts 事件传送到目标事件数据存储。首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最多可能需要 7 天才能 CloudTrail 将第一个 Insights 事件传送到目标事件数据存储。
如果您关闭源事件数据存储上的 Insights 事件记录,然后重新启用 Insights 事件,或者在源事件数据存储上停止并重新启动事件摄取,则如果检测到异常活动,则最多可能需要 7 天 CloudTrail 才能重新启动 Insights 事件的交付。在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅Amazon CloudTrail 定价
使用 “记录 Insights” 事件 Amazon Web Services Management Console
您可以使用控制台在跟踪上启用 Insights 事件。
在现有跟踪上启用 CloudTrail Insights 事件
使用以下步骤在现有跟踪上启用 CloudTrail Insights 事件。默认情况下,不启用 Insights 事件。
-
在 CloudTrail 控制台的左侧导航窗格中,打开 T rail s 页面,然后选择一个跟踪名称。
-
在 Insights events(Insights 事件)中,选择 Edit(编辑)。
注意
记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
。 -
在 Event type(事件类型)中,选择 Insights events(Insights 事件)。
-
在 Insights events(Insights 事件)中的 Choose Insights types(选择 Insights 类型)下,选择 API call rate(API 调用率)和/或 API error rate(API 错误率)。跟踪必须记录写入管理事件才能针对 API 调用率记录 Insights 事件。跟踪必须记录读取或写入管理事件才能针对 API 错误率记录 Insights 事件。
-
选择保存更改以保存您的更改。
如果检测到异常活动,则最长可能需要 36 小时 CloudTrail 才能交付第一个 Insights 事件。
使用 “记录 Insights” 事件 Amazon Command Line Interface
您可以使用 Amazon CLI配置跟踪和事件数据存储以记录 Insights 事件。
注意
要针对 API 调用量记录 Insights 事件,跟踪必须记录 write 管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 read 或 write 管理事件。
使用记录跟踪的见解事件 Amazon CLI
要查看您的跟踪是否正在记录 Insights 事件,请运行 get-insight-selectors 命令。
aws cloudtrail get-insight-selectors --trail-nameTrailName
以下结果显示跟踪的默认设置。默认情况下,跟踪记录不记录 Insights 事件。InsightType 属性值为空,并且未指定 Insights 事件选择器,因为未启用见解事件收集。
如果您未添加 Insights 选择器,则该get-insight-selectors命令将返回以下错误消息:“调用 GetInsightSelectors 操作时出现错误 (InsightNotEnabledException):跟踪名称未启用 Insights。Edit the trail settings to enable Insights, and then try the operation again.”
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
要将跟踪配置为记录 Insights 事件,请运行 put-insight-selectors 命令。以下示例说明如何配置跟踪以包含 Insights 事件。Insights 选择器值可以是 ApiCallRateInsight 和/或 ApiErrorRateInsight。
aws cloudtrail put-insight-selectors --trail-nameTrailName--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
以下结果显示为跟踪配置的 Insights 事件选择器。
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
使用 Amazon SDK 记录 Insights 事件
运行该GetInsightSelectors操作以查看您的跟踪是否启用了 Insights 事件。您可以将跟踪配置为通过PutInsightSelectors操作启用 Insights 事件。有关更多信息,请参阅 Amazon CloudTrail API 参考。