在 CloudTrail 控制台中查看跟踪的 CloudTrail Insights 事件 - Amazon CloudTrail
筛选 Insights 事件查看 Insights 事件详细信息缩放、平移和下载图表更改图表时间跨度设置下载 Insights 事件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 CloudTrail 控制台中查看跟踪的 CloudTrail Insights 事件

在跟踪上启用 CloudTrail Insights 事件后,当 CloudTrail 检测到异常 API 或错误率活动时, CloudTrail 会生成 Insights 事件并将其显示在中的控制面板见解页面上 Amazon Web Services Management Console。您可以在控制台中查看 Insights 事件,并对异常活动进行故障排除。控制台中显示了最近 90 天的 Insights 事件。您也可以使用 Amazon CloudTrail 控制台下载 Insights 事件。您可以使用软件开发工具 Amazon 包或以编程方式查找事件。 Amazon Command Line Interface有关 CloudTrail Insights 事件的更多信息,请参阅本指南记录 Insights 事件中的。

注意

要针对 API 调用量记录 Insights 事件,跟踪必须记录 write 管理事件。要针对 API 错误率记录 Insights 事件,跟踪必须记录 readwrite 管理事件。

记录见解事件后,事件将显示在 Insights(见解)页面上达 90 天。您不能从 Insights (Insights) 页面上手动删除事件。由于您必须先创建跟踪,然后才能启用 CloudTrail Insights,因此,只要您将这些事件存储在跟踪设置中配置的 S3 存储桶中,您就可以查看记录到您的跟踪中的 Insights 事件。

使用 Amazon CloudWatch Logs 监控您的跟踪日志,并在发生特定的 Insights 事件活动时收到通知。有关更多信息,请参阅 使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件

查看 Insights 事件

CloudTrail 必须在您的跟踪中启用 Insights 事件,才能在控制台中查看 Insights 事件。如果检测到异常活动,则留出最多 36 小时的时间 CloudTrail 来发布第一个 Insights 事件。

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/home/

  2. 在导航窗格中,选择 Dashboard(控制面板)以查看最近的五个 Insights 事件,或选择 Insights(见解)以查看过去 90 天内在您的账户中记录的所有 Insights 事件。

    Insights(见解)页面上,您可以按事件 API 源、事件名称和事件 ID 等条件筛选 Insights 事件,并将显示的事件限制为在特定时间范围内发生的事件。有关筛选 Insights 事件的更多信息,请参阅 筛选 Insights 事件

筛选 Insights 事件

Insights(见解)中事件的默认显示按照相反的时间顺序显示事件。顶部是最新的 Insights 事件,按事件开始时间排序。下面的列表描述了可用的属性。您可以根据前三个属性进行筛选:Event name(事件名称)、Event source(事件源)和 Event ID(事件 ID)。

CloudTrail Insights 事件列表过滤器。
事件名称

事件的名称,通常是记录异常活动级别的 Amazon API。

Insights 类型

CloudTrail Insights 事件的类型,可以是 API 调用率API 错误率API 调用率见解类型根据基准 API 调用量分析每分钟汇总的只写管理 API 调用。API 错误率见解类型分析生成错误代码的管理 API 调用。如果 API 调用不成功,就会显示错误。

事件源

向其发出请求的 Amazon 服务,例如iam.amazonaws.coms3.amazonaws.com。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。

事件 ID

Insights 事件的 ID。事件 ID 未显示在 Insights(见解)页表格中,但它们是您可用来筛选 Insights 事件的属性。为了生成 Insights 事件而分析的管理事件的事件 ID 与 Insights 事件的事件 ID 不同。

事件开始时间

Insights 事件的开始时间,测量方式为记录异常活动的第一分钟。此属性显示在 Insights(见解)表中,但无法在控制台中通过事件开始时间筛选。

基线平均值

API 调用率或错误率活动的正常模式。计算 Insights 事件开始前七天的基线平均值。尽管基线持续时间( CloudTrail分析 API 正常活动的时间段)的值约为七天,但将基线持续时间 CloudTrail四舍五入为整数天,因此确切的基准持续时间可能会有所不同。

Insight 平均值

触发 Insights 事件的 API 的平均调用次数,或调用 API 时返回的特定错误的平均数。开始事件的 CloudTrail Insights 平均值是触发 Insights 事件的发生率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内发生的速率。

速率变更

以百分比表示 Baseline average(基线平均值)和 Insight average(Insight 平均值)的区别。例如,如果 AccessDenied 发生错误的基线平均值为 1.0,并且 Insight 平均值为 3.0,那么速率变更为 300%。超过基线平均值的 Insight 平均值的速率变更在该值旁边显示向上箭头。如果因活动低于基线平均值而记录了 Insights 事件,Rate change(速率变更)在百分比旁边显示向下箭头。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请从下拉菜单中选择查找属性,然后在 Enter a lookup value(输入查找值)框中键入或选择值。

  2. 要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 X

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 要缩小您要查看的事件的时间范围,请在表格顶部的时间跨度栏上选择时间范围。预设时间范围包括 30 分钟、1 小时、3 小时或 12 小时。要指定自定义时间范围,请选择 Custom(自定义)。

  2. 选择以下选项卡之一。

    • Absolute(绝对)- 供您选择具体的时间。继续执行下一步。

    • Relative to selected event(相对于所选事件)- 默认选中。让您选择相对于 Insights 事件开始时间的时间段。继续执行步骤 4。

  3. 要设置 Absolute(绝对)时间范围,请执行以下操作。

    1. Absolute(绝对)选项卡上,选择希望时间范围开始的日期。输入所选日期的开始时间。要手动输入日期,请使用 yyyy/mm/dd 格式键入日期。开始时间和结束时间使用 24 小时制,且值必须采用 hh:mm:ss 格式。例如,要指示开始时间为下午 6:30,请输入 18:30:00

    2. 在日历上选择范围的结束日期,或在日历下方指定结束日期和时间。选择 应用

  4. 要设置 Relative to selected event(相对于所选事件)时间范围,请执行以下操作。

    1. 选择相对于 Insights 事件开始时间的预设时间段。预设值单位可为分钟、小时、天或周。最长相对时间周期为 12 周。

    2. 如果需要,请在预设下方的框中自定义预设值。如果老板娘,选择 Clear(清除)以重置您的更改。设置了所需的相对时间后,请选择 Apply(应用)。

  5. To (结束时间) 中,选择日期并指定要作为时间范围结束的时间。选择 应用

  6. 要删除一个时间范围筛选条件,请选择该 Time range (时间范围) 框右侧的日历图标,然后选择 Remove (删除)。

查看 Insights 事件详细信息

  1. 选择 Insights 列表中的事件以显示其详细信息。Insights 事件的详细信息页面显示异常活动时间表的图表。

    显示异常 API 活动的 CloudTrail 见解详情页面。

  2. 将鼠标悬停在突出显示的带上,以显示图表中的每个 Insights 事件的开始时间和持续时间。

    将鼠标悬停在 Insights 事件上后显示的见解事件统计信息。

    Additional information(其他信息)图表区域显示以下信息:

    • 见解类型:该类型可以是 API 调用率或 API 错误率。

    • 触发器:这是指向 Cloudtrail events(CloudTrail 事件)选项卡的链接,该选项卡列出了为确定发生了异常活动而分析的管理事件。

    • 每分钟 API 调用数

      • Baseline average(基线平均值)– 在您账户中特定区域内,大约前七天内测量的每分钟对记录 Insights 事件的 API 的典型调用速率。

      • Insights average(Insights 平均值)– 触发 Insights 事件的此 API 的每分钟调用速率。启动事件的 CloudTrail Insights 平均值是触发 Insights 事件的 API 上每分钟的调用率或错误率。通常情况下,这是异常活动的第一分钟。结束事件的 Insights 平均值是在开始 Insights 事件和结束 Insights 事件之间异常活动持续时间内,每分钟 API 调用的速率。

    • 事件源:记录异常数量的 API 调用或错误的 Amazon 服务端点。在前面的图像中,源是 ec2.amazonaws.com,它是 Amazon EC2 的服务终端节点。

    • 事件 ID

      • Start event ID(开始事件 ID)– 异常活动开始时记录的 Insights 事件 ID。

      • End event ID(结束事件 ID)– 异常活动结束时记录的 Insights 事件 ID。

      • 共享事件 ID-在 Insights 事件中,共享事件 ID 是 Insights 生成的 GUID,用于唯一标识 CloudTrail Insights 事件的开始和结束对。Shared event ID(共享事件 ID)在开始和结束 Insights 事件之间是通用的,并且有助于在这两个事件建立关联以唯一地标识异常活动。

  3. 选择 Attributions(归因)选项卡,可查看有关与异常活动和基准活动相关的用户身份、用户代理、API 调用率 Insights 事件和错误代码的信息。在 Attributions(归因)选项卡上的表格中显示最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。有关 Attributions(归因)选项卡的更多信息,请参阅本指南中的 Attributions(属性)选项卡CloudTrail 见解insightDetails元素

  4. CloudTrail 事件选项卡上,查看相关事件,这些事件 CloudTrail经过分析以确定发生了异常活动。默认情况下,已对 Insights 事件名称应用了筛选条件,该名称也是相关 API 的名称。CloudTrail 事件选项卡显示在 Insights 事件的开始时间(减去一分钟)和结束时间(加一分钟)之间发生的与主题 API 相关的 CloudTrail 管理事件。

    当您在图表中选择其他 Insights 事件时,事件表中显示CloudTrail 的事件会发生变化。这些事件可帮助您执行更深入的分析,以确定 Insights 事件的可能原因以及异常 API 活动的原因。

    要显示在 Insights 事件持续时间内记录的所有 CloudTrail 事件,而不仅仅是相关 API 的事件,请关闭过滤器。

  5. 选择 Insights event record(Insights 事件记录)选项卡以查看 JSON 格式的 Insights 开始和结束事件。

  6. 选择链接的 Event source(事件源)将返回由该事件源筛选的 Insights(见解)页面。

缩放、平移和下载图表

您可以使用右上角的工具栏缩放、平移和重置 Insights 事件详细信息页面上图表的轴。

以 PNG 格式下载、缩放、平移、放大、缩小和重置轴命令工具栏。

从左到右,图表工具栏上的命令按钮执行以下操作:

  • Download plot as a PNG (以 PNG 格式下载图表) - 下载详细信息页面上显示的图表图像,并将其保存为 PNG 格式。

  • Zoom (缩放) - 拖动以选择图表上要放大的区域并更详细地查看。

  • Pan (平移) - 移动图表以查看相邻的日期或时间。

  • Reset axes (重置轴) - 将图表轴更改回原始状态,同时清除缩放和平移设置。

更改图表时间跨度设置

您可以更改时间跨度 - 事件显示在 x 轴上的所选持续时间 - 通过选择图表右上角的设置显示在图表中。

Insights 事件的时间跨度控制。

图表中显示的默认时间跨度取决于所选 Insights 事件的持续时间。

Insights 活动的持续时间 默认时间跨度

小于 4 小时

3h(三小时)

4 至 12 小时之间

12h(12 小时)

12 至 24 小时之间

1d(一天)

24 至 72 小时之间

3d(三天)

超过 72 小时

1w(一周)

您可以选择 5 分钟、30 分钟、1 小时、3 小时、12 小时或 Custom(自定义)。下图显示了 Relative to selected event(相对于所选事件)时间段,您可以在 Custom(自定义)设置中选择。相对时间段是在 Insights 事件详细信息页面上显示的所选 Insights 事件的开始和结束前后的大致时间段。

Insights 图表时间跨度自定义配置,Relative(相对)时间

要自定义选定的预设,请在预设下方的框中指定数值和时间单位。

要指定确切的日期和时间范围,请选择 Absolute (绝对) 选项卡。如果设置绝对日期和时间范围,则需要提供开始和结束时间。有关如何设置时间的信息,请参阅本主题中的 筛选 Insights 事件

Insights 图表时间跨度自定义配置,Absolute(绝对)时间。

下载 Insights 事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的 Insights 事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史文件是包含可由个人用户配置的信息(例如资源名称)的数据文件。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出为 CSV 并导入到电子表格程序时,该程序可能会警告您注意安全问题。作为安全最佳实践,请禁用来自下载的事件历史记录文件中的链接或宏。

  1. 指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称 StartInstances,并指定时间范围为过去 3 天的活动。

  2. 选择 Download events(下载事件),然后选择 Download CSV(下载 CSV)或 Download JSON(下载 JSON)。系统会提示您选择保存文件的位置。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择 Cancel download (取消下载)。如果在下载完成之前取消下载,则本地计算机上的 CSV 或 JSON 文件可能只包含部分事件。