面向事件数据存储的 Insights 事件的 CloudTrail 记录内容
事件数据存储的 Amazon CloudTrail Insights 事件记录包括与 JSON 结构中其他 CloudTrail 事件不同的字段,有时称为有效载荷。事件数据存储的 CloudTrail Insights 事件记录包含以下字段:
注意
insightContext 的 attributions 字段中的 insightValue、insightAverage、baselineValue 和 baselineAverage 字段将于 2025 年 6 月 23 日开始弃用。
-
eventVersion– 日志事件格式的版本。Optional (可选):False
-
eventCategory– 事件的类别。对于 Insights 事件,值始终为Insight。Optional (可选):False
-
eventType– 事件类型。对于 Insights 事件,值始终为AwsCloudTrailInsight。Optional (可选):False
-
eventID– 由 CloudTrail 生成的用来唯一标识每个事件的 GUID。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。Optional (可选):False
-
eventTime– Insights 事件开始或停止的时间,以协调世界时 (UTC) 表示。Optional (可选):False
-
awsRegion– 发生 Insights 事件的 Amazon Web Services 区域,例如us-east-2。Optional (可选):False
-
recipientAccountId– 表示已收到此事件的账户 ID。Optional (可选):True
-
sharedEventID– 一个 GUID,它由 CloudTrail 见解生成以唯一地标识一个 Insights 事件。sharedEventID在开始和结束 Insights 事件之间是通用的,有助于将两个事件联系起来以唯一地标识异常活动。您可以将sharedEventID视为整体 Insights 事件 ID。Optional (可选):False
-
addendum– 如果事件传递延迟,或者在记录事件后获得了有关现有事件的其他信息,则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息,则附录字段将包含缺失的信息以及缺失信息的原因。另请参阅addendum中的 CloudTrail 记录管理事件、数据事件和网络活动事件的内容。Optional (可选):True
-
insightSource– 用于收集所分析的管理事件的源事件数据存储。Optional (可选):False
-
insightState– 事件是开始还是结束 Insights 事件。该值可以是Start或End。Optional (可选):False
-
insightEventSource- 是异常活动的来源的 Amazon Web Services 服务,例如ec2.amazonaws.com。Optional (可选):False
-
insightEventName– Insights 事件的名称,通常是作为异常活动的源的 API 的名称。Optional (可选):False
-
insightErrorCode– 异常活动的错误代码。另请参阅errorCode中的 CloudTrail 记录管理事件、数据事件和网络活动事件的内容。Optional (可选):True
-
insightType– Insights 事件的类型。该值可以是ApiCallRateInsight或ApiErrorRateInsight。Optional (可选):False
-
insightContext– 包含有关 Insights 事件底层触发器的信息,例如用户身份、用户代理、历史平均值或基准以及 Insights 持续时间和平均值。Optional (可选):False
-
baselineAverage– 在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。Optional (可选):False
-
insightAverage– 对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。Optional (可选):False
-
baselineDuration– 基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。baselineDuration至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。baselineDuration测量的结束时间始终是见解事件的开始。Optional (可选):False
-
insightDuration– Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生insightDuration。Optional (可选):False
-
attributions– 包含有关与异常活动和基准活动相关的用户身份、用户代理或错误代码的信息。Optional (可选):True
注意
insightContext的attributions字段中的insightValue、insightAverage、baselineValue和baselineAverage字段将于 2025 年 6 月 23 日开始弃用。-
attribute– 包含属性类型。值可以是userIdentityArn、userAgent或errorCode。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的userIdentityArn、userAgent或errorCode值,但是每个属性实例只会包含userIdentityArn、userAgent或errorCode的一个值。Optional (可选):False
-
insightValue– 异常活动期间进行的 API 调用或发生的错误的顶级属性值。Optional (可选):False
-
insightAverage–insightValue字段中的属性在异常活动期间每分钟的 API 调用或错误数。Optional (可选):False
-
baselineValue– 对正常活动期间记录的 API 调用或错误有贡献的顶级属性值。Optional (可选):False
-
baselineAverage– 在 Insights 活动开始时间之前的七天内,baselineValue字段中的属性的每分钟 API 调用或错误的历史平均值。Optional (可选):False
-
insight– 对异常活动期间进行的 API 调用或错误有贡献的前五个属性值。它还显示异常活动期间属性进行的 API 调用或发生的错误的平均数量。Optional (可选):False
-
value– 对异常活动期间进行的 API 调用或错误有贡献的属性。Optional (可选):False
-
average–value字段中的属性在异常活动期间每分钟 API 调用或错误的平均数量。Optional (可选):False
-
-
baseline– 对正常活动期间的 API 调用或错误最有贡献的前五个属性值。它还显示属性值在正常活动期间记录的 API 调用或错误的平均数量。Optional (可选):False
-
value– 对正常活动期间的 API 调用或错误有贡献的属性。Optional (可选):False
-
average– 在 Insights 活动开始时间之前的七天内,value字段中的属性的每分钟 API 调用或错误的历史平均值。Optional (可选):False
-
-
-