面向跟踪的 Insights 事件的 CloudTrail 记录内容 - Amazon CloudTrail
示例 insightDetails 数据块
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

面向跟踪的 Insights 事件的 CloudTrail 记录内容

跟踪的 Amazon CloudTrail Insights 事件记录包括与 JSON 结构中的其他 CloudTrail 事件不同的字段,有时称为有效载荷。跟踪的 CloudTrail Insights 事件包含下面的字段:

  • eventVersion – 事件的版本。

    从:1.07

    Optional (可选):False

  • eventType – 事件类型。对于 Insights 事件,值始终为 AwsCloudTrailInsight

    从:1.07

    Optional (可选):False

  • eventID – 由 CloudTrail 生成的用来唯一标识每个事件的 GUID。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。

    从:1.07

    Optional (可选):False

  • eventTime – Insights 事件开始或停止的时间,以协调世界时 (UTC) 表示。

    从:1.07

    Optional (可选):False

  • awsRegion – 发生 Insights 事件的 Amazon Web Services 区域,例如 us-east-2

    从:1.07

    Optional (可选):False

  • recipientAccountId – 表示已收到此事件的账户 ID。

    从:1.07

    Optional (可选):True

  • sharedEventID – 一个 GUID,它由 CloudTrail 见解生成以唯一地标识一个 Insights 事件。sharedEventID 在开始和结束 Insights 事件之间是通用的,有助于将两个事件联系起来以唯一地标识异常活动。您可以将 sharedEventID 视为整体 Insights 事件 ID。

    从:1.07

    Optional (可选):False

  • insightDetails – 跟踪的 CloudTrail Insights 事件记录包括 insightDetails 数据块,其中包含有关 Insights 事件的基础触发器的信息,例如事件源、用户身份、用户代理、历史平均值或基准、统计信息、API 名称,以及该事件是 Insights 事件的开始还是结束。

    从:1.07

    Optional (可选):False

    • state – 事件是开始还是结束 Insights 事件。该值可以是 StartEnd

      从:1.07

      Optional (可选):False

    • eventSource – Amazon 服务,它是 ec2.amazonaws.com 等的异常活动的源。

      从:1.07

      Optional (可选):False

    • eventName – Insights 事件的名称,通常是作为异常活动的源的 API 的名称。

      从:1.07

      Optional (可选):False

    • insightType – Insights 事件的类型。该值可以是 ApiCallRateInsightApiErrorRateInsight

      从:1.07

      Optional (可选):False

    • errorCode – 异常活动的错误代码。另请参阅 errorCode 中的 CloudTrail 记录管理事件、数据事件和网络活动事件的内容

      从:1.07

      Optional (可选):True

    • insightContext – 关于 Amazon 工具(称为用户代理)、IAM 用户和角色(称为用户身份)的信息,以及与 CloudTrail 为生成 Insights 事件所分析事件相关的错误代码的信息。此元素还包括统计信息,显示了 Insights 事件中的异常活动与基准或正常活动对比的情况。

      从:1.07

      Optional (可选):False

      • statistics – 包括有关基准的数据,或者在基准期内账户对主题 API 的典型平均调用或错误速率、触发 Insights 事件的调用或错误率、Insights 事件的持续时间(以分钟为单位)以及基准测量周期的持续时间(以分钟为单位)。

        从:1.07

        Optional (可选):False

        • baseline – 基准持续时间内关于账户的 Insights 事件主题 API 的每分钟 API 调用或错误数,计算 Insights 事件开始之前七天内的值。

          从:1.07

          Optional (可选):False

          • average – Insights 活动开始时间之前的七天内每分钟 API 调用或错误数的历史平均值。

            从:1.07

            Optional (可选):False

        • insight – 对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。

          从:1.07

          Optional (可选):False

          • average – 异常活动期间每分钟记录的平均 API 调用或错误数。

            从:1.07

            Optional (可选):False

        • insightDuration – Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 insightDuration

          从:1.07

          Optional (可选):False

        • baselineDuration – 基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。baselineDuration 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。baselineDuration 测量的结束时间始终是见解事件的开始。

          从:1.07

          Optional (可选):False

      • attributions – 包含有关与异常活动和基准活动相关的用户身份、用户代理和错误代码的信息。在见解事件 attributions 数据块中捕获最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。

        从:1.07

        Optional (可选):True

        • attribute – 包含属性类型。值可以是 userIdentityArnuserAgenterrorCode。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 userIdentityArnuserAgenterrorCode 值,但是每个属性实例只会包含 userIdentityArnuserAgenterrorCode 的一个值。

          从:1.07

          Optional (可选):False

        • insight – 此数据块显示对异常活动期间进行的 API 调用或错误有贡献的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示异常活动期间属性值进行的 API 调用或发生的错误的平均数量。

          从:1.07

          Optional (可选):False

          • value – 对异常活动期间进行的 API 调用或错误有贡献的属性。

            从:1.07

            可选:False False

          • averagevalue 字段中的属性在异常活动期间每分钟的 API 调用或错误数。

            从:1.07

            可选:False False

        • baseline – 此数据块显示对正常活动期间进行的 API 调用或错误贡献最多的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示正常活动期间属性值进行的 API 调用或发生的错误的平均数量。

          从:1.07

          可选:False False

          • value – 对正常活动期间的 API 调用或错误有贡献的属性。

            从:1.07

            可选:False False

          • average – 在 Insights 活动开始时间之前的七天内,value 字段中的属性的每分钟 API 调用或错误的历史平均值。

            从:1.07

            可选:False False

  • eventCategory – 事件的类别。对于 Insights 事件,值始终为 Insight

    从:1.07

    Optional (可选):False

示例 insightDetails 数据块

下面是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction 时发生的见解事件的见解事件 insightDetails 数据块示例。有关完整见解事件的示例,请参阅 Insights 事件

此示例来自开始见解事件,通过 "state": "Start" 表示。调用与见解事件关联的 API 的顶级用户身份 CodeDeployRole1CodeDeployRole2CodeDeployRole3,与其对此见解事件的平均 API 调用率以及 CodeDeployRole1 角色的基准值一起显示在 attributions 数据块中。attributions 数据块还显示用户代理为 codedeploy.amazonaws.com,这意味着顶级用户标识使用 Amazon CodeDeploy 控制台运行 API 调用。

因为没有与为了生成见解事件而分析的事件相关的错误代码(值为 null),错误代码的 insight 平均值与整个见解事件的总体 insight 平均值相同,显示在 statistics 数据块中。

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }