CloudTrail Insights-Ereignisse für Trails mit der Konsole anzeigen - AWS CloudTrail
Filtern von Insights-EreignissenDetails zu Insights-Ereignissen anzeigenZoomen, Schwenken und Herunterladen des DiagrammsÄndern der Einstellungen für die Zeitspanne des DiagrammsHerunterladen von Insights-Ereignissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Insights-Ereignisse für Trails mit der Konsole anzeigen

Nachdem Sie CloudTrail Insights-Ereignisse auf einem Trail aktiviert haben, werden bei CloudTrail Erkennung ungewöhnlicher Aktivitäten API oder Aktivitäten mit hoher Fehlerquote Insights-Ereignisse CloudTrail generiert und diese auf den Seiten Dashboard und Insights in der angezeigt AWS Management Console. Sie können die Insights-Ereignisse in der Konsole anzeigen und die Fehlerbehebung für die ungewöhnlichen Aktivitäten durchführen. In der Konsole werden die letzten 90 Tage der Insights-Ereignisse angezeigt. Sie können Insights-Ereignisse auch mithilfe der AWS CloudTrail Konsole herunterladen. Sie können Ereignisse programmgesteuert mithilfe von oder nachschlagen. AWS SDKs AWS Command Line Interface Weitere Informationen zu CloudTrail Insights-Ereignissen finden Sie Protokollieren von Insights-Ereignissen in diesem Handbuch.

Anmerkung

Um Insights-Ereignisse anhand des API Anrufvolumens protokollieren zu können, muss der Trail write Verwaltungsereignisse protokollieren. Um Insights-Ereignisse entsprechend der API Fehlerrate zu protokollieren, muss der Trail Ereignisse read oder write Verwaltungsereignisse protokollieren.

Nachdem Insights-Ereignisse protokolliert wurden, werden die sie 90 Tage lang auf der Seite Insights angezeigt. Sie können Ereignisse nicht manuell von der Seite Insights löschen. Da Sie einen Trail erstellen müssen, bevor Sie CloudTrail Insights aktivieren können, können Sie Insights-Ereignisse, die in Ihrem Trail protokolliert wurden, anzeigen, solange Sie sie in dem S3-Bucket speichern, der in Ihren Trail-Einstellungen konfiguriert ist.

Überwachen Sie mit Amazon CloudWatch Logs Ihre Traillogs und lassen Sie sich benachrichtigen, wenn bestimmte Insights-Ereignisse auftreten. Weitere Informationen finden Sie unter Überwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs.

So zeigen Sie Insights-Ereignisse an

CloudTrail Insights-Ereignisse müssen auf Ihrem Trail aktiviert sein, damit Insights-Ereignisse in der Konsole angezeigt werden. Wenn ungewöhnliche Aktivitäten festgestellt werden, kann es bis CloudTrail zu 36 Stunden dauern, bis die ersten Insights-Ereignisse angezeigt werden.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole zu https://console.aws.amazon.com/cloudtrail/Hause/.

  2. Wählen Sie im Navigationsbereich die Option Dashboard aus, um die fünf letzten Insights-Ereignisse anzuzeigen, oder Insights, um alle Insights-Ereignisse anzuzeigen, die in den letzten 90 Tagen unter Ihrem Konto protokolliert wurden.

    Auf der Insights-Seite können Sie Insights-Ereignisse nach Kriterien wie API Ereignisquelle, Ereignisname und Ereignis-ID filtern und die angezeigten Ereignisse auf Ereignisse beschränken, die innerhalb eines bestimmten Zeitraums auftreten. Weitere Informationen zum Filtern von Insights-Ereignissen erhalten Sie unter Filtern von Insights-Ereignissen.

Filtern von Insights-Ereignissen

Standardmäßig werden Ereignisse unter Insights in umgekehrter chronologischer Reihenfolge angezeigt. Die neuesten Insights-Ereignisse, sortiert nach Startzeit des Ereignisses, werden oben angezeigt. In der folgenden Liste werden die verfügbaren Attribute beschrieben. Sie können nach den ersten drei Attributen filtern: Ereignisname, Ereignisquelle und Ereignis-ID.

Der Filter für die CloudTrail Insights-Ereignisliste.
Ereignisname

Der Name des Ereignisses, in der Regel das Ereignis, AWS API bei dem ungewöhnliche Aktivitäten aufgezeichnet wurden.

Insight-Typ

Der Typ des CloudTrail Insights-Ereignisses, bei dem es sich entweder um die APIAnrufrate oder um die APIFehlerrate handelt. Mit dem Typ APICall Rate Insight werden API Management-Anrufe, die nur Schreibzugriff haben und pro Minute zusammengefasst werden, anhand eines API Basisanrufvolumens analysiert. Der Typ APIError Rate Insight analysiert API Management-Anrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API Anruf nicht erfolgreich ist.

Ereignisquelle

Der AWS Dienst, an den die Anfrage gestellt wurde, z. B. iam.amazonaws.com oders3.amazonaws.com. Sie können eine Liste von Ereignisquellen durchblättern, nachdem Sie den Filter Event source ausgewählt haben.

Ereignis-ID

Die ID des Insights-Ereignisses. Ereignisse IDs werden in der Tabelle der Insights-Seite nicht angezeigt, sie sind jedoch ein Attribut, nach dem Sie Insights-Ereignisse filtern können. Das Ereignis IDs von Managementereignissen, das analysiert wird, um Insights-Ereignisse zu generieren, unterscheidet sich vom Ereignis IDs von Insights-Ereignissen.

Startzeit des Ereignisses

Der Zeitpunkt des Beginns eines Insights-Ereignisses, gemessen ab der ersten Minute, in der ungewöhnliche Aktivitäten aufgezeichnet wurden. Dieses Attribut wird in der Insights-Tabelle angezeigt, aber Sie können nicht nach der Startzeit des Ereignisses in der Konsole filtern.

Baseline-Durchschnitt

Das normale Muster der Aktivität bei der API Anruf- oder Fehlerquote. Der Baseline-Durchschnitt wird in den sieben Tagen vor Beginn eines Insights-Ereignisses berechnet. Obwohl der Wert der Basisdauer — der Zeitraum, für den die normale Aktivität CloudTrail analysiert APIs wird — ungefähr sieben Tage beträgt, wird die Basisdauer auf eine ganze Ganzzahl CloudTrail gerundet, sodass die genaue Basisdauer variieren kann.

Insight-Durchschnitt

Die durchschnittliche Anzahl von Aufrufen eines oder die durchschnittliche Anzahl eines bestimmten FehlersAPI, der bei Aufrufen eines zurückgegeben wurde und das API Insights-Ereignis ausgelöst hat. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Häufigkeit der Ereignisse, die das Insights-Ereignis ausgelöst haben. Normalerweise ist dies die erste Minute mit ungewöhnlichen Aktivitäten. Der Insight-Durchschnitt für das Endereignis ist die Rate von Vorkommen für die Dauer der ungewöhnlichen Aktivität zwischen dem Insights-Start- und -Endereignis.

Ratenänderung

Die Differenz zwischen dem Wert von Baseline-Durchschnitt und Insight-Durchschnitt, gemessen als Prozentsatz. Beispiel: Wenn der Baseline-Durchschnitt eines AccessDenied-Fehlervorkommens 1,0 und der Insight-Durchschnitt 3,0 beträgt, liegt eine Ratenänderung von 300 % vor. Für eine Ratenänderung für einen Insight-Durchschnitt, der einen Baseline-Durchschnitt übersteigt, wird neben dem Wert ein Nach-oben-Pfeil angezeigt. Wenn das Insights-Ereignis protokolliert wurde, weil die Aktivität unter dem Baseline-Durchschnitt liegt, wird für Ratenänderung ein Nach-unten-Pfeil neben dem Prozentsatz angezeigt.

Wurden für das gewählte Attribut oder die gewählte Zeit keine Ereignisse protokolliert, bleibt die Ergebnisliste leer. Neben dem Filter für den Zeitraum können Sie nur noch einen Attribut-Filter anwenden. Wenn Sie einen anderen Attributfilter auswählen, wird der angegebene Zeitbereich beibehalten.

In den folgenden Schritten wird beschrieben, wie Sie nach einem Attribut filtern.

So filtern Sie nach einem Attribut

  1. Um die Ergebnisse nach einem Attribut zu filtern, wählen Sie ein Nachschlageattribut aus dem Dropdown-Menü aus und geben oder wählen Sie dann einen Wert in das Feld Nachschlagewert eingeben aus.

  2. Um einen Attributfilter zu entfernen, klicken Sie auf das X rechts vom Feld für den Attributfilter.

In den folgenden Schritten wird beschrieben, wie Sie nach einem Start- und Enddatum und nach Uhrzeit filtern.

Nach einem Start- und Enddatum und Uhrzeit filtern

  1. Um den Zeitraum für die Ereignisse, die Sie anzeigen möchten, einzugrenzen, wählen Sie einen Zeitraum in der Zeitspannenleiste oben in der Tabelle aus. Voreingestellte Zeitbereiche umfassen 30 Minuten, 1 Stunde, 3 Stunden oder 12 Stunden. Um einen benutzerdefinierten Zeitraum anzugeben, wählen Sie Benutzerdefiniert aus.

  2. Wählen Sie eine der folgenden Registerkarten.

    • Absolut – Hier können Sie eine bestimmte Zeit wählen. Fahren Sie mit dem nächsten Schritt fort.

    • Relativ zum ausgewählten Ereignis – Standardmäßig ausgewählt. Hier können Sie einen Zeitraum relativ zur Startzeit eines Insights-Ereignisses auswählen. Fahren Sie mit Schritt 4 fort.

  3. Gehen Sie wie folgt vor, um einen absoluten Zeitbereich festzulegen.

    1. Wählen Sie auf der Registerkarte Absolut den Tag aus, an dem der Zeitraum beginnen soll. Geben Sie eine Startzeit am ausgewählten Tag ein. Um ein Datum manuell einzugeben, geben Sie das Datum im Format yyyy/mm/dd ein. Die Start- und Endzeiten verwenden ein 24-Stunden-Format und die Werte müssen das Format hh:mm:ss haben. Um beispielsweise eine Startzeit von 18.30 Uhr anzugeben, geben Sie 18:30:00 ein.

    2. Wählen Sie ein Enddatum für den Bereich im Kalender aus oder geben Sie ein Enddatum und eine Endzeit unterhalb des Kalenders an. Wählen Sie Anwenden aus.

  4. Gehen Sie wie folgt vor, um einen Relativ zum ausgewählten Ereigniszeitbereich festzulegen.

    1. Wählen Sie einen voreingestellten Zeitraum relativ zur Startzeit von Insights-Ereignissen. Voreingestellte Werte sind in Minuten, Stunden, Tagen oder Wochen verfügbar. Die maximale relative Zeitspanne beträgt 12 Wochen.

    2. Passen Sie bei Bedarf den voreingestellten Wert in den Feldern unterhalb der Voreinstellungen an. Wählen Sie Löschen, um Ihre Änderungen bei Bedarf zurückzusetzen. Wenn Sie die gewünschte relative Zeit eingestellt haben, wählen Sie Anwenden.

  5. Wählen Sie unter Bis den Tag aus und geben Sie die Uhrzeit an, die als Endzeitpunkt des Zeitraums verwendet werden soll. Wählen Sie Apply (Anwenden) aus.

  6. Um Zeitraumfilter zu entfernen, klicken Sie auf das Kalendersymbol rechts vom Feld Zeitraum und wählen anschließend Entfernen.

Details zu Insights-Ereignissen anzeigen

  1. Wählen Sie ein Insights-Ereignis in der Ergebnisliste aus, um die Details dazu anzuzeigen. Auf der Seite mit den Details eines Insights-Ereignisses wird ein Diagramm mit der Zeitachse der ungewöhnlichen Aktivitäten angezeigt.

    Eine CloudTrail Insights-Detailseite mit ungewöhnlichen API Aktivitäten.

  2. Bewegen Sie den Mauszeiger über die hervorgehobenen Bänder, um die Startzeit und Dauer jedes Insights-Ereignisses im Diagramm anzuzeigen.

    Statistiken für Insights-Ereignis, nachdem darauf gezeigt wurde.

    Die folgenden Informationen werden im Bereich Zusätzliche Informationen des Diagramms angezeigt:

    • Insight-Typ. Dies kann die API Anrufrate oder die API Fehlerrate sein.

    • Auslöser. Dies ist ein Link zur Registerkarte Cloudtrail-Ereignisse, auf der die Verwaltungsereignisse aufgelistet sind, die analysiert wurden, um festzustellen, dass ungewöhnliche Aktivitäten aufgetreten sind.

    • APIAnrufe pro Minute

      • Basisdurchschnitt — Die typische Häufigkeit pro Minute, in der das API Insights-Ereignis protokolliert wurde, gemessen innerhalb der letzten sieben Tage, in einer bestimmten Region in Ihrem Konto.

      • Insights-Durchschnitt — Die Häufigkeit der Ereignisse pro MinuteAPI, die das Insights-Ereignis ausgelöst haben. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Rate der Aufrufe oder Fehler pro Minute bei dem EreignisAPI, das das Insights-Ereignis ausgelöst hat. Normalerweise ist dies die erste Minute mit ungewöhnlichen Aktivitäten. Der Insights-Durchschnitt für das Endereignis ist die Rate der API Aufrufe oder Fehler pro Minute während der Dauer der ungewöhnlichen Aktivität zwischen dem Insights-Startereignis und dem Insights-Endereignis.

    • Ereignisquelle. Der AWS Service-Endpunkt, auf dem die ungewöhnliche Anzahl von API Aufrufen oder Fehlern protokolliert wurde. Im vorherigen Bild ist ec2.amazonaws.com die Quelle der Service-Endpunkt für AmazonEC2.

    • Ereignis IDs.

      • Startereignis-ID – Die ID des Insights-Ereignisses, das zu Beginn der ungewöhnlichen Aktivitäten protokolliert wurde.

      • Endereignis-ID – Die ID des Insights-Ereignisses, das am Ende der ungewöhnlichen Aktivitäten protokolliert wurde.

      • Gemeinsame Ereignis-ID — In Insights-Ereignissen ist die gemeinsame Ereignis-ID eine, GUID die von CloudTrail Insights generiert wird, um ein Start- und Endpaar von Insights-Ereignissen eindeutig zu identifizieren. Die Gemeinsame Ereignis-ID ist für das Insights-Start- und -Endereignis gleich und dient zum Erstellen einer Korrelation zwischen den beiden Ereignissen, um ungewöhnliche Aktivitäten eindeutig identifizieren zu können.

  3. Wählen Sie die Registerkarte Attributionen, um Informationen zu Benutzeridentitäten, Benutzeragenten und Insights-Ereignissen zur API Anrufrate sowie zu Fehlercodes, die mit ungewöhnlichen Aktivitäten und Basisaktivitäten korrelieren, anzuzeigen. In Tabellen auf der Registerkarte Attributionen werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes angezeigt, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert.

  4. Sehen Sie sich auf der Registerkarte CloudTrail Ereignisse verwandte Ereignisse an, die CloudTrail analysiert wurden, um festzustellen, ob ungewöhnliche Aktivitäten aufgetreten sind. Standardmäßig wird bereits ein Filter auf den Namen des Insights-Ereignisses angewendet, der auch der Name des zugehörigen Ereignisses istAPI. Auf der Registerkarte CloudTrail Ereignisse werden CloudTrail Verwaltungsereignisse zum Thema angezeigtAPI, die zwischen der Startzeit (minus eine Minute) und der Endzeit (plus eine Minute) des Insights-Ereignisses aufgetreten sind.

    Wenn Sie andere Insights-Ereignisse im Diagramm auswählen, ändern sich die in der CloudTrail Ereignistabelle angezeigten Ereignisse. Diese Ereignisse helfen Ihnen dabei, eingehendere Analysen durchzuführen, um die wahrscheinliche Ursache eines Insights-Ereignisses und die Gründe für ungewöhnliche API Aktivitäten zu ermitteln.

    Deaktivieren Sie den Filter, um alle CloudTrail Ereignisse anzuzeigen, die während der Dauer des Insights-Ereignisses protokolliert wurdenAPI, und nicht nur die Ereignisse für die entsprechenden Ereignisse.

  5. Wählen Sie die Registerkarte Insights-Ereignisdatensatz, um die Start- und Endereignisse von Insights im JSON Format anzuzeigen.

  6. Wenn Sie die verknüpfte Ereignisquelle auswählen, kehren Sie zur Seite Insights zurück, die nach dieser Ereignisquelle gefiltert ist.

Zoomen, Schwenken und Herunterladen des Diagramms

Sie können das Diagramm auf der Detailseite des Insights-Ereignisses zoomen, schwenken und dessen Achsen zurücksetzen, indem Sie die Symbolleiste oben rechts verwenden.

Die Befehlssymbolleiste „Achsen herunterladen alsPNG“, „zoomen“, „schwenken“, „vergrößern“, „verkleinern“ und „Achsen zurücksetzen“.

Von links nach rechts haben die Befehlsschaltflächen des Diagramms die folgenden Funktionen:

  • Diagramm herunterladen als PNG — Laden Sie das auf der Detailseite angezeigte Grafikbild herunter und speichern Sie es im PNG Format.

  • Zoomen: Ziehen Sie mit dem Mauszeiger ein Kästchen auf, um einen Bereich des Diagramms auszuwählen, den Sie vergrößern und detaillierter anzeigen möchten.

  • Schwenken: Verschieben Sie das Diagramm, um daneben angeordnete Datumsangaben oder Uhrzeiten anzuzeigen.

  • Achsen zurücksetzen: Setzen Sie die Diagrammachsen wieder in den Originalzustand zurück. Hierbei werden die Zoom- und Schwenkeinstellungen gelöscht.

Ändern der Einstellungen für die Zeitspanne des Diagramms

Sie können die Zeitspanne – die ausgewählte Dauer der auf der x-Achse angezeigten Ereignisse – ändern, die im Diagramm angezeigt wird, indem Sie eine Einstellung in der oberen rechten Ecke des Diagramms auswählen.

Zeitspanne für ein Insights-Ereignis.

Die im Diagramm angezeigte Standardzeitspanne hängt von der Dauer des ausgewählten Insights-Ereignisses ab.

Dauer des Insights-Ereignisses Standardzeitspanne

Weniger als 4 Stunden

3 h (drei Stunden)

Zwischen 4 und 12 Stunden

12 h(12 Stunden)

Zwischen 12 und 24 Stunden

1 T (ein Tag)

Zwischen 24 und 72 Stunden

3 T (drei Tage)

Länger als 72 Stunden

1 W (eine Woche)

Sie können Voreinstellungen von fünf Minuten, 30 Minuten, einer Stunde, drei Stunden, 12 Stunden oder Benutzerdefiniert auswählen. Imfolgenden Image werden Zeiträume angezeigt, die relativ zum ausgewählten Ereignis sind, die Sie in den Einstellungen unter Benutzerdefiniert auswählen können. Relative Zeiträume sind ungefähre Zeiträume, die den Beginn und das Ende des ausgewählten Insights-Ereignisses umgeben, das auf einer Seite mit Details zu Insights-Ereignissen angezeigt wird.

Zeitspanne für benutzerdefinierte Konfiguration des Insights-Diagramms, Relativer Zeitraum

Um eine ausgewählte Voreinstellung anzupassen, geben Sie in den Feldern unter den Voreinstellungen eine Zahl und eine Zeiteinheit an.

Wählen Sie die Registerkarte Absolut aus, um ein genaues Datum und einen Zeitraum anzugeben. Wenn Sie einen absoluten Datums- und Zeitbereich festlegen, sind Start- und Endzeiten erforderlich. Informationen zum Einstellen der Uhrzeit finden Sie unter Filtern von Insights-Ereignissen in diesem Thema.

Zeitspanne für benutzerdefinierte Konfiguration des Insights-Diagramms, Absoluter Zeitraum.

Herunterladen von Insights-Ereignissen

Sie können den aufgezeichneten Insights-Ereignisverlauf als Datei im CSV JSON Oder-Format herunterladen. Verwenden Sie Filter und Zeitbereiche zur Reduzierung der Größe der Datei, die Sie herunterladen.

Anmerkung

CloudTrail Ereignisverlaufsdateien sind Datendateien, die Informationen (wie Ressourcennamen) enthalten, die von einzelnen Benutzern konfiguriert werden können. Einige Daten können möglicherweise als Befehle in Programmen interpretiert werden, die zum Lesen und Analysieren dieser Daten verwendet werden (CSVInjektion). Wenn CloudTrail Ereignisse beispielsweise in ein Tabellenkalkulationsprogramm exportiert CSV und in dieses importiert werden, warnt Sie dieses Programm möglicherweise vor Sicherheitsbedenken. Die bewährte Sicherheitsmethode besteht darin, Links oder Makros aus heruntergeladenen Dateien mit Ereignisverläufen zu deaktivieren.

  1. Geben Sie den Filter und Zeitraum für die Ereignisse an, die Sie herunterladen möchten. Sie können beispielsweise den Ereignisnamen StartInstances und einen Zeitrahmen für die letzten drei Tage Aktivität angeben.

  2. Wählen Sie Ereignisse herunterladen und dann Herunterladen CSV oder Herunterladen JSON aus. Sie werden aufgefordert, einen Speicherort für die Datei auszuwählen.

    Anmerkung

    Ihr Download kann einige Zeit in Anspruch nehmen. Verwenden Sie für schnellere Ergebnisse einen detaillierteren Filter oder einen kürzeren Zeitbereich, um die Ergebnisse einzuschränken, bevor Sie den Download-Vorgang starten.

  3. Wenn der Download abgeschlossen ist, öffnen Sie die Datei, um die Ereignisse anzuzeigen, die Sie angegeben haben.

  4. Um Ihren Download abzubrechen, wählen Sie Download abbrechen. Wenn Sie einen Download abbrechen, bevor er abgeschlossen ist, enthält eine CSV JSON ODER-Datei auf Ihrem lokalen Computer möglicherweise nur einen Teil Ihrer Ereignisse.