CloudTrail insightDetailsÉlément Insights - AWS CloudTrail
Exemple bloc insightDetails

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail insightDetailsÉlément Insights

AWS CloudTrail Les enregistrements d'événements Insights incluent des champs différents des autres CloudTrail événements de leur structure JSON, parfois appelés charge utile. Un enregistrement d'événement CloudTrail Insights inclut un insightDetails bloc contenant des informations sur les déclencheurs sous-jacents d'un événement Insights, telles que la source de l'événement, les identités des utilisateurs, les agents utilisateurs, les moyennes ou les valeurs de référence historiques, les statistiques, le nom de l'API, et si l'événement marque le début ou la fin de l'événement Insights. Le bloc insightDetails contient les informations suivantes :

  • state - Indique si l'événement constitue l'événement Insights de début ou de fin. La valeur peut être Start ou End.

    Depuis : 1.07

    Facultatif : False

  • eventSource- Le point AWS de terminaison du service à l'origine de l'activité inhabituelle, tel queec2.amazonaws.com.

    Depuis : 1.07

    Facultatif : False

  • eventName - Le nom de l'événement Insights, généralement le nom de l'API qui était la source de l'activité inhabituelle.

    Depuis : 1.07

    Facultatif : False

  • insightType - Le type de l'événement Insights. Cette valeur peut être ApiCallRateInsight, ApiErrorRateInsight ou les deux.

    Depuis : 1.07

    Facultatif : False

  • insightContext -

    Informations sur les AWS outils (appelés agents utilisateurs), les utilisateurs et les rôles IAM (appelés identités d'utilisateurs) et les codes d'erreur associés aux événements CloudTrail analysés pour générer l'événement Insights. Cet élément inclut également des statistiques montrant comment l'activité inhabituelle d'un événement Insights se compare à l'activité de référence, ou normale.

    Depuis : 1.07

    Facultatif : False

    • statistics - Inclut des données sur la baseline (référence), ou taux moyen général d'appels vers l'API objet par un compte tel que mesuré pendant la période de référence, le taux moyen d'appels ayant déclenché l'événement Insights pendant la première minute de l'événement Insights, la durée, en minutes, de l'événement Insights, et la durée, en minutes, de la période de mesure de référence.

      Depuis : 1.07

      Facultatif : False

      • baseline - Le nombre moyen d'appels d'API ou d’erreurs par minute pendant la durée de référence sur l'API objet de l'événement Insights pour le compte, calculé sur les sept jours précédant le début de l'événement Insights.

        Depuis : 1.07

        Facultatif : False

      • insight -

        Pour un événement Insights de démarrage, cette valeur correspond au nombre moyen d'appels d'API ou d’erreurs par minute au début de l'activité inhabituelle. Pour un événement Insights de fin, cette valeur correspond au nombre moyen d'appels d'API ou d’erreurs par minute pendant la durée de l'activité inhabituelle.

        Depuis : 1.07

        Facultatif : False

      • insightDuration - La durée, en minutes, d'un événement Insights (période comprise entre le début et la fin d'une activité inhabituelle sur l'API objet). insightDuration se produit au début et à la fin des événements Insights.

        Depuis : 1.07

        Facultatif : False

      • baselineDuration - La durée, en minutes, de la période de référence (période pendant laquelle l'activité normale est mesurée sur l'API objet). baselineDuration correspond au minimum aux sept jours (10 080 minutes) précédant un événement Insights. Ce champ se produit dans les événements Insights de début et de fin. L'heure de fin de la mesure baselineDuration correspond toujours au démarrage d'un événement Insights.

        Depuis : 1.07

        Facultatif : False

    • attributions- Ce bloc contient des informations sur les identités utilisateur, les agents utilisateur et les codes d'erreur en corrélation avec une activité inhabituelle et de référence. Un maximum de cinq identités utilisateur, cinq agents utilisateur et cinq codes d'erreur sont capturés dans un bloc attributions d'événement Insights, trié par une moyenne du nombre d'activités, dans l'ordre décroissant du plus élevé au plus bas.

      Depuis : 1.07

      Facultatif : True

      • attribute- Contient le type d'attribut. La valeur peut être définie à userIdentityArn, userAgent ou errorCode.

        • userIdentityArn- Un bloc répertoriant les cinq principaux AWS utilisateurs ou rôles IAM ayant contribué aux appels ou aux erreurs d'API au cours de l'activité inhabituelle et des périodes de référence. Consultez aussi userIdentity dans CloudTrail enregistrer le contenu.

          Depuis : 1.07

          Facultatif : False

          • insight- Un bloc qui affiche jusqu'aux cinq ARN d'identité utilisateur qui ont contribué aux appels d'API effectués pendant la période d'activité inhabituelle, dans l'ordre décroissant du nombre d'appels d'API le plus élevé au plus petit. Il indique également le nombre moyen d'appels d'API effectués par les identités d'utilisateur au cours de la période d'activité inhabituelle.

            Depuis : 1.07

            Facultatif : False

            • value- L'ARN de l'une des cinq principales identités utilisateur qui ont contribué aux appels d'API effectués au cours de la période d'activité inhabituelle.

              Depuis : 1.07

              Facultatif : False

            • average - Le nombre d'appels d'API ou d’erreurs par minute au cours de la période d'activité inhabituelle pour l'identité utilisateur dans le champ value.

              Depuis : 1.07

              Facultatif : False

          • baseline - Un bloc qui affiche jusqu'aux cinq ARN d'identité utilisateur qui ont le plus contribué aux appels d'API ou d’erreurs effectués pendant la période d'activité normale. Il indique également le nombre moyen d'appels d'API ou d’erreurs journalisés par les identités utilisateur au cours de la période d'activité normale.

            Depuis : 1.07

            Facultatif : False

            • value - L'ARN de l'une des cinq principales identités utilisateur qui ont contribué aux appels d'API ou erreurs effectués pendant la période d'activité normale.

              Depuis : 1.07

              Facultatif : False

            • average - La moyenne antérieure des appels d'API ou erreurs par minute au cours des sept jours précédant l'heure de démarrage de l'activité Insights pour l'identité utilisateur dans le champ value.

              Depuis : 1.07

              Facultatif : False

        • userAgent- Un bloc qui affiche les cinq principaux AWS outils par lesquels l'identité de l'utilisateur a contribué aux appels d'API pendant les périodes d'activité inhabituelle et de référence. Ces outils incluent le AWS Management Console AWS CLI, ou les AWS SDK. Consultez aussi userAgent dans CloudTrail enregistrer le contenu.

          Depuis : 1.07

          Facultatif : False

          • insight - Un bloc qui affiche jusqu'aux cinq principaux agents utilisateur qui ont contribué aux appels d'API effectués pendant la période d'activité inhabituelle, dans l'ordre décroissant du plus nombre d'appels d'API le plus élevé au plus petit. Il indique également le nombre moyen d'appels d'API ou d’erreurs journalisés par les agents utilisateur au cours de la période d'activité inhabituelle.

            Depuis : 1.07

            Facultatif : False

            • value - L'un des cinq principaux agents utilisateur qui ont contribué aux appels d'API effectués au cours de la période d'activité inhabituelle.

              Depuis : 1.07

              Facultatif : False

            • average - Le nombre d'appels d'API ou d’erreurs journalisés par minute au cours de la période d'activité inhabituelle pour l'agent utilisateur dans le champ value.

              Depuis : 1.07

              Facultatif : False

          • baseline - Un bloc qui affiche jusqu'aux cinq principaux agents utilisateur qui ont le plus contribué aux appels d'API effectués pendant la période d'activité normale. Il indique également le nombre moyen d'appels d'API ou d’erreurs journalisés par les agents utilisateur au cours de la période d'activité normale.

            Depuis : 1.07

            Facultatif : False

            • value - L'un des cinq principaux agents utilisateur qui ont contribué aux appels d'API ou erreurs journalisés pendant la période d'activité normale.

              Depuis : 1.07

              Facultatif : False

            • average - La moyenne antérieure des appels d'API ou erreurs par minute au cours des sept jours précédant l'heure de démarrage de l'activité Insights pour l'agent utilisateur dans le champ value.

              Depuis : 1.07

              Facultatif : False

        • errorCode - Un bloc qui affiche jusqu'aux cinq premiers codes d'erreur qui se sont produits sur les appels d'API pendant les périodes d'activité inhabituelles et de référence, dans l'ordre décroissant du nombre d'appels d'API le plus élevé au plus petit. Consultez aussi errorCode dans CloudTrail enregistrer le contenu.

          Depuis : 1.07

          Facultatif : False

          • insight - Un bloc qui affiche jusqu'aux cinq premiers codes d'erreur qui se sont produits sur les appels d'API effectués pendant la période d'activité inhabituelle, dans l'ordre décroissant du nombre d'appels d'API le plus élevé au plus petit. Il indique également le nombre moyen d'appels d'API sur lesquels les erreurs se sont produites au cours de la période d'activité inhabituelle.

            Depuis : 1.07

            Facultatif : False

            • value - L'un des cinq principaux codes d'erreur qui se sont produits sur les appels API effectués pendant la période d'activité inhabituelle, tels que AccessDeniedException.

              Si aucun des appels qui ont déclenché l'événement Insights n'a entraîné d'erreurs, cette valeur est définie à null.

              Depuis : 1.07

              Facultatif : False

            • average - Le nombre d'appels API par minute au cours de la période d'activité inhabituelle pour le code d'erreur dans le champ value.

              Si la valeur du code d'erreur est définie à null, et il n'y a pas d'autres codes d'erreur dans le bloc insight, la valeur de la propriété average est identique à celle de la statistics pour l'événement Insights dans son ensemble.

              Depuis : 1.07

              Facultatif : False

          • baseline - Un bloc qui affiche jusqu'aux cinq premiers codes d'erreur qui se sont produits sur les appels d'API effectués pendant la période d'activité normale. Il indique également le nombre moyen d'appels d'API effectués par les agents utilisateur au cours de la période d'activité normale.

            Depuis : 1.07

            Facultatif : False

            • value - L'un des cinq principaux codes d'erreur qui se sont produits sur les appels d'API effectués pendant la période d'activité normale, tels que AccessDeniedException.

              Depuis : 1.07

              Facultatif : False

            • average - La moyenne antérieure des appels d'API ou d’erreurs par minute au cours des sept jours précédant l'heure de démarrage de l'activité Insights pour le code d'erreur dans le champ value.

              Depuis : 1.07

              Facultatif : False

Exemple bloc insightDetails

Voici un exemple de bloc insightDetails d'événement Insights pour un événement Insights qui s'est produit lorsque l'API Application Auto Scaling CompleteLifecycleAction été appelée un nombre inhabituel de fois. Pour obtenir un exemple d'événement Insights complet, consultez Événements Insights.

Cet exemple provient d'un événement Insights de démarrage, indiqué par "state": "Start". Les identités utilisateur les plus importantes qui ont appelé les API associées à l'événement Insights,CodeDeployRole1, CodeDeployRole2, et CodeDeployRole3, sont indiqués dans le bloc attributions, ainsi que leurs taux d'appels d'API moyens pour cet événement Insights, et la référence pour le rôle CodeDeployRole1. Le attributions bloc indique également que l'agent utilisateur l'estcodedeploy.amazonaws.com, ce qui signifie que les principales identités d'utilisateurs ont utilisé la AWS CodeDeploy console pour exécuter les appels d'API.

Parce qu'aucun code d'erreur n'est associé aux événements qui ont été analysés pour générer l'événement Insights (la valeur est définie à null), la moyenne insight pour le code d'erreur est la même que la moyenne générale insightpour l'ensemble de l'événement Insights, illustrée dans le bloc statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }