Journalisation des événements Insights

AWS CloudTrail Insights aide les utilisateurs AWS à identifier et à répondre aux activités inhabituelles associées aux taux d'appels des API et aux taux d'erreur de l'API en analysant en continu les événements de gestion de CloudTrail. CloudTrail Insights mesure vos modèles normaux de volume d'appel d'API et vos taux d'erreur de l’API, également appelés référence, et génère des informations Insights lorsque le volume d'appels ou les taux d'erreurs sortent des modèles normaux. Les événements Insights sur le volume d'appels API sont générés pour les API de gestion write, et les événements Insights sur le taux d'erreur de l'API sont générés pour les API de gestion read et write.

Note

Pour enregistrer les événements Insights sur le volume d'appels d'API, le journal de suivi ou l'entrepôt de données d'événements doit enregistrer les événements de gestion write. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal de suivi ou l'entrepôt de données d'événements doit enregistrer les événements de gestion read ou write.

CloudTrail Insights analyse les événements de gestion qui se produisent dans une seule région, et non globalement. Un événement CloudTrail Insights est généré dans la même région que ses événements de gestion connexes.

Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, consultez Tarification d'AWS CloudTrail.

Table des matières

• Comprendre la diffusion d'événements Insights
• Journalisation d'événements Insights avec la AWS Management Console
  • Activer les événements CloudTrail Insights sur un journal de suivi existant
  • Activer les événements CloudTrail Insights sur un entrepôt de données d'événement existant
• Journalisation d'événements Insights avec la AWS Command Line Interface
  • Journaliser les événements Insights pour les journaux de suivi à l'aide de l'AWS CLI
  • Journaliser les événements Insights pour un entrepôt de données d'événement à l'aide de l'AWS CLI
• Journalisation des événements avec les AWS SDK
• Informations supplémentaires pour les journaux de suivi
  • Afficher les événements Insights pour les journaux de suivi dans la console
    • Colonne Filtre
    • Onglet Graphique Insights
    • Onglet Attributions
      • Moyenne de référence et moyenne Insights
    • Onglet Événements CloudTrail
    • Onglet Insights event record (Enregistrement des événements Insights)
  • Envoi d'événements de journaux de suivi à Amazon CloudWatch Logs

Comprendre la diffusion d'événements Insights

Contrairement à d'autres types d'événements capturés par CloudTrail, les événements Insights ne sont journalisés que lorsque CloudTrail détecte des changements dans l'utilisation de l'API de votre compte qui diffèrent de manière significative des modèles d'utilisation typiques du compte.

L'endroit où CloudTrail diffuse les événements et le temps nécessaire pour recevoir les événements Insights varient selon les journaux de suivi et les entrepôts de données d'événement.

Diffusion d'événements Insights pour les journaux de suivi

Si vous avez activé les événements Insights sur un journal de suivi et que CloudTrail détecte une activité inhabituelle, CloudTrail délivre les événements Insights dans le dossier /CloudTrail-Insight du compartiment S3 de destination choisi pour votre journal de suivi. Lorsque vous activez CloudTrail Insights pour la première fois sur un journal d'activité, il peut falloir jusqu'à 36 heures pour que CloudTrail fournisse le premier événement Insights, au cas où une activité inhabituelle est détectée.

Si vous désactivez la journalisation des événements Insights sur un journal de suivi, puis que vous réactivez les événements Insights, ou que vous arrêtez et redémarrez la journalisation des événements Insights, il peut falloir jusqu'à 36 heures pour que CloudTrail recommence à livrer les événements Insights, au cas où une activité inhabituelle est détectée.

Diffusion d'événements Insights pour les entrepôts de données d'événement

Si vous avez activé les événements Insights sur un entrepôt de données d'événement source, CloudTrail livre les événements Insights à l'entrepôt de données d'événement de destination. Lorsque vous activez CloudTrail Insights pour la première fois sur un entrepôt de données d'événement, il peut falloir jusqu'à sept jours pour que CloudTrail fournisse le premier événement Insights à l'entrepôt de données d'événement de destination, au cas où une activité inhabituelle est détectée.

Si vous désactivez la journalisation des événements Insights dans un entrepôt de données d'événement source, puis que vous réactivez les événements Insights, ou que vous arrêtez et redémarrez l'ingestion d'événements dans un entrepôt de données d'événement source, CloudTrail peut mettre jusqu'à sept jours pour recommencer à diffuser les événements Insights, si une activité inhabituelle est détectée. Des frais supplémentaires s'appliquent pour l'ingestion des événements Insights dans CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour en savoir plus sur la tarification CloudTrail, veuillez consulter Tarification AWS CloudTrail.

Journalisation d'événements Insights avec la AWS Management Console

Vous pouvez activer les événements Insights sur un journal de suivi ou un entrepôt de données d'événement à l'aide de la console.

Rubriques

• Activer les événements CloudTrail Insights sur un journal de suivi existant
• Activer les événements CloudTrail Insights sur un entrepôt de données d'événement existant

Activer les événements CloudTrail Insights sur un journal de suivi existant

Utilisez la procédure suivante pour activer les événements CloudTrail Insights sur un journal de suivi existant. Par défaut, les événements Insights ne sont pas activés.

1. Dans le panneau de navigation de gauche de la console CloudTrail, ouvrez la page Journaux d'activité et choisissez un nom de journal d'activité.

2. Dans Insights events (Événements Insights) choisissez Edit (Modifier).

   Note

   Des frais supplémentaires s'appliquent pour la journalisation des événements Insights. Pour la tarification de CloudTrail, consultez Tarification AWS CloudTrail.

3. Dans Event type (Type d'événement), choisissez Insights events (Événements Insights).

4. Dans Événements Insights, sous choisissez Types Insights, choisissez Taux d'appels d'API, Taux d'erreurs d'API, ou les deux. Votre journal de suivi doit journaliser les événements de gestion Écriture pour journaliser les événements Insights afin de connaître le Taux d'appels d'API. Votre journal de suivi doit journaliser les événements de gestion Lecture ou Écriture pour journaliser les événements Insights afin de connaître le Taux d'erreur de l'API.

5. Choisissez Enregistrer les Modifications pour enregistrer vos Modifications.

Prévoyez jusqu'à 36 heures avant que CloudTrail fournisse les premiers événements Insights, si une activité inhabituelle est détectée.

Activer les événements CloudTrail Insights sur un entrepôt de données d'événement existant

Utilisez la procédure suivante pour activer les événements CloudTrail Insights sur un entrepôt de données d'événement existant. Par défaut, les événements Insights ne sont pas activés.

Des frais supplémentaires s'appliquent pour l'ingestion des événements Insights dans CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour en savoir plus sur la tarification CloudTrail, veuillez consulter Tarification AWS CloudTrail.

Note

Vous ne pouvez activer les événements CloudTrail Insights que sur les entrepôts de données d'événement contenant des événements de gestion CloudTrail. Vous ne pouvez pas activer les événements CloudTrail Insights sur d'autres types d'entrepôt de données d'événement.

1. Dans le panneau de navigation de gauche de la console CloudTrail, sous Lake, choisissez Entrepôts de données d'événement.

2. Choisissez le nom de l'entrepôt de données d'événement.

3. Pour Événements de gestion, choisissez Modifier.

4. Choisissez Activer Insights.

5. Choisissez l'entrepôt de données d'événement de destination dans lequel CloudTrail diffusera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights.

6. Sous Choisir les types Insights, choisissez Taux d'appels d'API, Taux d'erreur de l'API, ou les deux. Votre entrepôt de données d'événement doit enregistrer les événements de gestion Écriture pour enregistrer les événements Insights afin de connaître le Taux d'appels d'API. Votre entrepôt de données d'événement doit enregistrer les événements de gestion en Lecture ou en Écriture pour enregistrer les événements Insights afin de connaître le Taux d'erreur de l'API.

7. Choisissez Enregistrer les Modifications pour enregistrer vos Modifications.

Prévoyez jusqu'à sept jours avant que CloudTrail fournisse les premiers événements Insights, si une activité inhabituelle est détectée.

Journalisation d'événements Insights avec la AWS Command Line Interface

Vous pouvez configurer vos journaux de suivi ou vos entrepôts de données d'événement pour qu'ils journalisent les événements Insights à l'aide de l'AWS CLI.

Note

Pour enregistrer les événements Insights sur le volume d'appels d'API, le journal de suivi ou l'entrepôt de données d'événements doit enregistrer les événements de gestion write. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le journal de suivi ou l'entrepôt de données d'événements doit enregistrer les événements de gestion read ou write.

Rubriques

• Journaliser les événements Insights pour les journaux de suivi à l'aide de l'AWS CLI
• Journaliser les événements Insights pour un entrepôt de données d'événement à l'aide de l'AWS CLI

Journaliser les événements Insights pour les journaux de suivi à l'aide de l'AWS CLI

Pour vérifier si votre journal d'activité journalise les événements Insights, exécutez la commande get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

Le résultat suivant présente les paramètres par défaut pour un journal d'activité. Par défaut, les journaux d'activité ne journalisent pas les événements Insights. La valeur d'attribut InsightType est vide et aucun sélecteur d'événement Insight n'est spécifié, car la collecte des événements Insights n'est pas activée.

Si vous n'ajoutez pas de sélecteurs Insights, la commande get-insight-selectors renvoie le message d'erreur suivant : « Une erreur s'est produite (InsightNotenabledException) lors de l'appel de l'opération GetInsightSelectors : le nom du journal d'activité n'a pas activé Insights. Modifiez les paramètres du journal d’activité pour activer Insights, puis réessayez l'opération ».

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Pour configurer votre journal d'activité en sorte qu'il journalise les événements Insights, exécutez la commande put-insight-selectors. L'exemple suivant indique comment configurer votre journal d'activité pour inclure les événements Insights. Les valeurs du sélecteur Insights peuvent être ApiCallRateInsight, ApiErrorRateInsight, ou les deux.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Le résultat suivant montre le sélecteur d'événements Insights configuré pour le journal d'activité.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Journaliser les événements Insights pour un entrepôt de données d'événement à l'aide de l'AWS CLI

Pour activer Insights sur un entrepôt de données d'événement, vous devez disposer d'un entrepôt de données d'événement source qui journalise les événements de gestion et d'un entrepôt de données d'événement de destination qui journalise les événements Insights.

Pour savoir si les événements Insights sont activés dans un entrepôt de données d'événement, exécutez la commande get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Pour savoir si un entrepôt de données d'événement est configuré pour recevoir des événements Insights ou des événements de gestion, exécutez la commande get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

La procédure suivante vous explique comment créer les entrepôts de données d'événement de destination et de destination, puis activer les événements Insights.

1. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement de destination qui collecte les événements Insights. La valeur pour eventCategory doit être Insight. Remplacez retention-period-days par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre entrepôt de données d'événement.

   Si vous êtes connecté avec le compte de gestion d'une organisation AWS Organizations, incluez le paramètre --organization-enabled si vous souhaitez donner à votre administrateur délégué l'accès à l'entrepôt de données d'événement.

   aws cloudtrail create-event-data-store \
   --name insights-event-data-store \
   --no-multi-region-enabled \
   --retention-period retention-period-days \
   --advanced-event-selectors '[
       {
         "Name": "Select Insights events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["Insight"] }
           ]
       }
     ]'
               

   Voici un exemple de réponse.

   {
       "Name": "insights-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "AdvancedEventSelectors": [
           {
              "Name": "Select Insights events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "Insight"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": "90",
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
   }

   Vous utiliserez l'ARN (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre --insights-destination à l'étape 3.

2. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement source qui journalise les événements de gestion. Par défaut, les entrepôts de données d'événement journalisent les événements de gestion et aucun événement de données. Il n'est pas nécessaire de spécifier les sélecteurs d'événements avancés si vous souhaitez journaliser tous les événements de gestion. Remplacez retention-period-days par le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre entrepôt de données d'événement. Si vous créez un entrepôt de données d'événement d'organisation, incluez le paramètre --organization-enabled.

   aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

   Voici un exemple de réponse.

   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
       "Name": "source-event-data-store",
       "Status": "CREATED",
       "AdvancedEventSelectors": [
           {
               "Name": "Default management events",
               "FieldSelectors": [
                   {
                       "Field": "eventCategory",
                       "Equals": [
                           "Management"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
   }

   Vous utiliserez l'ARN (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre --event-data-store à l'étape 3.

3. Exécutez la commande put-insight-selectors pour activer les événements Insights. Les valeurs du sélecteur Insights peuvent être ApiCallRateInsight, ApiErrorRateInsight, ou les deux. Pour le paramètre --event-data-store, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement source qui journalise les événements de gestion et activera Insights. Pour le paramètre --insights-destination, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement de destination qui journalisera les événements Insights.

   aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

   Le résultat suivant montre le sélecteur d'événements Insights configuré pour l'entrepôt de données d'événement.

   {
     "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
     "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
     "InsightSelectors":
         [
            {
               "InsightType": "ApiErrorRateInsight"
            },
            {
               "InsightType": "ApiCallRateInsight"
            }
         ]
   }

   Lorsque vous activez CloudTrail Insights pour la première fois sur un entrepôt de données d'événement, il peut falloir jusqu'à 7 jours pour que CloudTrail fournisse le premier événement Insights, au cas où une activité inhabituelle est détectée.

   CloudTrail Insights analyse les événements de gestion qui se produisent dans une seule région, et non globalement. Un événement CloudTrail Insights est généré dans la même région que ses événements de gestion connexes.

   Pour l'entrepôt de données d'événement d'organisation, CloudTrail analyse les événements de gestion du compte de chaque membre au lieu d'analyser l'agrégation de tous les événements de gestion de l'organisation.

Des frais supplémentaires s'appliquent pour l'ingestion des événements Insights dans CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour en savoir plus sur la tarification CloudTrail, veuillez consulter Tarification AWS CloudTrail.

Journalisation des événements avec les AWS SDK

Exécutez l'opération GetInsightSelectors pour voir si votre journal de suivi ou votre entrepôt de données d'événement journalise les événements Insights. Vous pouvez configurer vos journaux d'activité ou vos entrepôts de données d'événement de sorte qu'ils journalisent les événements Insights à l'aide de l'opération PutInsightSelectors. Pour plus d'informations, consultez la AWS CloudTrail API Reference (Référence d'API).

Informations supplémentaires pour les journaux de suivi

Cette section fournit des informations supplémentaires spécifiques aux journaux de suivi. Cette section décrit comment vous pouvez consulter les événements relatifs aux journaux de suivi auxquels vous êtes abonné depuis la page Insights de la console CloudTrail et comment vous pouvez éventuellement envoyer ces événements à CloudWatch Logs à des fins de surveillance.

Rubriques

• Afficher les événements Insights pour les journaux de suivi dans la console
• Envoi d'événements de journaux de suivi à Amazon CloudWatch Logs

Afficher les événements Insights pour les journaux de suivi dans la console

Pour les journaux de suivi, vous pouvez également accéder aux événements Insights et les afficher sur la page Insights de la console CloudTrail. Pour plus d'informations sur l'accès et l'affichage des événements Insights dans la console et à l'aide de la AWS CLI, consultez Afficher les événements CloudTrail Insights pour les journaux de suivi dans ce guide.

L'image suivante présente un exemple des événements Insights pour un journal de suivi. Vous ouvrez les pages de détails d'un événement Insights en choisissant un nom d'événement Insights dans les pages Dashboard (Tableau de bord) ou Insights.

Si vous désactivez CloudTrail Insights sur un journal d'activité, ou si vous arrêtez la journalisation dans un journal d'activité (ce qui désactive CloudTrail Insights), il se peut que des événements Insights soient stockés dans votre compartiment S3 de destination ou affichés sur la page Insights de la console, datant de la période antérieure où vous avez activé Insights.

Colonne Filtre

La colonne de gauche répertorie les événements Insights qui sont liés à l'API concerné, et qui ont le même type d'événement Insights. La colonne vous permet de choisir l'événement Insights sur lequel vous souhaitez obtenir plus d'informations. Lorsque vous choisissez un événement dans cette colonne, l'événement est mis en surbrillance dans le graphique de l'onglet Insights graph (Graphique Insights). Par défaut, CloudTrail applique un filtre qui limite les événements affichés sur l'onglet Événements CloudTrail à ceux concernant l'API spécifique qui a été appelée pendant la période d'activité inhabituelle qui a déclenché l'événement Insights. Pour afficher tous les événements CloudTrail appelés pendant la période d'activité inhabituelle, y compris les événements non liés à l'événement Insights, désactivez le filtre.

Onglet Graphique Insights

Dans l'onglet Insights graph (Graphique Insights), la page de détails d'un événement Insights présente un graphique du volume d'appel d'API ou un taux d’erreur d'une API ayant eu lieu avant et après qu'un ou plusieurs événements Insights aient été journalisés. Dans le graphique, les événements Insights sont mis en surbrillance avec des barres verticales, la largeur de la barre indiquant l'heure de début et de fin de l'événement Insights.

Dans cet exemple, une bande verticale de mise en surbrillance indique des nombres inhabituels d'appels d'API SendCommand AWS Systems Manager dans un compte. Dans la zone en surbrillance, le nombre d'appels SendCommand ayant dépassé la moyenne de référence du compte, soit 0,0442 appels par minute, CloudTrail a journalisé un événement Insights lorsqu'il a détecté l'activité inhabituelle. L'événement Insights a enregistré que pas moins de 15 appels SendCommand ont été effectués pendant une période de cinq minutes entre 5 h 50 et 5 h 55. Il s'agit d'environ deux fois plus d’appels à cette API en plus par minute que prévu pour le compte. Dans cet exemple, la durée du graphique est de trois heures : de 4 h 30, le 15 juillet 2021 à 7 h 30 (heure d’été du Pacifique), le 15 juillet 2021 (heure d’été du Pacifique). Cet événement commence à 06 h 00, le 15 juillet 2021 (heure d'été du Pacifique) et une heure de fin deux minutes plus tard. Un événement de fin Insights, non mis en surbrillance, montre que l'activité inhabituelle s'est terminée vers 6 h 16.

La référence est calculée sur les sept jours précédant le début d'un événement Insights. Bien que la valeur de la durée de référence (la période que CloudTrail analyse pour l'activité normale sur les API) soit d'environ sept jours, CloudTrail arrondit la durée de référence à un jour entier, de sorte que la durée de référence exacte puisse varier.

Vous pouvez utiliser le plugin Zoom sur la barre d'outils pour zoomer sur l'événement Insights de fin, indiquant les heures de début et de fin. Dans cet exemple, en choisissant Zoom, puis en faisant glisser le curseur Zoom sur une très courte distance sur un bord de l'événement Insights mis en surbrillance, vous élargissez l'événement Insights et affichez plus de détails sur la chronologie.

Dans l'onglet CloudTrail events (Événements CloudTrail), affichez les événements associés analysés par CloudTrail pour déterminer si une activité inhabituelle s'est produite. Dans cet exemple, CloudTrail a analysé 12 événements, dont quatre ont déclenché l'événement Insights.

La capture d'écran suivante présente un onglet de graphique Insights pour un événement Insights de taux d'erreur de l'API. La zone mise en surbrillance indique qu'un événement Insights a été journalisé car les occurrences de l’ NoSuchEntityException erreur sur l’ GetRolePolicy appel d'API IAM ont augmenté au-dessus de la moyenne de référence de 0,0017 NoSuchEntityException erreurs par minute lors de cet appel d'API, soit une moyenne de 18 erreurs par minute pendant la période d'information. Le nombre d'événements CloudTrail ayant déclenché l'événement Insights correspond à la moyenne Insights de 18 erreurs NoSuchEntityException en une minute, dans cet exemple. Contrairement à un graphique de taux d'appels d’API, le taux d'erreur de l'API affiche deux lignes, dans des couleurs contrastées : une ligne mesurant les appels à l'API IAM, GetRolePolicy, qui a entraîné un nombre inhabituel d'erreurs et une ligne mesurant l'erreur sur laquelle une activité inhabituelle a été journalisée NoSuchEntityException.

Onglet Attributions

L'onglet Attributions affiche les informations suivantes relatives à un événement Insights. L’information sur l’onglet Attributions peut vous aider à identifier les causes et les sources de l'activité Insights. Développez les principales zones de référence pour comparer l'identité utilisateur, l'agent utilisateur et l'activité du code d'erreur pendant les périodes normales avec celles attribuées pendant l'activité Insights. Dans Principaux ARN d'identité utilisateur de référence, Principaux agents utilisateurs de référence et Principaux codes d'erreur de référence, uniquement la moyenne de référence (la moyenne historique des événements de l'API qui sont journalisés par l'identité utilisateur, l'agent utilisateur ou qui entraînent le code d'erreur, environ sept jours avant l'heure de début de l'événement Insights) est affichée.

L’onglet Attributions affiche uniquement les principaux ARN d'identité utilisateur et les principaux agents utilisateur pour un événement Insights de taux d'erreur, comme illustré dans l'image suivante. Les principaux codes d'erreur ne sont pas nécessaires pour les événements Insights de taux d'erreur.

• Principaux ARN d'identité des utilisateurs : ce tableau indique jusqu'aux cinq premiers utilisateurs AWS ou les rôles IAM (d’identités utilisateur) qui ont contribué aux appels d'API pendant les périodes d'activité inhabituelles et de référence, dans l'ordre décroissant par le nombre moyen d'appels d'API fournis. Le pourcentage des moyennes en tant que total de l'activité ayant contribué à l'activité inhabituelle est indiqué entre parenthèses. Si plus de cinq ARN d'identité utilisateur ont contribué à l'activité inhabituelle, leur activité sera résumée dans une autre ligne.

• Principaux agents utilisateurs : ce tableau indique jusqu'aux cinq premiers outils AWS à travers lesquels l'identité utilisateur a contribué aux appels d'API pendant les périodes d'activité inhabituelles et de référence, dans l'ordre décroissant par le nombre moyen d'appels d'API fournis. Ces outils incluent la AWS Management Console, la AWS CLI ou les kits de développement logiciel (SDK) d'AWS. Par exemple, un agent utilisateur nommé ec2.amazonaws.com indique que la console Amazon EC2 faisait partie des outils utilisés pour appeler l'API. Le pourcentage des moyennes en tant que total de l'activité ayant contribué à l'activité inhabituelle est indiqué entre parenthèses. Si plus de cinq agents utilisateur ont contribué à l'activité inhabituelle, leur activité sera résumée dans une autre ligne.

• Principaux codes d'erreur - Affichés uniquement pour les événements Insights de taux d'appel d'API. Ce tableau indique les cinq principaux codes d'erreur qui se sont produits sur les appels d'API pendant les périodes d'activité inhabituelles et de référence, dans l'ordre décroissant du plus grand nombre d'appels d'API au plus petit. Le pourcentage des moyennes en tant que total de l'activité ayant contribué à l'activité inhabituelle est indiqué entre parenthèses. Si plus de cinq codes d'erreur se sont produits au cours de l'activité inhabituelle ou de référence, leur activité sera résumée dans une autre ligne.

  Une valeur de None comme l'une des cinq principales valeurs de code d'erreur signifie qu'un pourcentage significatif des appels ayant contribué à l'événement Insights n'a pas entraîné d'erreurs. Si la valeur du code d'erreur estNone, et il n'y a pas d'autres codes d'erreur dans la table, les valeurs des colonnes Insights average (Moyenne Insights) et Baseline average (Moyenne de référence) sont identiques à celles de l'événement Insights globalement. Vous pouvez également afficher ces valeurs dans la fenêtre Insight average (Moyenne Insight) et Baseline average (Moyenne de référence) sous l'onglet Insights graph (Graphique Insights), sous Appels d'API par minute.

Moyenne de référence et moyenne Insights

Moyenne de référence et Moyenne Insights sont affichés pour les principales identités d'utilisateur, les principaux agents utilisateur et les principaux codes d'erreur.

• Baseline average (Moyenne de référence) : taux standard d'appels par minute vers cette API sur lequel l’évènement Insights a été journalisé, mesuré au cours de la semaine précédente, dans une région spécifique de votre compte.

• Insights average (Moyenne Insights) : taux d'appels par minute ou d’erreur à cette API ayant déclenché l'événement Insights. La moyenne de CloudTrail Insights de l'événement de départ est le taux d'appels ou d’erreurs par minute vers l'API ayant déclenché l'événement Insights. Généralement, il s'agit de la première minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le taux d'appels d'API ou d’erreurs par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights de début et l'événement Insights de fin.

Onglet Événements CloudTrail

Sous l'onglet CloudTrail events (Événements CloudTrail), affichez les événements associés analysés par CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjà appliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. Pour afficher tous les événements CloudTrail consignés pendant la période d'activité inhabituelle, désactivez Only show events for selected Insights event (Afficher uniquement les événements relatifs à l'événement Insights sélectionné). L'onglet CloudTrail events (Événements CloudTrail) affiche les événements de gestion CloudTrail liés à l'API objet qui se sont produits entre l'heure de début et de fin de l'événement Insights. Ces événements vous aident à effectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons de l'activité inhabituelle de l'API et l’activité de taux d’erreur.

Onglet Insights event record (Enregistrement des événements Insights)

Comme tout événement CloudTrail, un événement CloudTrail Insights constitue un registre au format JSON. L'onglet Insights event record (Enregistrement des événements Insights) affiche la structure JSON et le contenu des événements de début et de fin Insights, parfois appelés (charge utile) de l'événement. Pour plus d'informations sur les champs et le contenu de l'enregistrement de l’événement Insights, consultez Champs d'enregistrement pour les événements Insights et CloudTrail Insights élément insightDetails dans ce guide.

Envoi d'événements de journaux de suivi à Amazon CloudWatch Logs

CloudTrail prend en charge l'envoi d'événements Insights pour les journaux de suivi à CloudWatch Logs. Lorsque vous configurez votre journal d'activité de sorte qu'il envoie les événements à votre groupe de journaux CloudWatch Logs, CloudTrail Insights envoie uniquement les événements que vous spécifiez dans votre journal d'activité. Par exemple, si vous configurez votre journal d'activité de sorte qu'il journalise à la fois les événements de gestion et les événements Insights, ce dernier envoie les événements de gestion et les événements Insights à votre groupe de journaux CloudWatch Logs. Pour de plus amples informations, veuillez consulter Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatch Logs.