Memahami penyampaian acara Wawasan Acara Logging Insights dengan AWS Management Console Acara Logging Insights dengan AWS Command Line Interface Acara Logging Insights dengan AWS SDKs

Acara Logging Insights

AWS CloudTrail Wawasan membantu AWS pengguna mengidentifikasi dan menanggapi aktivitas tidak biasa yang terkait dengan API panggilan dan tingkat API kesalahan dengan terus menganalisis peristiwa CloudTrail manajemen. CloudTrail Wawasan menganalisis pola normal volume API panggilan dan tingkat API kesalahan, juga disebut baseline, dan menghasilkan peristiwa Insights ketika volume panggilan atau tingkat kesalahan berada di luar pola normal. Peristiwa wawasan tentang volume API panggilan dihasilkan untuk write manajemenAPIs, dan peristiwa Wawasan tentang tingkat API kesalahan dihasilkan untuk keduanya read dan write manajemen. APIs

catatan

Untuk mencatat peristiwa Wawasan pada volume API panggilan, penyimpanan data jejak atau peristiwa harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa Wawasan pada tingkat API kesalahan, penyimpanan data jejak atau peristiwa harus mencatat read atau write mengelola peristiwa.

CloudTrail Wawasan menganalisis peristiwa manajemen yang terjadi di satu Wilayah, bukan secara global. Peristiwa CloudTrail Wawasan dihasilkan di Wilayah yang sama dengan peristiwa manajemen pendukungnya yang dihasilkan.

Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

Daftar Isi

Memahami penyampaian acara Wawasan

Tidak seperti jenis peristiwa lain yang CloudTrail menangkap, peristiwa Insights dicatat hanya ketika CloudTrail mendeteksi perubahan dalam API penggunaan akun Anda yang berbeda secara signifikan dari pola penggunaan biasa akun.

Tempat CloudTrail pengiriman acara dan berapa lama waktu yang dibutuhkan untuk menerima acara Insights berbeda antara jejak dan penyimpanan data acara.

Wawasan pengiriman acara untuk jalur

Jika Anda telah mengaktifkan peristiwa Insights di jejak dan CloudTrail mendeteksi aktivitas yang tidak biasa, kirimkan peristiwa CloudTrail Insights ke /CloudTrail-Insight folder di bucket S3 tujuan yang dipilih untuk jejak Anda. Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di jalur, diperlukan waktu hingga 36 jam CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

Jika Anda menonaktifkan log peristiwa Insights di jejak lalu mengaktifkan kembali peristiwa Insights, atau menghentikan dan memulai ulang logging di jejak, diperlukan waktu hingga 36 jam CloudTrail untuk memulai ulang pengiriman peristiwa Insights, jika aktivitas yang tidak biasa terdeteksi.

Wawasan pengiriman acara untuk penyimpanan data acara

Jika Anda telah mengaktifkan peristiwa Insights di penyimpanan data peristiwa sumber, kirimkan peristiwa CloudTrail Insights ke penyimpanan data acara tujuan. Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data peristiwa sumber, diperlukan waktu hingga 7 hari CloudTrail untuk mengirimkan acara Insights pertama ke penyimpanan data acara tujuan, jika aktivitas yang tidak biasa terdeteksi.

Jika Anda menonaktifkan log peristiwa Insights di penyimpanan data peristiwa sumber dan kemudian mengaktifkan kembali peristiwa Insights, atau menghentikan dan memulai ulang konsumsi peristiwa di penyimpanan data peristiwa sumber, diperlukan waktu hingga 7 hari CloudTrail untuk memulai ulang pengiriman peristiwa Wawasan, jika aktivitas yang tidak biasa terdeteksi. Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Acara Logging Insights dengan AWS Management Console

Anda dapat mengaktifkan peristiwa Insights di penyimpanan data jejak atau peristiwa menggunakan konsol.

Topik

Mengaktifkan acara CloudTrail Insights di jalur yang ada
Mengaktifkan peristiwa CloudTrail Wawasan pada penyimpanan data acara yang ada

Mengaktifkan acara CloudTrail Insights di jalur yang ada

Gunakan prosedur berikut untuk mengaktifkan peristiwa CloudTrail Insights pada jejak yang ada. Secara default, peristiwa Insights tidak diaktifkan.

Di panel navigasi kiri CloudTrail konsol, buka halaman Trails, dan pilih nama jejak.
Di acara Wawasan pilih Edit.

catatan
Biaya tambahan berlaku untuk acara logging Insights. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.
Di Jenis acara, pilih Acara Wawasan.
Dalam peristiwa Wawasan, di bagian Pilih jenis Wawasan, pilih rasio API panggilan, tingkat API kesalahan, atau keduanya. Jejak Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Jejak Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk mengetahui tingkat API kesalahan.
Pilih Simpan perubahan untuk menyimpan perubahan Anda.

Diperlukan waktu hingga 36 jam CloudTrail untuk menyampaikan peristiwa Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

Mengaktifkan peristiwa CloudTrail Wawasan pada penyimpanan data acara yang ada

Gunakan prosedur berikut untuk mengaktifkan peristiwa CloudTrail Insights pada penyimpanan data peristiwa yang ada. Secara default, peristiwa Insights tidak diaktifkan.

Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga.

catatan

Anda hanya dapat mengaktifkan peristiwa CloudTrail Insights pada penyimpanan data acara yang berisi peristiwa CloudTrail manajemen. Anda tidak dapat mengaktifkan peristiwa CloudTrail Wawasan pada jenis penyimpanan data acara lainnya.

Di panel navigasi kiri CloudTrail konsol, di bawah Danau, pilih Penyimpanan data acara.
Pilih nama penyimpanan data acara.
Di acara Manajemen, pilih Edit.
Pilih Aktifkan Wawasan.
Pilih penyimpanan data acara tujuan tempat CloudTrail akan mengirimkan acara Insights. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihatUntuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.
Di bawah Pilih jenis Wawasan, pilih tingkat API panggilan, tingkat API kesalahan, atau keduanya. Penyimpanan data acara Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Penyimpanan data acara Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk tingkat API kesalahan.
Pilih Simpan perubahan untuk menyimpan perubahan Anda.

Diperlukan waktu hingga 7 hari CloudTrail untuk menyampaikan peristiwa Wawasan pertama, jika aktivitas yang tidak biasa terdeteksi.

Acara Logging Insights dengan AWS Command Line Interface

Anda dapat mengonfigurasi jejak dan penyimpanan data acara untuk mencatat peristiwa Wawasan menggunakan. AWS CLI

catatan

Topik

Acara Logging Insights untuk jejak menggunakan AWS CLI
Peristiwa Logging Insights untuk penyimpanan data peristiwa menggunakan AWS CLI

Acara Logging Insights untuk jejak menggunakan AWS CLI

Untuk melihat apakah jejak Anda mencatat peristiwa Insights, jalankan get-insight-selectors perintah.


aws cloudtrail get-insight-selectors --trail-name TrailName

Hasil berikut menunjukkan pengaturan default untuk jejak. Secara default, jejak tidak mencatat peristiwa Wawasan. Nilai InsightType atribut kosong, dan tidak ada pemilih acara Insight yang ditentukan, karena koleksi acara Insights tidak diaktifkan.

Jika Anda tidak menambahkan pemilih Wawasan, get-insight-selectors perintah akan mengembalikan pesan galat berikut: “Terjadi kesalahan (InsightNotEnabledException) saat memanggil GetInsightSelectors operasi: Jejak name tidak mengaktifkan Wawasan. Edit pengaturan jejak untuk mengaktifkan Wawasan, lalu coba operasi lagi.”


{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Untuk mengonfigurasi jejak Anda untuk mencatat peristiwa Insights, jalankan put-insight-selectors perintah. Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan peristiwa Wawasan. Nilai pemilih wawasan dapat berupaApiCallRateInsight,ApiErrorRateInsight, atau keduanya.


aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Hasil berikut menunjukkan pemilih peristiwa Insights yang dikonfigurasi untuk jejak.


{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Peristiwa Logging Insights untuk penyimpanan data peristiwa menggunakan AWS CLI

Untuk mengaktifkan Wawasan pada penyimpanan data peristiwa, Anda harus memiliki penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen dan penyimpanan data peristiwa tujuan yang mencatat peristiwa Wawasan.

Untuk melihat apakah peristiwa Insights diaktifkan di penyimpanan data peristiwa, jalankan get-insight-selectors perintah.


aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Untuk melihat apakah penyimpanan data peristiwa dikonfigurasi untuk menerima peristiwa Wawasan atau peristiwa manajemen, jalankan get-event-data-store perintah.


aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Prosedur berikut menunjukkan cara membuat penyimpanan data peristiwa tujuan dan sumber, lalu mengaktifkan peristiwa Wawasan.

Jalankan aws cloudtrail create-event-data-storeperintah untuk membuat penyimpanan data acara tujuan yang mengumpulkan peristiwa Wawasan. Nilai untuk eventCategory harus Insight. Ganti retention-period-days dengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda.

Jika Anda masuk dengan akun manajemen untuk AWS Organizations organisasi, sertakan --organization-enabled parameter jika Anda ingin memberikan akses administrator yang didelegasikan ke penyimpanan data peristiwa.


aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

Berikut ini adalah contoh respons.


{
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

Anda akan menggunakan ARN (atau akhiran ID dariARN) dari respons sebagai nilai untuk --insights-destination parameter pada langkah 3.

Jalankan aws cloudtrail create-event-data-storeperintah untuk membuat penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen. Secara default, data acara menyimpan log semua peristiwa manajemen. Anda tidak perlu menentukan pemilih acara lanjutan jika Anda ingin mencatat semua peristiwa manajemen. Ganti retention-period-days dengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda. Jika Anda membuat penyimpanan data acara organisasi, sertakan --organization-enabled parameternya.


aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

Berikut ini adalah contoh respons.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

Anda akan menggunakan ARN (atau akhiran ID dariARN) dari respons sebagai nilai untuk --event-data-store parameter pada langkah 3.

Jalankan put-insight-selectorsperintah untuk mengaktifkan peristiwa Insights. Nilai pemilih wawasan dapat berupaApiCallRateInsight,ApiErrorRateInsight, atau keduanya. Untuk --event-data-store parameter, tentukan ARN (atau akhiran ID dariARN) penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen dan akan mengaktifkan Wawasan. Untuk --insights-destination parameter, tentukan ARN (atau akhiran ID dariARN) penyimpanan data peristiwa tujuan yang akan mencatat peristiwa Wawasan.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Hasil berikut menunjukkan pemilih peristiwa Insights yang dikonfigurasi untuk penyimpanan data peristiwa.
```
{
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}
```
Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data acara, diperlukan waktu hingga 7 hari CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

CloudTrail Wawasan menganalisis peristiwa manajemen yang terjadi di satu Wilayah, bukan secara global. Peristiwa CloudTrail Wawasan dihasilkan di Wilayah yang sama dengan peristiwa manajemen pendukungnya yang dihasilkan.

Untuk penyimpanan data acara organisasi, CloudTrail menganalisis peristiwa manajemen dari akun masing-masing anggota alih-alih menganalisis agregasi semua peristiwa manajemen untuk organisasi.

Acara Logging Insights dengan AWS SDKs

Jalankan GetInsightSelectorsoperasi untuk melihat apakah penyimpanan data jejak atau acara Anda mengaktifkan peristiwa Insights. Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mengaktifkan peristiwa Wawasan dengan operasi. PutInsightSelectors Untuk informasi lebih lanjut, lihat AWS CloudTrail APIReferensi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memfilter peristiwa data dengan menggunakan pemilih acara tingkat lanjut

CloudTrail isi rekam