Registrazione degli eventi Insights - AWS CloudTrail
Comprensione della distribuzione di eventi InsightsRegistrazione di eventi Insights con la AWS Management ConsoleRegistrazione di eventi Insights con la AWS Command Line InterfaceRegistrazione degli eventi con gli SDK AWSInformazioni aggiuntive sui percorsi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione degli eventi Insights

AWS CloudTrail Insights aiuta gli utenti AWS a identificare e a rispondere ad attività insolite o anomale associate alla frequenza delle chiamate API e di errore API grazie a un'analisi continua degli eventi di gestione CloudTrail. CloudTrail Insights analizza i modelli normali del volume delle chiamate API e la frequenza di errore API, chiamati anche riferimento, e genera eventi Insights quando il volume delle chiamate o la frequenza di errore sono al di fuori dei modelli normali. Gli eventi di Insights sul volume delle chiamate API vengono generati per API di gestione write e gli eventi Insights sulla frequenza di errore API vengono generati per API di gestione read e write.

Nota

Per registrare gli eventi di Insights sul volume delle chiamate API, il percorso o il datastore di eventi deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il percorso o il datastore di eventi deve registrare gli eventi di gestione read o write.

CloudTrail Insights analizza gli eventi di gestione che si verificano in un'unica regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

Comprensione della distribuzione di eventi Insights

A differenza di altri tipi di eventi acquisiti da CloudTrail, gli eventi Insights vengono registrati solo quando CloudTrail rileva modifiche all'utilizzo dell'API dell'account che differiscono significativamente dai modelli di utilizzo tipici dell'account.

Il luogo in cui CloudTrail fornisce gli eventi e il tempo necessario per ricevere gli eventi Insights differiscono a seconda dei percorsi e dei datastore di eventi.

Distribuzione di eventi Insights per i percorsi

Se hai abilitato Insights su un percorso e CloudTrail rileva un'attività insolita, gli eventi Insights vengono distribuiti nella cartella /CloudTrail-Insight nel bucket S3 di destinazione scelto per il percorso. Dopo che hai abilitato CloudTrail Insights per la prima volta su un percorso, può essere necessario attendere fino a 36 ore affinché CloudTrail distribuisca il primo evento Insights, se viene rilevata un'attività insolita.

Se si disattiva la registrazione degli eventi Insights su un percorso e quindi si riattivano gli eventi Insights o si interrompe e riavvia la registrazione su un percorso, può essere necessario attendere fino a 36 ore affinché CloudTrail riavvii la distribuzione di eventi Insights, se viene rilevata un'attività insolita.

Distribuzione di eventi Insights per i datastore di eventi

Se hai abilitato gli eventi Insights su un datastore di eventi di origine, CloudTrail distribuirà gli eventi Insights al datastore di eventi di destinazione. Dopo aver abilitato CloudTrail Insights per la prima volta nel datastore di eventi di origine, potrebbe essere necessario attendere fino a 7 giorni affinché CloudTrail distribuisca il primo evento Insights al datastore di eventi di destinazione, se viene rilevata un'attività insolita.

Se si disattiva la registrazione degli eventi Insights su un datastore di eventi di origine e quindi si riattivano gli eventi Insights o si interrompe e riavvia la registrazione su un datastore di eventi di origine, può essere necessario attendere fino a 7 giorni affinché CloudTrail riavvii la distribuzione di eventi Insights, se viene rilevata un'attività insolita. Per l'importazione degli eventi Insights in CloudTrail Lake vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Registrazione di eventi Insights con la AWS Management Console

Puoi abilitare gli eventi Insights su un percorso o in un datastore di eventi utilizzando la console.

Abilitazione di eventi CloudTrail Insights su un percorso esistente.

Utilizza la procedura seguente per abilitare gli eventi CloudTrail Insights su un percorso esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

  1. Nel pannello di navigazione a sinistra della console CloudTrail, apri la pagina Trails (Percorsi) e scegli il nome del percorso.

  2. In Insights events (Eventi Insights) scegli Edit (Modifica).

    Nota

    Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per i prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

  3. In Event type (Tipo di evento), scegli Insights events (Eventi Insights).

  4. In Insights events (Informazioni dettagliate eventi), in Choose Insights types (Scegli i tipi di informazioni dettagliate), scegli API call rate (Tasso di chiamata API), Tasso di errore API o entrambi. Il percorso deve registrare gli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Il percorso deve registrare gli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

  5. Per salvare le modifiche, scegli Salva modifiche.

Può essere necessario attendere fino a 36 ore affinché CloudTrail distribuisca i primi eventi Insights, se viene rilevata un'attività insolita.

Abilitazione di eventi CloudTrail Insights su un datastore di eventi esistente

Utilizza la procedura seguente per abilitare gli eventi CloudTrail Insights su un datastore di eventi esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

Per l'importazione degli eventi Insights in CloudTrail Lake vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Nota

È possibile abilitare gli eventi di CloudTrail Insights solo nei datastore di eventi che contengono eventi di gestione CloudTrail. Non è possibile abilitare gli eventi CloudTrail Insights su altri tipi di datastore di eventi.

  1. Scegli Lake nel riquadro di navigazione sulla sinistra della console CloudTrail, quindi Datastore di eventi.

  2. Scegli l'evento dal datastore di eventi.

  3. Per Eventi di gestione, scegli Modifica.

  4. Scegli Abilita Insights.

  5. Scegli il datastore di eventi di destinazione in cui CloudTrail fornirà gli eventi Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

  6. In Scegli i tipi di Insights, scegli Frequenza di chiamata API, Frequenza di errore API o entrambi. Il datastore di eventi deve registrare gli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Il datastore di eventi deve registrare gli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

  7. Per salvare le modifiche, scegli Salva modifiche.

Può essere necessario attendere fino a 7 giorni ore affinché CloudTrail distribuisca i primi eventi Insights, se viene rilevata un'attività insolita.

Registrazione di eventi Insights con la AWS Command Line Interface

Puoi configurare i percorsi o i datastore di eventi per registrare gli eventi Insights utilizzando la AWS CLI.

Nota

Per registrare gli eventi di Insights sul volume delle chiamate API, il percorso o il datastore di eventi deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il percorso o il datastore di eventi deve registrare gli eventi di gestione read o write.

Registrazione di eventi Insights per i percorsi tramite la AWS CLI

Per verificare se il percorso sta registrando eventi Insights, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

Il risultato seguente mostra le impostazioni predefinite per un trail. Per impostazione predefinita, i trail non registrano gli eventi Insights. Il valore dell'attributo InsightType è vuoto e non vengono specificati selettori di eventi Insight, poiché la raccolta di eventi Insights non è abilitata.

Se non si aggiungono i selettori Insights, il comando get-insight-selectors restituisce il seguente messaggio di errore: «Si è verificato un errore (InsightNotenableDexception) durante la chiamata all'operazione GetInsightSelectors: Percorso nome non dispone di Insights abilitati. Modificare le impostazioni del percorso per abilitare Insights, quindi riprovare l'operazione.»

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Per configurare il percorso per la registrazione di eventi Insights, esegui il comando put-insight-selectors. Nell'esempio seguente viene illustrato come configurare il percorso per includere eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Il risultato seguente mostra il selettore di eventi Insights configurato per il trail.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Registrazione di eventi Insights per un datastore di eventi tramite la AWS CLI

Per registrare gli eventi di Insights in un datastore di eventi, è necessario un datastore di eventi di origine che registri gli eventi di gestione e un datastore di eventi di destinazione che registri gli eventi Insights.

Per vedere se gli eventi Insights sono abilitati su un datastore di eventi, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Per vedere se un datastore di eventi è configurato per ricevere gli eventi Insights o gli eventi di gestione, esegui il comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.

  1. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di eventCategory deve essere Insight. Sostituisci retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo datastore di eventi.

    Se hai effettuato l'accesso con l'account di gestione di un'organizzazione AWS Organizations, includi il parametro --organization-enabled se desideri consentire all'amministratore delegato l'accesso al datastore di eventi.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Di seguito è riportata una risposta di esempio.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

    Come valore per il parametro --insights-destination nel passaggio 3 utilizzerai l'ARN (o il suffisso ID dell'ARN) dalla risposta.

  2. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Sostituisci retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo datastore di eventi. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Di seguito è riportata una risposta di esempio.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

    Come valore per il parametro --event-data-store nel passaggio 3 utilizzerai l'ARN (o il suffisso ID dell'ARN) dalla risposta.

  3. Esegui il comando put-insight-selectors per abilitare gli eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi. Per il parametro --event-data-store, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il parametro --insights-destination, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di destinazione che registrerà gli eventi di Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Dopo aver abilitato CloudTrail Insights per la prima volta nel datastore di eventi di origine, potrebbe essere necessario attendere fino a 7 giorni affinché CloudTrail distribuisca il primo evento Insights, se viene rilevata un'attività insolita.

    CloudTrail Insights analizza gli eventi di gestione che si verificano in un'unica regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

    Per un datastore di eventi dell'organizzazione, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.

Per l'importazione degli eventi Insights in CloudTrail Lake vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail.

Registrazione degli eventi con gli SDK AWS

Esegui l'operazione GetInsightSelectors per verificare se il percorso o il datastore di eventi abilita gli eventi Insights. Puoi configurare i percorsi o i datastore di eventi per registrare eventi Insights con l'operazione PutInsightSelectors. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

Informazioni aggiuntive sui percorsi

Questa sezione fornisce informazioni aggiuntive specifiche sui percorsi. Questa sezione descrive come visualizzare gli eventi per i percorsi sottoscritti dalla pagina Insights nella console CloudTrail e come inviare facoltativamente questi eventi a File di log CloudWatch per il monitoraggio.

Visualizzazione degli eventi Insights per i percorsi nella console

Per i percorsi, puoi inoltre accedere e visualizzare gli eventi Insights sulla pagina Insights nella console CloudTrail. Per ulteriori informazioni su come accedere agli eventi Insights e visualizzarli nella console utilizzando la AWS CLI, consulta Visualizzazione degli eventi CloudTrail Insights per i percorsi in questa guida.

La seguente immagina mostra un esempio di eventi Insights per un percorso. Puoi aprire le pagine dei dettagli di un evento Insights selezionandone il nome dalle pagine Dashboard (Pannello di controllo) o Insights.

Se disabiliti CloudTrail Insights o interrompi la registrazione su un percorso (disabilitando CloudTrail Insights), potresti avere eventi Insights archiviati nel bucket S3 di destinazione o che compaiono nella pagina Insights della console risalenti al periodo precedente all'abilitazione di Insights.

Colonna del filtro

Nella colonna di sinistra sono elencati gli eventi Insights correlati all'API in oggetto e che hanno lo stesso tipo di evento Insights. La colonna ti consente di scegliere l'evento Insights per il quale vuoi ottenere ulteriori informazioni. Quando scegli un evento in questa colonna, l'evento viene evidenziato nel grafico nella scheda Insights graph (Grafico Insights). Per impostazione predefinita, CloudTrail applica un filtro che limita gli eventi mostrati nella scheda CloudTrail events (Eventi CloudTrail) a quelli relativi all'API specifica chiamata durante il periodo di attività insolita che ha attivato l'evento Insights. Per visualizzare tutti gli eventi CloudTrail chiamati durante il periodo di attività insolita, inclusi gli eventi non correlati all'evento Insights, disattiva il filtro.

Scheda Insights graph (Grafico Insights)

Nella scheda Insights graph (Grafico Insights), la pagina dei dettagli di un evento Insights mostra un grafico del volume di una chiamata API o tasso di errore riscontrato in un periodo di tempo precedente e successivo alla registrazione di uno o più eventi Insights. Nel grafico, gli eventi Insights sono evidenziati con barre verticali in cui la larghezza della barra mostra l'ora di inizio e di fine dell'evento Insights.

In questo esempio, la fascia verticale evidenziata mostra numeri insoliti di chiamate API AWS Systems Manager SendCommand in un account. Nell'area evidenziata, poiché il numero di chiamate SendCommand ha superato la media di riferimento dell'account, pari a 0,0442 chiamate al minuto, CloudTrail ha registrato un evento Insights al momento del rilevamento dell'attività insolita. L'evento Insights ha registrato che ben 15 chiamate SendCommand sono state effettuate in un periodo di cinque minuti tra le 5:50 e le 5:55 del mattino. Sono circa due chiamate all'API in più al minuto rispetto a quelle previste per l'account. In questo esempio, l'intervallo temporale del grafico è di 3 ore: dalle 4:30. PDT il 15 luglio 2021 alle 7:30. PDT il 15 luglio 2021. L'ora di inizio di questo evento è alle 6:00. PDT il 15 luglio 2021 e un orario di fine due minuti dopo. Un evento finale di Insights, non evidenziato, mostra che l'attività insolita è terminata intorno alle 6:16 del mattino.

Il riferimento viene calcolato nei sette giorni precedenti all'inizio di un evento Insights. Sebbene il valore della durata di riferimento, ovvero il periodo che CloudTrail analizza per la normale attività sulle API, sia di circa sette giorni, CloudTrail arrotonda la durata della base a un intero giorno, quindi la durata esatta di riferimento può variare.

Pagina dei dettagli CloudTrail Insights che mostra un'attività API insolita registrata come evento Insights.

Puoi utilizzare il comando Zoom sulla barra degli strumenti per ingrandire l'evento Insights finale, mostrando l'ora di inizio e di fine. In questo esempio, scegliendo Zoom, quindi trascinando il cursore Zoom a una distanza molto breve su un bordo dell'evento Insights evidenziato espande l'evento Insights e mostra più dettagli della timeline.

Un evento CloudTrail Insights, ingrandito per mostrare i dettagli della timeline.

Per visualizzare gli eventi CloudTrail analizzati per determinare attività insolite, apri la scheda CloudTrail events. In questo esempio, CloudTrail ha analizzato 12 eventi, quattro dei quali hanno attivato l'evento Insights.

Un evento CloudTrail Insights, ingrandito per mostrare i dettagli della timeline.

La seguente immagine mostra una scheda del grafico di Insights per un evento Insights con frequenza di errore API. L'area evidenziata mostra che è stato registrato un evento Insights perché occorrenze dell'errore NoSuchEntityException sulla chiamata API IAM GetRolePolicy è aumentata al di sopra della media di base di 0,0017 errori NoSuchEntityException al minuto su questa chiamata API, con una media di 18 errori al minuto durante il periodo di analisi. Il numero di eventi CloudTrail che ha attivato l'evento Insights corrisponde alla media Insights di 18 errori NoSuchEntityException in un minuto, in questo esempio. A differenza di un grafico della frequenza di chiamata API, la frequenza di errore API mostra due linee, in colori contrastanti: una linea che misura le chiamate all'API IAM, GetRolePolicy, che ha provocato un numero insolito di errori e una linea che misura l'errore su cui è stata registrata un'attività insolita, NoSuchEntityException.

Pagina dei dettagli CloudTrail Insights che mostra un'attività di tasso di errore insolita registrata come evento Insights.

Scheda Attributions (Attribuzioni)

La scheda Attributions (Attribuzioni) visualizza le seguenti informazioni su un evento Insights. Informazioni sulla scheda Attributions (Attribuzioni) possono aiutare a identificare le cause e le fonti dell'attività Insights. Espandi le aree di base principali per confrontare l'identità utente, l'agente utente e l'attività del codice di errore durante i periodi normali con quelle attribuite durante l'attività Insights. In Top baseline user identity ARNs (Principali ARN di identità utente di base), Top baseline user agents (Principali agenti utente di base) e Top baseline error codes (Principali codici di errore di base) viene visualizzata solo la media di base, ossia la media storica degli eventi per l'API registrati dall'identità utente, dall'agente utente o che risultano nel codice di errore nei sette giorni (circa) precedenti all'ora di inizio dell'evento Insights.

Pagina dei dettagli dell'evento CloudTrail Insights che mostra le attribuzioni.

La scheda Attributions (Attribuzioni) mostra solo i principali ARN di identità utente e i migliori user agent per un evento Insights con tasso di errore, come mostrato nell'immagine seguente. I codici di errore principali non sono necessari per gli eventi Insights con tasso di errore.

Pagina dei dettagli dell'evento CloudTrail Insights che mostra le attribuzioni per gli eventi Insights con un tasso di errore.

  • Top user identity ARNs (Primi ARN delle identità utente): questa tabella mostra fino ai primi cinque utenti o ruoli IAM AWS (identità utente) che hanno contribuito alle chiamate API durante l'attività insolita e i periodi di riferimento, in ordine decrescente in base al numero medio di chiamate API che hanno contribuito. La percentuale delle medie come totale dell'attività che ha contribuito all'attività insolita è mostrata tra parentesi. Se più di cinque ARN di identità utente hanno contribuito all'attività insolita, la loro attività è riassunta in una riga Other (Altro).

  • Top user agents (Primi agenti utente): questa tabella mostra fino ai primi cinque strumenti AWS con cui l'identità utente ha contribuito alle chiamate API durante l'attività insolita e i periodi di riferimento, in ordine decrescente in base al numero medio di chiamate API che hanno contribuito. Questi strumenti includono la AWS Management Console, la AWS CLI o gli SDK AWS. Ad esempio, un agente dell'utente denominato ec2.amazonaws.com indica che la console Amazon EC2 era tra gli strumenti utilizzati per chiamare l'API. La percentuale delle medie come totale dell'attività che ha contribuito all'attività insolita è mostrata tra parentesi. Se più di cinque agenti dell'utente hanno contribuito all'attività insolita, la loro attività è riassunta in una riga Other (Altro).

  • Codici di errore principali - Solo mostrato per Tasso di chiamata API Eventi Insights. Questa tabella mostra fino ai primi cinque codici di errore che si sono verificati nelle chiamate API durante l'attività insolita e i periodi di riferimento, in ordine decrescente dal numero di chiamate API maggiore a quello minore. La percentuale delle medie come totale dell'attività che ha contribuito all'attività insolita è mostrata tra parentesi. Se durante l'attività insolita o di riferimento si sono verificati più di cinque codici di errore, la loro attività è riassunta in una riga Other (Altro).

    Un valore di None come uno dei primi cinque valori dei codici di errore indica che una percentuale significativa delle chiamate che hanno contribuito all'evento Insights non ha provocato errori. Se il valore del codice di errore è None e non sono presenti altri codici di errore nella tabella, i valori nella colonna Insight average (Media di informazioni) e Baseline average (Media di base) sono complessivamente gli stessi di quelli dell'evento Insights. Puoi inoltre visualizzare tali valori nella legenda Insight average (Media di informazioni) e Baseline average (Media di base) della scheda Insights graph (Grafico Insights), in API calls per minute (Chiamate API al minuto).

Media di base e media Insights

Baseline average (Media di base) e Media Insights sono mostrati per le principali identità utente, i migliori user agent e i codici di errore principali.

  • Baseline average (Media di base) - La frequenza tipica di occorrenze al minuto su questa API in cui era stato registrato l'evento Insights, misurata nei sette giorni precedenti circa, in una regione specifica dell'account.

  • Media Insights - La frequenza di chiamate o errori in questa API che hanno attivato l'evento Insights. La media di CloudTrail Insights per l'evento di inizio è la frequenza di chiamate o errori al minuto su API che ha attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media Insights per l'evento di fine è la frequenza di chiamate API o errori al minuto per tutta la durata dell'attività insolita, tra l'evento Insights di inizio e l'evento Insights di fine.

Scheda CloudTrail events (Eventi CloudTrail)

Nella scheda CloudTrail events (Eventi CloudTrail), visualizza gli eventi correlati analizzati da CloudTrail per determinare che si è verificata un'attività insolita. Per impostazione predefinita, un filtro è già applicato per il nome dell'evento Insights, che è anche il nome dell'API correlata. Per visualizzare tutti gli eventi CloudTrail registrati durante il periodo di attività insolita, disattiva Only show events for selected Insights event (Mostra solo gli eventi per l'evento Insights selezionato). La scheda CloudTrail events (Eventi CloudTrail) mostra gli eventi di gestione CloudTrail correlati all'API in oggetto che si sono verificati tra l'ora di inizio e l'ora di fine dell'evento Insights. Questi eventi ti permettono di eseguire analisi più approfondite per determinare la probabile causa di un evento Insights e i motivi di un'attività API insolita e del tasso di errore.

Scheda Insights event record (Record di eventi Insights)

Come qualsiasi evento CloudTrail, un evento CloudTrail Insights è un record in formato JSON. La scheda Insights event record (Record di eventi Insights) mostra la struttura JSON e il contenuto degli eventi Insights di inizio e di fine, a volte chiamati evento payload. Per ulteriori informazioni sui campi e sul contenuto del record di eventi Insights, consulta Campi dei record degli eventi Insights e Elemento insightDetails di CloudTrail Insights in questa guida.

Invio di eventi di percorso a File di log Amazon CloudWatch

CloudTrail supporta l'invio di eventi Insights a File di log CloudWatch. Quando configuri il percorso per inviare eventi Insights al gruppo di registri di CloudWatch Logs, CloudTrail Insights invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso in modo che registri eventi di gestione ed eventi Insights, il percorso distribuisce gli eventi di gestione e gli eventi Insights nel gruppo di registri di CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.