CloudTrail Insights insightDetails 要素 - AWS CloudTrail
insightDetails ブロックの例

CloudTrail Insights insightDetails 要素

AWS CloudTrail Insights イベントレコードには、JSON 構造の他の CloudTrail イベントとは異なるフィールドが含まれます。これは、ペイロードと呼ばれることもあります。CloudTrail Insights イベントレコードには、イベントソース、ユーザーアイデンティティ、ユーザーエージェント、履歴平均またはベースライン、統計情報、API 名、イベントが Insights イベントを開始するか終了するかなど、Insights イベントの基本的なトリガーについての情報を含む insightDetails ブロックが含まれています。insightDetails ブロックには、以下の情報が含まれています。

  • state - Insights イベントが開始または終了の Insights イベントであるかどうか。ここには、Start または End が表示されます。

    使用可能: 1.07 以降

    オプション: False

  • eventSource - ec2.amazonaws.com などの異常なアクティビティのソースであった AWS サービスエンドポイント。

    使用可能: 1.07 以降

    オプション: False

  • eventName - Insights イベントの名前。通常、異常なアクティビティのソースであった API の名前。

    使用可能: 1.07 以降

    オプション: False

  • insightType - Insights イベントのタイプ。この値は ApiCallRateInsight または ApiErrorRateInsight となります。

    使用可能: 1.07 以降

    オプション: False

  • insightContext -

    AWS ツール (ユーザーエージェントと呼ばれる) に関する情報、IAM ユーザーおよびロール(ユーザーアイデンティティと呼ばれる)、および Insights イベントを生成するために分析されたイベントに関連付けられたエラーコード。この要素には、ベースラインと比較した Insights イベントの異常なアクティビティの統計情報、または通常のアクティビティが含まれます。

    使用可能: 1.07 以降

    オプション: False

    • statistics - ベースラインに関するデータ、ベースライン期間中に測定されたアカウントによるサブジェクト API への呼び出しまたはエラーの一般的な平均率、Insights イベントの最初の 1 分間に Insights イベントをトリガーしたコールまたはエラーの平均率、および Insights イベントの継続時間 (分)、およびベースラインの継続時間 (分) 測定期間が含まれます。

      使用可能: 1.07 以降

      オプション: False

      • baseline - Insights イベントの開始前の 7 日間に計算された、アカウントの Insights イベントのサブジェクト API のベースライン期間中の 1 分あたりの API コールまたはエラーの平均数。 

        使用可能: 1.07 以降

        オプション: False

      • insight -

        Insights イベントの開始の場合、この値は、異常なアクティビティの開始時の 1 分あたりの API コールまたはエラーの平均数です。終了 Insights イベントの場合、この値は、異常なアクティビティの期間中の 1 分あたりの API コールまたはエラーの平均数です。

        使用可能: 1.07 以降

        オプション: False

      • insightDuration - Insights イベントの期間 (分) (サブジェクト API における異常なアクティビティの開始から終了までの期間) です。insightDuration は、開始および終了 Insights イベントの両方で発生します。

        使用可能: 1.07 以降

        オプション: False

      • baselineDuration - ベースライン期間 (分) (サブジェクト API で通常のアクティビティが測定される期間) です。baselineDuration は、最低でも Insights イベントの 7 日間 (10080 分) 前である必要があります。このフィールドは、Insights イベントの開始と終了の両方で発生します。baselineDuration 測定の終了時刻に、必ず Insights イベントが開始します。

        使用可能: 1.07 以降

        オプション: False

    • attributions - このブロックには、異常なアクティビティやベースラインアクティビティに関連するユーザーアイデンティティ、ユーザーエージェント、エラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で Insights イベント attributions ブロックでキャプチャされます。

      使用可能: 1.07 以降

      オプション: True

      • attribute - 属性タイプが含まれます。値は userIdentityArnuserAgent、または errorCode になります。

        • userIdentityArn - 異常なアクティビティおよびベースライン期間中に API コールまたはエラーに貢献した上位 5 つの AWS ユーザーまたは IAM ロールまでを表示するブロック。userIdentityCloudTrail レコードの内容 も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーアイデンティティ ARN の上位 5 つまでを、API コールAPI コールの最大数から最小数までの降順で表示するブロック。また、異常なアクティビティ期間中にユーザーアイデンティティによって行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーアイデンティティの上位 5 つの内の 1 つのARN。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーアイデンティティの異常なアクティビティ期間中の 1 分あたりの API コールまたはエラーの数。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールまたはエラーに最も貢献したユーザーアイデンティティ ARN の上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーアイデンティティによって行われた API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 通常のアクティビティ期間中に行われた API コールまたはエラーに貢献したユーザーアイデンティティの上位 5 つの内の 1 つのARN。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーアイデンティティの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

        • userAgent - 異常なアクティビティおよびベースライン期間中に API コールに貢献した上位 5 つの AWS ツールまたは IAM ロールまでを表示するブロック。これらのツールには、AWS Management Console、AWS CLI、または AWS SDK が含まれます。userAgentCloudTrail レコードの内容 も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーエージェント ARN の上位 5 つまでを、API コールAPI コールの最大数から最小数までの降順で表示するブロック。また、異常なアクティビティ期間中にユーザーエージェントがログ記録された API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 異常なアクティビティ期間中に行われた API コールに貢献したユーザーエージェントの上位 5 つの内の 1 つ。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーエージェントの異常なアクティビティ期間中の 1 分あたりにログ記録された API コールまたはエラーの数。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールに最も貢献したユーザーエージェント の上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーエージェントによってログ記録された API コールまたはエラーの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value - 通常のアクティビティ期間中にログ記録された API コールまたはエラーに貢献したユーザーエージェントの上位 5 つの内の 1 つ。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのユーザーエージェントの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

        • errorCode - 異常なアクティビティおよびベースライン期間中に API コールで発生したエラーコードの上位 5 つまでを、API コールの最大数から最小数の降順に表示するブロック。errorCodeCloudTrail レコードの内容 も参照してください。

          使用可能: 1.07 以降

          オプション: False

          • insight - 異常なアクティビティ期間中に行われた API コールで発生したエラーコードの上位 5 つまでを、関連づけられた API コールの最大数から最小数の降順に表示するブロック。また、異常なアクティビティ期間中に発生したエラーに対して行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value -など、異常なアクティビティ期間中に行われた API コールで発生した、上位 5 つのエラーコードのうちの 1 つ。。AccessDeniedException

              Insights イベントをトリガーしたコールでエラーが発生しなかった場合、この値は null です。

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのエラーコードの異常なアクティビティ期間中の 1 分あたりの API コールの数。

              エラーコードの値が null の場合、insightブロックに他のエラーコードはなく、average 値はstatistics ブロックを Insights イベント全体のものと同じです。

              使用可能: 1.07 以降

              オプション: False

          • baseline - 通常のアクティビティ期間中に行われた API コールで発生したエラーコードの上位 5 つまでを表示するブロック。また、通常のアクティビティ期間中にユーザーエージェントによって行われた API コールの平均数も表示されます。

            使用可能: 1.07 以降

            オプション: False

            • value -など、通常のアクティビティ期間中に行われた API コールで発生した、上位 5 つのエラーコードのうちの 1 つ。。AccessDeniedException

              使用可能: 1.07 以降

              オプション: False

            • average - value フィールドのエラーコードの Insights アクティビティ開始時間前の 7 日間の、1 分あたりの API コールまたはエラーの履歴平均。

              使用可能: 1.07 以降

              オプション: False

insightDetails ブロックの例

次は、アプリケーション Auto Scaling API CompleteLifecycleAction が異常な回数呼び出されたときに発生した Insights イベントの insightDetails ブロックの Insights イベントの例です。完全な Insights イベントの例については、「CloudTrail ログイベントリファレンス」を参照してください。

この例は、"state": "Start" により示される、開始 Insights イベントからのものです。Insights イベントに関連付けられた API を呼び出した上位ユーザーアイデンティティ、CodeDeployRole1CodeDeployRole2、および CodeDeployRole3 がこの Insights イベントの平均 API コールレート、CodeDeployRole1ロールのベースラインとともに attributions ブロックに表示されます。attributions ブロックには、ユーザーエージェントが codedeploy.amazonaws.com であることが表示されます。つまり、上位のユーザーアイデンティティは AWS CodeDeploy コンソールを使用して API コールを実行しました。

Insights イベントを生成するために分析されたイベントに関連付けられたエラーコードがないため (値は null )、エラーコードの insight 平均は、statistics ブロックに表示された、全体の Insights イベント全体の insight 平均と同じです。

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }