CloudTrail insightDetailsElemento Insights - AWS CloudTrail
Exemplo do bloco insightDetails

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail insightDetailsElemento Insights

AWS CloudTrail Os registros de eventos do Insights incluem campos que são diferentes de outros CloudTrail eventos em sua estrutura JSON, às vezes chamados de carga útil. Um registro de evento do CloudTrail Insights inclui um insightDetails bloco que contém informações sobre os acionadores subjacentes de um evento do Insights, como fonte do evento, identidades do usuário, agentes do usuário, médias históricas ou linhas de base, estatísticas, nome da API e se o evento é o início ou o fim do evento do Insights. O bloco do insightDetails contém as informações a seguir.

  • state - Se o evento é o evento inicial ou final do Insights. O valor pode ser Start ou End.

    Desde: 1.07

    Opcional: False

  • eventSource- O endpoint do AWS serviço que foi a fonte da atividade incomum, comoec2.amazonaws.com.

    Desde: 1.07

    Opcional: False

  • eventName - O nome do evento do Insights, geralmente o nome da API que foi a fonte da atividade incomum.

    Desde: 1.07

    Opcional: False

  • insightType - O tipo de evento do Insights. Esse valor pode ser ApiCallRateInsight, ApiErrorRateInsight ou os dois.

    Desde: 1.07

    Opcional: False

  • insightContext -

    Informações sobre as AWS ferramentas (chamadas de agentes de usuário), usuários e funções do IAM (chamados de identidades de usuário) e códigos de erro associados aos eventos CloudTrail analisados para gerar o evento Insights. Este elemento também inclui estatísticas que mostram como a atividade incomum em um evento do Insights se compara às atividades de linha de base, ou normais.

    Desde: 1.07

    Opcional: False

    • statistics - Inclui dados sobre a linha de base ou a taxa média típica de chamadas para a API do assunto de uma conta, conforme medida durante o período da linha de base, a taxa média de chamadas que acionou o evento do Insights no primeiro minuto do evento do Insights, a duração, em minutos, do evento do Insights e a duração, em minutos, do período de medição da linha de base.

      Desde: 1.07

      Opcional: False

      • baseline - O número médio de chamadas de API por minuto durante a duração da linha de base na API de assunto do evento do Insights para a conta, calculado ao longo dos sete dias anteriores ao início do evento do Insights.

        Desde: 1.07

        Opcional: False

      • insight -

        Para um evento inicial do Insights, esse valor é o número médio de chamadas de API por minuto durante o início da atividade incomum. Para um evento de término do Insights, esse valor é o número médio de chamadas de API por minuto sobre a duração da atividade incomum.

        Desde: 1.07

        Opcional: False

      • insightDuration: a duração, em minutos, de um evento do Insights (o período do início ao fim da atividade incomum da API de assunto). O insightDuration somente ocorre em eventos do Insights de término.

        Desde: 1.07

        Opcional: False

      • baselineDuration: a duração, em minutos, do período da linha de base (o período em que a atividade normal é medida na API de assunto). baselineDuration é, no mínimo, sete dias (10.080 minutos) anteriores a um evento do Insights. Esse campo ocorre em eventos de início e término do Insights. A hora de término do baselineDuration é sempre o início de um evento do Insights.

        Desde: 1.07

        Opcional: False

    • attributions: esse bloco inclui informações sobre as identidades de usuário, agentes de usuário e códigos de erro correlacionados com atividades incomuns e de linha de base. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são capturados em um bloco attributions de evento do Insights, ordenados por uma média da contagem de atividade, em ordem decrescente do mais alto para o mais baixo.

      Desde: 1.07

      Opcional: True

      • attribute: contém o tipo de atributo. Os valores podem ser userIdentityArn, userAgent ou errorCode.

        • userIdentityArn- Um bloco que mostra até os cinco principais AWS usuários ou funções do IAM que contribuíram para chamadas ou erros de API durante atividades incomuns e períodos de referência. Veja também userIdentity em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais ARNs de identidade de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API para o menor. Ele também mostra o número médio de chamadas de API feitas pelas identidades de usuário durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: o ARN de uma das cinco principais identidades de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum.

              Desde: 1.07

              Opcional: False

            • average - O número de chamadas de API por minuto durante o período de atividade incomum para a identidade do usuário no campovalue.

              Desde: 1.07

              Opcional: False

          • baseline - Um bloco que mostra até os cinco principais ARNs de identidade de usuário que mais contribuíram para as chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API ou erros registrados pelas identidades de usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value - O ARN de uma das cinco principais identidades de usuário que contribuíram para as chamadas de API feitas durante o período normal de atividade.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API por minuto durante os sete dias anteriores à hora de início da atividade do Insights para a identidade do usuário no campovalue.

              Desde: 1.07

              Opcional: False

        • userAgent- Um bloco que mostra até as cinco principais AWS ferramentas pelas quais a identidade do usuário contribuiu para as chamadas de API durante os períodos incomuns de atividade e linha de base. Essas ferramentas incluem o AWS Management Console, AWS CLI, ou os AWS SDKs. Veja também userAgent em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais agentes de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API para o menor. Ele também mostra o número médio de chamadas de API ou erros registrados pelos agentes do usuário durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais agentes que contribuíram para as chamadas de API feitas durante o período de atividade incomum.

              Desde: 1.07

              Opcional: False

            • average - O número de chamadas de API ou erros registrados por minuto durante o período de atividade incomum para o agente do usuário no campovalue.

              Desde: 1.07

              Opcional: False

          • baseline: um bloco que mostra até os cinco principais agentes do usuário que mais contribuíram para as chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API ou erros registrados pelos agentes do usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value - Um dos cinco principais agentes do usuários que contribuíram para as chamadas de API ou erros registrados durante o período de atividade normal.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o agente do usuário no campovalue.

              Desde: 1.07

              Opcional: False

        • errorCode: um bloco que mostra até os cinco principais códigos de erro que ocorreram em chamadas de API feitas durante a atividade incomum e períodos de linha de base, em ordem decrescente do maior número de chamadas de API para o menor. Veja também errorCode em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais códigos de erro que ocorreram em chamadas de API durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API associadas para o menor. Ele também mostra o número médio de chamadas de API nas quais os erros ocorreram durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais códigos de erro que ocorreram nas chamadas de API feitas durante o período de atividade incomum, como AccessDeniedException.

              Se nenhuma das chamadas que acionou o evento do Insights tiver resultado em erros, esse valor será null.

              Desde: 1.07

              Opcional: False

            • average: o número de chamadas de API por minuto durante o período do código de erro no campo value.

              Se o valor do código de erro for null e não houver outros códigos de erro no insight, o valor de average será igual ao do bloco statistics do evento do Insights em geral.

              Desde: 1.07

              Opcional: False

          • baseline: um bloco que mostra até os cinco principais códigos que ocorreram nas chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API feitas pelos agentes do usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais códigos de erro que ocorreram nas chamadas de API feitas durante o período de atividade normal, como AccessDeniedException.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o código de erro no campovalue.

              Desde: 1.07

              Opcional: False

Exemplo do bloco insightDetails

O exemplo a seguir mostra um bloco insightDetails de evento do Insights que ocorreu quando a API do Application Auto Scaling CompleteLifecycleAction foi chamada um número incomum de vezes. Para obter um exemplo de um evento completo do Insights, consulte Eventos do Insights.

Este é um exemplo de um evento inicial do Insights, indicado por "state": "Start". As principais identidades de usuário que chamaram as APIs associadas ao evento do Insights CodeDeployRole1, CodeDeployRole2 e CodeDeployRole3 são mostrados no bloco attributions, juntamente com suas taxas médias de chamada de API para este evento do Insights e a linha de base para a função do CodeDeployRole1. O attributions bloco também mostra que o agente do usuário écodedeploy.amazonaws.com, o que significa que as principais identidades de usuário usaram o AWS CodeDeploy console para executar as chamadas de API.

Como não há códigos de erro associados aos eventos que foram analisados para gerar o evento do Insights (o valor é null), a média insight para o código de erro é a mesma que a média geral do insight para todo o evento do Insights, mostrado no bloco statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }