Elemento insightDetails do CloudTrail Insights - AWS CloudTrail
Exemplo do bloco insightDetails

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Elemento insightDetails do CloudTrail Insights

Os registros de eventos do AWS CloudTrail Insights incluem campos que são diferentes de outros eventos do CloudTrail em sua estrutura JSON, às vezes chamados de payload. Um registro de eventos do CloudTrail Insights inclui um bloco do insightDetails que contém informações sobre os acionadores subjacentes de um evento do Insights, como a fonte do evento, as identidades do usuário, os agentes do usuário, as médias históricas ou as linhas de base, estatísticas, nome da API e se o evento é o início ou o fim do evento do Insights. O bloco do insightDetails contém as informações a seguir.

  • state - Se o evento é o evento inicial ou final do Insights. O valor pode ser Start ou End.

    Desde: 1.07

    Opcional: False

  • eventSource - O endpoint de serviço da AWS que era a origem da atividade incomum, como ec2.amazonaws.com.

    Desde: 1.07

    Opcional: False

  • eventName - O nome do evento do Insights, geralmente o nome da API que foi a fonte da atividade incomum.

    Desde: 1.07

    Opcional: False

  • insightType - O tipo de evento do Insights. Esse valor pode ser ApiCallRateInsight, ApiErrorRateInsight ou os dois.

    Desde: 1.07

    Opcional: False

  • insightContext -

    Informações sobre as ferramentas da AWS (chamadas agentes do usuário), usuários e perfis do IAM (chamados de identidades do usuário) e códigos de erro associados aos eventos que foram analisados pelo CloudTrail para gerar o evento do Insights. Este elemento também inclui estatísticas que mostram como a atividade incomum em um evento do Insights se compara às atividades de linha de base, ou normais.

    Desde: 1.07

    Opcional: False

    • statistics - Inclui dados sobre a linha de base ou a taxa média típica de chamadas para a API do assunto de uma conta, conforme medida durante o período da linha de base, a taxa média de chamadas que acionou o evento do Insights no primeiro minuto do evento do Insights, a duração, em minutos, do evento do Insights e a duração, em minutos, do período de medição da linha de base.

      Desde: 1.07

      Opcional: False

      • baseline - O número médio de chamadas de API por minuto durante a duração da linha de base na API de assunto do evento do Insights para a conta, calculado ao longo dos sete dias anteriores ao início do evento do Insights.

        Desde: 1.07

        Opcional: False

      • insight -

        Para um evento inicial do Insights, esse valor é o número médio de chamadas de API por minuto durante o início da atividade incomum. Para um evento de término do Insights, esse valor é o número médio de chamadas de API por minuto sobre a duração da atividade incomum.

        Desde: 1.07

        Opcional: False

      • insightDuration: a duração, em minutos, de um evento do Insights (o período do início ao fim da atividade incomum da API de assunto). O insightDuration somente ocorre em eventos do Insights de término.

        Desde: 1.07

        Opcional: False

      • baselineDuration: a duração, em minutos, do período da linha de base (o período em que a atividade normal é medida na API de assunto). baselineDuration é, no mínimo, sete dias (10.080 minutos) anteriores a um evento do Insights. Esse campo ocorre em eventos de início e término do Insights. A hora de término do baselineDuration é sempre o início de um evento do Insights.

        Desde: 1.07

        Opcional: False

    • attributions: esse bloco inclui informações sobre as identidades de usuário, agentes de usuário e códigos de erro correlacionados com atividades incomuns e de linha de base. Um máximo de cinco identidades de usuário, cinco agentes de usuário e cinco códigos de erro são capturados em um bloco attributions de evento do Insights, ordenados por uma média da contagem de atividade, em ordem decrescente do mais alto para o mais baixo.

      Desde: 1.07

      Opcional: True

      • attribute: contém o tipo de atributo. Os valores podem ser userIdentityArn, userAgent ou errorCode.

        • userIdentityArn - Um bloco que aparece para os cinco primeiros usuários da AWS ou funções do IAM que contribuíram para chamadas de API durante a atividade incomum e os períodos de linha de base. Veja também userIdentity em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais ARNs de identidade de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API para o menor. Ele também mostra o número médio de chamadas de API feitas pelas identidades de usuário durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: o ARN de uma das cinco principais identidades de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum.

              Desde: 1.07

              Opcional: False

            • average - O número de chamadas de API por minuto durante o período de atividade incomum para a identidade do usuário no campovalue.

              Desde: 1.07

              Opcional: False

          • baseline - Um bloco que mostra até os cinco principais ARNs de identidade de usuário que mais contribuíram para as chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API ou erros registrados pelas identidades de usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value - O ARN de uma das cinco principais identidades de usuário que contribuíram para as chamadas de API feitas durante o período normal de atividade.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API por minuto durante os sete dias anteriores à hora de início da atividade do Insights para a identidade do usuário no campovalue.

              Desde: 1.07

              Opcional: False

        • userAgent: um bloco que aparece para as cinco primeiras ferramentas da AWS com as quais a identidade do usuário contribuiu para chamadas de API durante a atividade incomum e os períodos de linha de base. Essas ferramentas incluem o AWS Management Console, a AWS CLI, ou os SDKs da AWS. Veja também userAgent em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais agentes de usuário que contribuíram para as chamadas de API feitas durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API para o menor. Ele também mostra o número médio de chamadas de API ou erros registrados pelos agentes do usuário durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais agentes que contribuíram para as chamadas de API feitas durante o período de atividade incomum.

              Desde: 1.07

              Opcional: False

            • average - O número de chamadas de API ou erros registrados por minuto durante o período de atividade incomum para o agente do usuário no campovalue.

              Desde: 1.07

              Opcional: False

          • baseline: um bloco que mostra até os cinco principais agentes do usuário que mais contribuíram para as chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API ou erros registrados pelos agentes do usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value - Um dos cinco principais agentes do usuários que contribuíram para as chamadas de API ou erros registrados durante o período de atividade normal.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o agente do usuário no campovalue.

              Desde: 1.07

              Opcional: False

        • errorCode: um bloco que mostra até os cinco principais códigos de erro que ocorreram em chamadas de API feitas durante a atividade incomum e períodos de linha de base, em ordem decrescente do maior número de chamadas de API para o menor. Veja também errorCode em CloudTrail conteúdo do registro.

          Desde: 1.07

          Opcional: False

          • insight: um bloco que mostra até os cinco principais códigos de erro que ocorreram em chamadas de API durante o período de atividade incomum, em ordem decrescente do maior número de chamadas de API associadas para o menor. Ele também mostra o número médio de chamadas de API nas quais os erros ocorreram durante o período de atividade incomum.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais códigos de erro que ocorreram nas chamadas de API feitas durante o período de atividade incomum, como AccessDeniedException.

              Se nenhuma das chamadas que acionou o evento do Insights tiver resultado em erros, esse valor será null.

              Desde: 1.07

              Opcional: False

            • average: o número de chamadas de API por minuto durante o período do código de erro no campo value.

              Se o valor do código de erro for null e não houver outros códigos de erro no insight, o valor de average será igual ao do bloco statistics do evento do Insights em geral.

              Desde: 1.07

              Opcional: False

          • baseline: um bloco que mostra até os cinco principais códigos que ocorreram nas chamadas de API feitas durante o período normal de atividade. Ele também mostra o número médio de chamadas de API feitas pelos agentes do usuário durante o período normal de atividade.

            Desde: 1.07

            Opcional: False

            • value: um dos cinco principais códigos de erro que ocorreram nas chamadas de API feitas durante o período de atividade normal, como AccessDeniedException.

              Desde: 1.07

              Opcional: False

            • average - A média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o código de erro no campovalue.

              Desde: 1.07

              Opcional: False

Exemplo do bloco insightDetails

O exemplo a seguir mostra um bloco insightDetails de evento do Insights que ocorreu quando a API do Application Auto Scaling CompleteLifecycleAction foi chamada um número incomum de vezes. Para obter um exemplo de um evento completo do Insights, consulte Referência de eventos de log do CloudTrail.

Este é um exemplo de um evento inicial do Insights, indicado por "state": "Start". As principais identidades de usuário que chamaram as APIs associadas ao evento do Insights CodeDeployRole1, CodeDeployRole2 e CodeDeployRole3 são mostrados no bloco attributions, juntamente com suas taxas médias de chamada de API para este evento do Insights e a linha de base para a função do CodeDeployRole1. O bloco attributions também mostra que o agente do usuário é codedeploy.amazonaws.com, o que significa que as principais identidades de usuário usaram o console AWS CodeDeploy para executar as chamadas de API.

Como não há códigos de erro associados aos eventos que foram analisados para gerar o evento do Insights (o valor é null), a média insight para o código de erro é a mesma que a média geral do insight para todo o evento do Insights, mostrado no bloco statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }