Conteúdo de registros do CloudTrail para eventos do Insights para trilhas

Os registros de eventos do AWS CloudTrail Insights incluem campos diferentes de outros eventos do CloudTrail em sua estrutura JSON, às vezes chamados de carga útil. Um registro de evento do CloudTrail Insights para um datastore de eventos inclui os seguintes campos:

nota

Os campos insightValue, insightAverage, baselineValue e baselineAverage dentro do campo attributions do insightContext começarão a ser descontinuados em 23 de junho de 2025.

eventVersion: a versão do formato de evento de log.

Opcional: False
eventCategory: a categoria do evento. Para eventos do Insights, o valor é sempre Insight.

Opcional: False
eventType: o tipo de evento. Para eventos do Insights, o valor é sempre AwsCloudTrailInsight.

Opcional: False
eventID: o GUID gerado pelo CloudTrail para identificar, de modo específico, cada evento. Você pode usar esse valor para identificar um único evento. Por exemplo, você pode usar o ID como uma chave primária para recuperar dados de log de um banco de dados que pode ser pesquisado.

Opcional: False
eventTime: a hora em que o evento do Insights começou ou parou, no horário do tempo universal coordenado (UTC).

Opcional: False
awsRegion: a Região da AWS na qual o evento do Insights ocorreu, como us-east-2.

Opcional: False
recipientAccountId: representa o ID da conta que recebeu esse evento.

Opcional: True
sharedEventID: um GUID que é gerado pelo CloudTrail Insights para identificar, de modo específico, um evento do Insights. O sharedEventID é comum entre os eventos do Insights de início e de término, e ajuda a conectar os dois eventos para identificar, de modo específico, atividade pouco usual. É possível pensar no sharedEventID como o ID de evento do Insights geral.

Opcional: False
addendum: se uma entrega de evento estiver atrasada ou informações adicionais sobre um evento existente se tornarem disponíveis após o evento ser registrado em log, um campo de adendo mostrará informações sobre o motivo do atraso do evento. Se as informações estiverem ausentes de um evento existente, o campo de adendo incluirá as informações ausentes e um motivo pelo qual elas estavam ausentes. Veja também addendum em O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede.

Opcional: True
insightSource: o datastore de eventos de origem que coletou os eventos de gerenciamento analisados.

Opcional: False
insightState – Se o evento é o evento inicial ou final do Insights. O valor pode ser Start ou End.

Opcional: False
insightEventSource: o AWS service (Serviço da AWS) que foi a origem da atividade pouco usual, como ec2.amazonaws.com.

Opcional: False
insightEventName – O nome do evento do Insights, geralmente o nome da API que foi a fonte da atividade incomum.

Opcional: False
insightErrorCode: o código de erro da atividade pouco usual. Veja também errorCode em O CloudTrail grava conteúdo para eventos de gerenciamento, dados e atividade de rede.

Opcional: True
insightType – O tipo de evento do Insights. Esse valor pode ser ApiCallRateInsight ou ApiErrorRateInsight.

Opcional: False
insightContext: contém informações sobre o acionador subjacente de um evento do Insights, como identidade do usuário, agente do usuário, média histórica ou linha de base e duração e média do Insights.

Opcional: False
- baselineAverage – O número médio de chamadas de API por minuto durante a duração da linha de base na API de assunto do evento do Insights para a conta, calculado ao longo dos sete dias anteriores ao início do evento do Insights.
  
  Opcional: False
- insightAverage: para um evento de início do Insights, esse valor é o número médio de chamadas de API por minuto durante o início da atividade pouco usual. Para um evento de término do Insights, esse valor é o número médio de chamadas de API por minuto sobre a duração da atividade incomum.
  
  Opcional: False
- baselineDuration: a duração, em minutos, do período da linha de base (o período em que a atividade normal é medida na API em questão). baselineDuration é, no mínimo, sete dias (10.080 minutos) antes de um evento do Insights. Esse campo ocorre em eventos de início e término do Insights. A hora de término do baselineDuration é sempre o início de um evento do Insights.
  
  Opcional: False
- insightDuration: a duração, em minutos, de um evento do Insights (o período do início ao fim da atividade pouco usual da API em questão). O insightDuration apenas ocorre em eventos do Insights de término.
  
  Opcional: False
- attributions: inclui informações sobre a identidade do usuário, agentes de usuário e códigos de erro correlacionados com atividades pouco usuais e de linha de base.
  
  Opcional: True
  
  nota
  Os campos insightValue, insightAverage, baselineValue e baselineAverage dentro do campo attributions do insightContext começarão a ser descontinuados em 23 de junho de 2025.
  - attribute – contém o tipo de atributo. Os valores podem ser userIdentityArn, userAgent ou errorCode. Se presentes, esses valores aparecerão apenas uma vez em um atributo individual. Valores de atributos diferentes podem ter valores de userIdentityArn, userAgent ou errorCode diferentes, mas cada instância de atributo conterá apenas um valor para userIdentityArn, userAgent ou errorCode.
    
    Opcional: False
  - insightValue: o principal valor do atributo que ocorreu nas chamadas de API ou erros feitos durante o período de atividade pouco usual.
    
    Opcional: False
  - insightAverage: o número de chamadas de API por minuto durante o período de atividade pouco usual para o atributo no campo insightValue.
    
    Opcional: False
  - baselineValue: um dos cinco principais valores de atributo que contribuíram para as chamadas de API ou erros registrados durante o período de atividade normal.
    
    Opcional: False
  - baselineAverage: a média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o atributo no campo baselineValue.
    
    Opcional: False
  - insight: um dos cinco principais valores de atributo que contribuíram para as chamadas de API ou erros de API registrados durante o período de atividade pouco usual. Também mostra o número médio de chamadas de API ou erros de API feitos pelo atributo durante o período de atividade pouco usual.
    
    Opcional: False
    
    value: o atributo que contribuiu para as chamadas de API ou erros de API feitos durante o período de atividade pouco usual.
    
    Opcional: False
    
    average: a média de chamadas de API por minuto durante o período de atividade pouco usual para o atributo no campo value.
    
    Opcional: False
  - baseline: os cinco principais valores de atributo que mais contribuíram para as chamadas de API ou erros de API registrados durante o período de atividade normal. Também mostra o número médio de chamadas de API ou erros de API registrados em log pelo valor do atributo durante o período normal de atividade.
    
    Opcional: False
    
    value: o atributo que contribuiu para as chamadas de API ou erros de API durante o período de atividade normal.
    
    Opcional: False
    
    average: a média histórica de chamadas de API ou erros por minuto durante os sete dias anteriores à hora de início da atividade do Insights para o atributo no campo value.
    
    Opcional: False

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

O conteúdo dos registros do CloudTrail para eventos do Insights para trilhas

Elemento userIdentity do CloudTrail