本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本节介绍如何通过查看 Insights 事件仪表板和运行示例查询来查看 Insights 事件数据存储的 Insights 事件。有关如何在事件数据存储上启用 CloudTrail Insights 的信息,请参阅使用控制台在现有事件数据存储上启用 CloudTrail Insights。
CloudTrail 查询会根据扫描的数据量收取费用。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail
定价
查看事件数据存储的 Insights 控制面板
Insights 事件仪表板显示按见解类型划分的 Insights 事件的总体比例、排名靠前的用户和服务按洞察类型划分的 Insights 事件比例,以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。
注意
-
首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。有关更多信息,请参阅 “洞察交付” 活动。
-
Insights 事件仪表板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在
ApiCallRateInsight上启用 Insights 事件,而不是ApiErrorRateInsight,则您将不会看到有关ApiErrorRateInsight上的 Insights 事件的信息。
查看 Insights 事件控制面板
-
登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在左侧导航窗格中,在 Lake 下,选择控制面板。
-
选择托管和自定义仪表板选项卡。
-
从AWS 托管仪表板中选择 Insights 事件仪表板。
-
选择你的 Insights 事件数据存储。
-
选择按绝对范围或相对范围筛选控制面板数据。选择绝对范围,以选择特定的日期和时间范围。选择相对范围,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。
注意
CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅AWS CloudTrail 定价
。 -
选择刷新图标以填充仪表板小组件的图形。每个小组件都指示刷新状态。
有关 Lake 控制面板的更多信息,请参阅CloudTrail 湖泊仪表板。
查看 Insights 事件的示例查询
CloudTrail 控制台提供了一系列针对 Insights 事件的示例查询,可以帮助您开始编写自己的查询。
查看 Insights 事件的示例查询
-
登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择查询。
-
在 Query(查询)页面上,选择 Sample queries(示例查询)选项卡。
-
搜索有关 Insights 事件的查询。选择查询名称以在 “编辑器” 选项卡中打开查询。
-
在编辑器选项卡上,选择 Insights 事件数据存储。当您从列表中选择事件数据存储时, CloudTrail会在查询编辑器的
FROM行中自动填充事件数据存储 ID。 -
选择运行以运行查询。查询完成后,您可以查看命令输出和查询结果。
命令输出选项卡显示有关查询的元数据,例如查询是否成功、匹配的记录数量以及查询的运行时间。
查询结果选项卡显示选定事件数据存储中与查询匹配的事件数据。
有关编辑查询的更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询。有关运行查询和保存查询结果的更多信息,请参阅使用控制台运行查询并保存查询结果。
