本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudTrail 見解insightDetails元素
AWS CloudTrail 見解事件記錄包含與其 JSON 結構中的其他 CloudTrail 事件不同的欄位,有時稱為裝載。 CloudTrail Insights 事件記錄包含一個insightDetails區塊,其中包含 Insights 事件基礎觸發器的相關資訊,例如事件來源、使用者身分識別、使用者代理程式、歷史平均值或基準線、統計資料、API 名稱,以及事件是否為 Insights 事件的開始或結束。insightDetails 區塊包含下列資訊:
-
state- 活動是否為開始或結束 Insights 事件。此值可以為Start或End。自:1.07
選用:False
-
eventSource-作為異常活動來源的 AWS 服務端點,例如ec2.amazonaws.com。自:1.07
選用:False
-
eventName- Insight 事件的名稱,通常是異常活動來源的 API 名稱。自:1.07
選用:False
-
insightType- Insights 事件的類型。此值可以為ApiCallRateInsight或ApiErrorRateInsight(或兩者)。自:1.07
選用:False
-
insightContext-AWS 工具 (稱為使用者代理程式)、IAM 使用者和角色 (稱為使用者身分),以及與 CloudTrail 分析以產生 Insights 事件的事件相關聯的錯誤代碼的相關資訊。此元素也包含統計資料,顯示 Insights 事件中的異常活動與基準或正常活動的比較。
自:1.07
選用:False
-
statistics- 包括有關基準的資料,或在基準期間衡量的帳戶對主旨 API 的一般平均呼叫率或錯誤率、Insights 事件在 Insights 事件第一分鐘觸發 Insights 事件的平均呼叫率或錯誤率、Insights 事件持續時間 (以分鐘為單位),以及基準衡量期間的持續時間 (以分鐘為單位)。自:1.07
選用:False
-
baseline- 針對帳戶的 Insights 事件主旨 API 基準持續時間內,每分鐘平均 API 呼叫或錯誤次數 (在 Insights 事件開始前七天計算)。自:1.07
選用:False
-
insight-針對起始 Insights 事件,此值是異常活動開始期間每分鐘平均 API 呼叫或錯誤次數。針對結束 Insights 事件,此值是異常活動期間每分鐘平均 API 呼叫或錯誤次數。
自:1.07
選用:False
-
insightDuration- Insights 事件的持續時間 (以分鐘為單位) (從主旨 API 上異常活動開始到結束的期間)。開始和結束 Insights 事件中均會出現insightDuration。自:1.07
選用:False
-
baselineDuration- 基準期間的持續時間 (以分鐘為單位) (主旨 API 上衡量一般活動的時段)。baselineDuration是 Insights 事件前的最少七天 (10080 分鐘)。此欄位會出現在開始和結束 Insights 事件中。baselineDuration測量的結束時間永遠是 Insights 事件的開始。自:1.07
選用:False
-
-
attributions- 此區塊包括有關使用者身分、使用者代理程式和錯誤碼與異常和基準活動相關的資訊。Insights 事件中最多會擷取五個使用者身分、五個使用者代理程式和五個錯誤碼attributions區塊,按活動計數的平均值按從高到低的降序排列。自:1.07
選用:True
-
attribute- 包含屬性類型。此值可以是userIdentityArn、userAgent或errorCode。-
userIdentityArn-最多顯示前五名 AWS 使用者或 IAM 角色的區塊,這些角色在異常活動和基準期間導致 API 呼叫或錯誤。另請參閱userIdentity中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight- 一個區塊,顯示最多五個使用者身分 ARN,這些 ARN 促成了在異常活動期間進行的 API 呼叫,從最大數量的 API 呼叫到最小數量的降序排列。它也會顯示使用者身分在異常活動期間進行的 API 呼叫平均數目。自:1.07
選用:False
-
value- 導致在異常活動期間進行的 API 呼叫的前五名使用者身分之一的 ARN。自:1.07
選用:False
-
average-value欄位中,使用者身分在異常活動期間每分鐘 API 呼叫或錯誤的次數。自:1.07
選用:False
-
-
baseline- 一個區塊,顯示在正常活動期間最常導致 API 呼叫或錯誤的最多前五名使用者身分 ARN。同時也會顯示使用者身分在正常活動期間記錄的平均 API 呼叫或錯誤次數。自:1.07
選用:False
-
value- 在正常活動期間導致 API 呼叫或錯誤的前五名使用者身分之一的 ARN。自:1.07
選用:False
-
average-value欄位中,使用者身分在 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。自:1.07
選用:False
-
-
-
userAgent-顯示最多前五個 AWS 工具的區塊,使用者身分在異常活動和基準期間對 API 呼叫做出貢獻。這些工具包括 AWS Management Console AWS CLI、或 AWS SDK。另請參閱userAgent中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight- 一顯示最多五個使用者代理程式的區塊,這些代理程式促成了在異常活動期間進行的 API 呼叫,從最大數量的 API 呼叫到最小數量的降序排列。同時也會顯示使用者代理程式在異常活動期間記錄的平均 API 呼叫或錯誤次數。自:1.07
選用:False
-
value- 導致在異常活動期間進行的 API 呼叫的前五個使用者代理程式之一。自:1.07
選用:False
-
average-value欄位中,使用者代理程式在異常活動期間每分鐘記錄的 API 呼叫或錯誤的數量。自:1.07
選用:False
-
-
baseline- 最多顯示前五名使用者代理程式的區塊,這些區塊對正常活動期間所做的 API 呼叫做出貢獻最多。同時也會顯示使用者代理程式在正常活動期間記錄的平均 API 呼叫或錯誤次數。自:1.07
選用:False
-
value- 在正常活動期間記錄的導致 API 呼叫或錯誤的前五名使用者代理程式之一。自:1.07
選用:False
-
average-value欄位中,使用者代理程式在 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。自:1.07
選用:False
-
-
-
errorCode- 最多顯示在異常活動和基準期間 API 呼叫上發生的前五個錯誤碼的區塊,按從 API 呼叫次數最多到最少的降序排列。另請參閱errorCode中的 CloudTrail 記錄內容。自:1.07
選用:False
-
insight- 最多顯示在異常活動期間 API 呼叫上發生的前五個錯誤碼的區塊,按從 API 呼叫次數最多到最少的降序排列。它也會顯示在異常活動期間進行的 API 呼叫的平均數目。自:1.07
選用:False
-
value- 在異常活動期間進行的 API 呼叫上發生的前五個錯誤碼之一,例如AccessDeniedException。如果觸發 Insights 事件的呼叫都不會產生錯誤,則此值為
null。自:1.07
選用:False
-
average-value欄位中,在異常活動期間錯誤碼每分鐘 API 呼叫的數量。如果錯誤碼值為
null,並且insight區塊中沒有其他錯誤碼,average中的值與 Insights 事件的statistics區塊中的值整體相同。自:1.07
選用:False
-
-
baseline- 最多顯示前五個錯誤碼的區塊,這些區塊對正常活動期間所做的 API 呼叫做出貢獻最多。它也會顯示使用者代理程式在正常活動期間進行的 API 呼叫平均數目。自:1.07
選用:False
-
value- 在正常活動期間進行的 API 呼叫上發生的前五個錯誤碼之一,例如AccessDeniedException。自:1.07
選用:False
-
average-value欄位中,錯誤代碼在 Insights 活動開始時間前七天內,每分鐘 API 呼叫或錯誤的歷史平均值。自:1.07
選用:False
-
-
-
-
-
範例 insightDetails 區塊
以下為 Application Auto Scaling API CompleteLifecycleAction 被呼叫異常次數時發生的 Insights 事件的 Insights 事件 insightDetails 區塊的範例。如需完整 Insights 事件的範例,請參閱 洞察活動。
此範例來自開始 Insights 事件,由 "state": "Start" 指示。呼叫與 Insights 事件、CodeDeployRole1、CodeDeployRole2,以及 CodeDeployRole3 相關聯之 API 的主要使用者身分,以及此 Insights 事件的平均 API 呼叫率,以及 attributions 角色 基準會顯示在 CodeDeployRole1 區塊。該attributions塊還顯示用戶代理是codedeploy.amazonaws.com,這意味著使用 AWS CodeDeploy 控制台運行 API 調用的頂級用戶身份。
因為沒有與已分析以產生 Insight 事件的事件相關聯的錯誤碼 (值為 null),錯誤碼的 insight 平均值與整個 Insights 事件的整體 insight 的平均值相同 (顯示在 statistics 區塊。
"insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }
