了解 Insights 事件傳遞記錄見解事件 AWS Management Console 記錄見解事件 AWS Command Line Interface 記錄見解事件 AWS SDKs

記錄 Insights 事件

AWS CloudTrail 透過持續分析 CloudTrail 管理事件，深入解析可協助 AWS 使用者識別並回應與通API話和API錯誤率相關的異常活動。 CloudTrail Insights 會分析API通話量和API錯誤率的正常模式 (也稱為基準)，並在通話量或錯誤率超出正常模式時產生 Insights 事件。系統會針對write管理產生API呼叫量上的見解事件APIs，而且會針對read和write管理產生API錯誤率的 Insights 事件APIs。

注意

若要在API呼叫磁碟區上記錄 Insights 事件，追蹤或事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件，追蹤或事件資料存放區必須記錄read或write管理事件。

CloudTrail Insights 會分析單一區域 (而非全球) 中發生的管理事件。In CloudTrail sights 事件會在與產生其支援管理事件的相同區域中產生。

Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。

內容

了解 Insights 事件傳遞

與其他 CloudTrail 擷取的事件類型不同，Insights 事件只有在 CloudTrail 偵測到帳戶使用量與帳戶的一般API使用模式明顯不同時，才會記錄 Insights 事件。

追蹤和事件資料存放區之間 CloudTrail 傳送事件的位置以及接收 Insights 事件所需的時間不同。

追蹤的 Insights 事件傳遞

如果您已在追蹤上啟用 Insights 事件並 CloudTrail 偵測到異常活動，請將 Insights 事件 CloudTrail 傳遞至所選目標 S3 儲存貯體中的/CloudTrail-Insight資料夾以供追蹤使用。在追蹤上首次啟用「 CloudTrail 深入解析」之後，如果偵測到異常活動，最多可能需 CloudTrail 要 36 小時才能傳遞第一個「見解」事件。

如果您關閉追蹤上的 Insights 事件記錄，然後重新啟用 Insights 事件，或停止並重新啟動追蹤的記錄，如果偵測到異常活動，則重新啟動 Insights 事件最多可能需 CloudTrail 要 36 小時才能重新傳遞。

事件資料存放區的 Insights 事件傳遞

如果您已在來源事件資料存放區上啟用 Insights 事件，則會將 Insights 事件 CloudTrail 傳遞至目的地事件資料存放區。在來源事件資料存放區首次啟用 CloudTrail Insights 之後，如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間才能將第一個 Insights 事件傳送至目的地事件資料存放區。

如果您關閉來源事件資料存放區上的 Insights 事件記錄，然後重新啟用 Insights 事件，或停止並重新啟動來源事件資料存放區上的事件擷取，如果偵測到異常活動，則重新啟動 Insights 事件的傳送最多可能需 CloudTrail 要 7 天。在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需 CloudTrail 定價的相關資訊，請參閱AWS CloudTrail 定價。

記錄見解事件 AWS Management Console

您可以使用主控台，在追蹤或事件資料存放區上啟用 Insights 事件。

在現有追蹤上啟用 CloudTrail 見解事件

使用下列程序來啟用現有追蹤上的 CloudTrail 深入解析事件。預設情況下，不會啟用 Insights 事件。

在 CloudTrail 主控台的左側導覽窗格中，開啟「追蹤」頁面，然後選擇追蹤名稱。
在 Insights 事件中，選擇 Edit (編輯)。

注意
記錄 Insights 事件需支付額外費用。如需 CloudTrail 定價，請參閱AWS CloudTrail 定價。
在 Event type (事件類型) 中，選擇 Insights events (Insights 事件)。
在「見解」事件的「選擇見解類型」下，選擇API通話率、API錯誤率或兩者。您的追蹤必須記錄寫入管理事件，以記錄API通話費率的見解事件。您的追蹤必須記錄「讀取」或「寫入」管理事件，才能記錄 Insights 事件的API錯誤率。
選擇儲存變更，以儲存您所做的變更。

如果偵測到異常活動，最多可能需 CloudTrail 要 36 小時才能傳遞第一個 Insights 事件。

在現有事件資料存放區上啟用 CloudTrail 見解事件

使用下列程序可在現有事件資料存放區上啟用 CloudTrail Insights 事件。預設情況下，不會啟用 Insights 事件。

在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需 CloudTrail 定價的相關資訊，請參閱AWS CloudTrail 定價。

注意

您只能在包含 CloudTrail 管理事件的事件資料存放區上啟用 CloudTrail Insights 事件。您無法在其他事件資料存放區類型上啟用 CloudTrail Insights 事件。

在 CloudTrail 主控台左側導覽窗格的 [Lake] 下，選擇 [事件資料存放區]。
選擇事件資料存放區名稱。
在管理事件中，選擇編輯。
選擇啟用 Insights。
選擇 CloudTrail 將提供見解事件的目的地事件資料存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊，請參閱若要建立會記錄 Insights 事件的目的地事件資料存放區。
在 [選擇見解類型] 下方，選擇API通話率、API錯誤率或兩者。您的事件資料存放區必須記錄寫入管理事件，以記錄 Insights 事件以獲得API呼叫率。您的事件資料存放區必須記錄讀取或寫入管理事件，才能以API錯誤率記錄 Insights 事件。
選擇儲存變更，以儲存您所做的變更。

如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間才能傳遞第一個 Insights 事件。

記錄見解事件 AWS Command Line Interface

您可以使用 AWS CLI設定您的追蹤和事件資料存放區，以記錄 Insights 事件。

注意

主題

記錄使用的追蹤的見解事件 AWS CLI
記錄事件資料存放區的見解事件使用 AWS CLI

記錄使用的追蹤的見解事件 AWS CLI

若要檢視您的追蹤是否記錄 Insights 事件，請執行 get-insight-selectors 命令。


aws cloudtrail get-insight-selectors --trail-name TrailName

以下結果展示追蹤的預設設定。依預設，追蹤不會記錄 Insights 事件。InsightType 屬性值是空的，且未指定 Insight 事件選取器，因為未啟用 Insights 事件收集。

如果您未新增 Insights 選取器，get-insight-selectors命令會傳回下列錯誤訊息：「呼叫 GetInsightSelectors 作業時發生錯誤 (InsightNotEnabledException)：Trail name 未啟用深入解析。Edit the trail settings to enable Insights, and then try the operation again." (呼叫 GetInsightSelectors 操作時，發生錯誤 (InsightNotEnabledException)：追蹤名稱未啟用 Insights。編輯追蹤設定以啟用 Insights，然後再試一次操作。)


{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

若要設定您的追蹤記錄 Insights 事件，請執行 put-insight-selectors 命令。下面的範例顯示如何設定追蹤以包含 Insights 事件。Insights 選取器值可以是 ApiCallRateInsight 或 ApiErrorRateInsight (或兩者)。


aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

下列結果顯示針對追蹤設定的 Insights 事件選取器。


{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

記錄事件資料存放區的見解事件使用 AWS CLI

若要在事件資料存放區上啟用 Insights 事件，您需要擁有會記錄管理事件的來源事件資料存放區和會記錄 Insights 事件的目的地事件資料存放區。

若要檢視是否在事件資料存放區上啟用 Insights 事件，請執行 get-insight-selectors 命令。


aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

若要檢視事件資料存放區是否設定為接收 Insights 事件或管理事件，請執行 get-event-data-store 命令。


aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

以下程序將向您說明如何建立目的地和來源事件資料存放區，然後啟用 Insights 事件。

執行 aws cloudtrail create-event-data-store 命令來建立會收集 Insights 事件的目的地事件資料存放區。eventCategory 的值必須為 Insight。Replace (取代) retention-period-days 以您希望在事件資料存放區中保留事件的天數。

如果您使用 AWS Organizations 組織的管理帳戶登入，如果您想要授予委派管理員對事件資料存放區的存取權，請包含--organization-enabled參數。


aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

以下是回應範例。


{
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

您將使用回應中的 ARN (或 ID 尾碼ARN) 作為步驟 3 中--insights-destination參數的值。

執行 aws cloudtrail create-event-data-store 命令以建立記錄管理事件的來源事件資料存放區。依預設，事件資料存放區會記錄所有管理事件。如果想要記錄所有管理事件，您不需要指定進階事件選取器。Replace (取代) retention-period-days 以您希望在事件資料存放區中保留事件的天數。若您要建立組織事件資料存放區，請加入 --organization-enabled 參數。


aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

以下是回應範例。


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

您將使用回應中的 ARN (或 ID 尾碼ARN) 作為步驟 3 中--event-data-store參數的值。

執行 put-insight-selectors 命令以啟用 Insights 事件。Insights 選取器值可以是 ApiCallRateInsight 或 ApiErrorRateInsight (或兩者)。對於--event-data-store參數，請指定記錄管理事件並啟用深入解析的來源事件資料存放區 ARN (或 ID 尾碼ARN)。對於--insights-destination參數，請指定將記錄見解事件的目標事件資料存放區 ARN (或 ID 尾碼ARN)。
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
下列結果顯示針對事件資料存放區設定的 Insights 事件選取器。
```
{
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}
```
在事件資料存放區首次啟用 CloudTrail Insights 之後，如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間才能傳遞第一個 Insights 事件。

CloudTrail Insights 會分析單一區域 (而非全球) 中發生的管理事件。In CloudTrail sights 事件會在與產生其支援管理事件的相同區域中產生。

對於組織事件資料存放區，分 CloudTrail 析來自每個成員帳戶的管理事件，而不是分析組織所有管理事件的彙總。

記錄見解事件 AWS SDKs

執行GetInsightSelectors作業以查看追蹤或事件資料存放區是否啟用 Insights 事件。您可以設定追蹤或事件資料存放區，以便透過PutInsightSelectors作業啟用 Insights 事件。如需詳細資訊，請AWS CloudTrail API參閱參考。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用進階事件選取器篩選資料事件

CloudTrail 記錄內容