CloudTrail registra el contenido de los eventos de Insights para los almacenes de datos de eventos

Los registros de eventos de AWS CloudTrail Insights para los almacenes de datos de eventos incluyen campos que son diferentes de otros eventos de CloudTrail en su estructura JSON, a veces llamados carga útil. Un registro de eventos de CloudTrail Insights para un almacén de datos de eventos incluye los siguientes campos:

nota

Los campos insightValue, insightAverage, baselineValue y baselineAverage incluidos en el campo attributions de insightContext comenzarán a quedar obsoletos el 23 de junio de 2025.

eventVersion: la versión del formato del evento de registro.

Opcional: Falso
eventCategory: la categoría del evento. El valor siempre es Insight para los eventos de Insights.

Opcional: Falso
eventType: el tipo de evento. El valor siempre es AwsCloudTrailInsight para los eventos de Insights.

Opcional: Falso
eventID: GUID generado por CloudTrail para identificar de forma inequívoca cada evento. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.

Opcional: Falso
eventTime: la hora en que se inició o se detuvo el evento de Insights, en hora universal coordinada (UTC).

Opcional: Falso
awsRegion: la Región de AWS en la que se produjo el evento de Insights, por ejemplo us-east-2.

Opcional: Falso
recipientAccountId: representa el ID de cuenta que recibió este evento.

Opcional: Verdadero
sharedEventID: un GUID que es generado por CloudTrail Insights para identificar de forma inequívoca un evento de Insights. sharedEventID es igual en los eventos iniciales y finales de Insights, y ayuda a conectar ambos eventos para identificar de forma inequívoca la actividad inusual. sharedEventID puede considerarse como el ID general de evento de Insights.

Opcional: Falso
addendum: si se retrasó la entrega de un evento o queda disponible información adicional sobre un evento existente después de registrar el evento, un campo anexado muestra información sobre el motivo del retraso del evento. Si falta información de un evento existente, el campo anexado incluye la información que falta y un motivo. También consulte addendum en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.

Opcional: Verdadero
insightSource: el almacén de datos de eventos de origen que recopiló los eventos de administración que se analizaron.

Opcional: Falso
insightState – si el evento es el evento inicial o final de Insights. El valor puede ser Start o End.

Opcional: Falso
insightEventSource: el Servicio de AWS que fue la fuente de la actividad inusual, como ec2.amazonaws.com.

Opcional: Falso
insightEventName – el nombre del evento de Insights, normalmente el nombre de la API que fue la fuente de la actividad inusual.

Opcional: Falso
insightErrorCode: el código de error de la actividad inusual. También consulte errorCode en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.

Opcional: Verdadero
insightType – el tipo de evento de Insights. Este valor puede ser ApiCallRateInsight o ApiErrorRateInsight.

Opcional: Falso
insightContext: contiene información sobre el desencadenante subyacente de un evento de Insights, como la identidad del usuario, el agente de usuario, la media o referencia histórica y la duración y el promedio de Insights.

Opcional: Falso
- baselineAverage – la cantidad promedio de llamadas a la API o errores por minuto durante el periodo de referencia en la API en cuestión del evento de Insights para la cuenta, calculada durante los siete días anteriores al inicio del evento de Insights.
  
  Opcional: Falso
- insightAverage: para un evento inicial de Insights, este valor es la cantidad media de llamadas a la API o errores por minuto durante el inicio de la actividad inusual. Para un evento final de Insights, este valor es el promedio de llamadas por minuto a la API durante la actividad inusual.
  
  Opcional: Falso
- baselineDuration: la duración, en minutos, del periodo de referencia (el periodo en el que la actividad normal se mide en la API en cuestión). baselineDuration comprende, como mínimo, los siete días (10 080 minutos) que preceden a un evento de Insights. Este campo está presente tanto en eventos iniciales como finales de Insights. La hora de finalización de la medición de baselineDuration es siempre el comienzo de un evento de Insights.
  
  Opcional: Falso
- insightDuration: la duración, en minutos, de un evento de Insights (el periodo desde el inicio hasta el final de la actividad inusual en la API en cuestión). insightDuration ocurre tanto en eventos iniciales como finales de Insights.
  
  Opcional: Falso
- attributions: incluye información sobre la identidad del usuario, agente de usuario o código de error correlacionados con la actividad inusual y de referencia.
  
  Opcional: Verdadero
  
  nota
  Los campos insightValue, insightAverage, baselineValue y baselineAverage incluidos en el campo attributions de insightContext comenzarán a quedar obsoletos el 23 de junio de 2025.
  - attribute – contiene el tipo de atributo. Los valores pueden ser userIdentityArn, userAgent o errorCode. Si están presentes, estos valores solo aparecerán una vez en un atributo individual. Los distintos valores de atributo pueden tener valores userIdentityArn, userAgent o errorCode diferentes, pero cada instancia de atributo contendrá solo un valor para userIdentityArn, userAgent o errorCode.
    
    Opcional: Falso
  - insightValue: el valor de atributo principal que se produjo en las llamadas a la API o los errores que se realizaron durante el periodo de actividad inusual.
    
    Opcional: Falso
  - insightAverage: el número de llamadas a la API o errores por minuto durante el periodo de actividad inusual para el atributo en el campo insightValue.
    
    Opcional: Falso
  - baselineValue: el valor de atributo principal que contribuyó a las llamadas a la API o los errores registrados durante el periodo de actividad normal.
    
    Opcional: Falso
  - baselineAverage: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el atributo en el campo baselineValue.
    
    Opcional: Falso
  - insight: los cinco valores de atributo principales que contribuyeron a las llamadas a la API o los errores realizados durante el periodo de actividad inusual. También muestra el promedio de llamadas a la API o errores realizados por el atributo durante el periodo de actividad inusual.
    
    Opcional: Falso
    
    value: el atributo que contribuyó a las llamadas a la API o los errores realizados durante el periodo de actividad inusual.
    
    Opcional: Falso
    
    average: la cantidad promedio de llamadas a la API o errores registrados por minuto durante el periodo de actividad inusual para el atributo en el campo value.
    
    Opcional: Falso
  - baseline: los cinco valores de atributo principales que más contribuyeron a las llamadas a la API o los errores durante el periodo de actividad normal. También muestra la cantidad promedio de llamadas a la API o errores registrados por el valor del atributo durante el periodo de actividad normal.
    
    Opcional: Falso
    
    value: el atributo que contribuyó a las llamadas a la API o los errores realizados durante el periodo de actividad normal.
    
    Opcional: Falso
    
    average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el atributo en el campo value.
    
    Opcional: Falso

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

CloudTrail registra el contenido de los eventos de Insights para registros de seguimiento

Elemento userIdentity de CloudTrail.