CloudTrail registra el contenido de los eventos de Insights para registros de seguimiento - AWS CloudTrail
Ejemplo de bloque insightDetails

CloudTrail registra el contenido de los eventos de Insights para registros de seguimiento

Los registros de eventos de AWS CloudTrail Insights para los registros de seguimiento incluyen campos que son diferentes de otros eventos de CloudTrail en su estructura JSON, a veces llamados carga útil. Los eventos de CloudTrail Insights para registros de seguimiento contienen los campos siguientes:

  • eventVersion: versión del evento.

    Desde: 1.07

    Opcional: Falso

  • eventType: tipo de evento. El valor siempre es AwsCloudTrailInsight para los eventos de Insights.

    Desde: 1.07

    Opcional: Falso

  • eventID: GUID generado por CloudTrail para identificar de forma inequívoca cada evento. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.

    Desde: 1.07

    Opcional: Falso

  • eventTime: la hora en que se inició o se detuvo el evento de Insights, en hora universal coordinada (UTC).

    Desde: 1.07

    Opcional: Falso

  • awsRegion: la Región de AWS en la que se produjo el evento de Insights, por ejemplo us-east-2.

    Desde: 1.07

    Opcional: Falso

  • recipientAccountId: representa el ID de cuenta que recibió este evento.

    Desde: 1.07

    Opcional: Verdadero

  • sharedEventID: un GUID que es generado por CloudTrail Insights para identificar de forma inequívoca un evento de Insights. sharedEventID es igual en los eventos iniciales y finales de Insights, y ayuda a conectar ambos eventos para identificar de forma inequívoca la actividad inusual. sharedEventID puede considerarse como el ID general de evento de Insights.

    Desde: 1.07

    Opcional: Falso

  • insightDetails: un registro de eventos de CloudTrail Insights para un registro de seguimiento incluye un bloque insightDetails que contiene información sobre los desencadenantes subyacentes de un evento de Insights, tal como el origen del evento, las identidades de usuario, los agentes de usuario, los promedios o las referencias históricos, las estadísticas, el nombre de la API y si se trata de un evento de Insights inicial o final.

    Desde: 1.07

    Opcional: Falso

    • state – si el evento es el evento inicial o final de Insights. El valor puede ser Start o End.

      Desde: 1.07

      Opcional: Falso

    • eventSource: el servicio de AWS que fue la fuente de la actividad inusual, como ec2.amazonaws.com.

      Desde: 1.07

      Opcional: Falso

    • eventName – el nombre del evento de Insights, normalmente el nombre de la API que fue la fuente de la actividad inusual.

      Desde: 1.07

      Opcional: Falso

    • insightType – el tipo de evento de Insights. Este valor puede ser ApiCallRateInsight o ApiErrorRateInsight.

      Desde: 1.07

      Opcional: Falso

    • errorCode: el código de error de la actividad inusual. También consulte errorCode en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.

      Desde: 1.07

      Opcional: Verdadero

    • insightContext: información sobre las herramientas de AWS (llamadas agentes de usuario), usuarios y roles de IAM (llamados identidades de usuario) y códigos de error asociados a los eventos que CloudTrail analizó para generar el evento de Insights. Este elemento también incluye estadísticas que muestran cómo se compara la actividad inusual en un evento de Insights con la actividad de referencia o normal.

      Desde: 1.07

      Opcional: Falso

      • statistics: incluye datos sobre la tasa promedio de referencia, o típica de llamadas o errores a la API en cuestión, que realiza una cuenta, medida durante el periodo de referencia, la tasa promedio de llamadas o errores que desencadenaron el evento de Insights, la duración, en minutos, del evento de Insights y la duración, en minutos, del periodo de medición de referencia.

        Desde: 1.07

        Opcional: Falso

        • baseline: las llamadas a la API o los errores por minuto durante el periodo de referencia en la API en cuestión del evento de Insights para la cuenta, calculada durante los siete días anteriores al inicio del evento de Insights.

          Desde: 1.07

          Opcional: Falso

          • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights.

            Desde: 1.07

            Opcional: Falso

        • insight: para un evento inicial de Insights, este valor es la cantidad promedio de llamadas a la API o errores por minuto durante el inicio de la actividad inusual. Para un evento final de Insights, este valor es el promedio de llamadas por minuto a la API durante la actividad inusual.

          Desde: 1.07

          Opcional: Falso

          • average: la cantidad promedio de llamadas a la API o errores registrados por minuto durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: Falso

        • insightDuration: la duración, en minutos, de un evento de Insights (el periodo desde el inicio hasta el final de la actividad inusual en la API en cuestión). insightDuration ocurre tanto en eventos iniciales como finales de Insights.

          Desde: 1.07

          Opcional: Falso

        • baselineDuration: la duración, en minutos, del periodo de referencia (el periodo en el que la actividad normal se mide en la API en cuestión). baselineDuration comprende, como mínimo, los siete días (10 080 minutos) que preceden a un evento de Insights. Este campo está presente tanto en eventos iniciales como finales de Insights. La hora de finalización de la medición de baselineDuration es siempre el comienzo de un evento de Insights.

          Desde: 1.07

          Opcional: Falso

      • attributions: incluye información sobre las identidades de usuario, agentes de usuario y códigos de error correlacionados con la actividad inusual y de referencia. Un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error se capturan en un bloque attributions de eventos de Insights, ordenados por un promedio del recuento de actividad, en orden descendente de mayor a menor.

        Desde: 1.07

        Opcional: Verdadero

        • attribute – contiene el tipo de atributo. Los valores pueden ser userIdentityArn, userAgent o errorCode. Si están presentes, estos valores solo aparecerán una vez en un atributo individual. Los distintos valores de atributo pueden tener valores userIdentityArn, userAgent o errorCode diferentes, pero cada instancia de atributo contendrá solo un valor para userIdentityArn, userAgent o errorCode.

          Desde: 1.07

          Opcional: Falso

        • insight: un bloque que muestra hasta los cinco valores de atributo principales que contribuyeron a las llamadas a la API o los errores realizados durante el periodo de actividad inusual, en orden descendente desde la mayor cantidad de llamadas a la API o errores hasta la menor. También muestra el promedio de llamadas a la API o errores realizados por el valor del atributo durante el periodo de actividad inusual.

          Desde: 1.07

          Opcional: Falso

          • value: el atributo que contribuyó a las llamadas a la API o errores realizados durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: falso Falso

          • average: la cantidad de llamadas a la API o errores por minuto durante el periodo de actividad inusual para el atributo en el campo value.

            Desde: 1.07

            Opcional: falso Falso

        • baseline: un bloque que muestra hasta los cinco valores de atributo principales que más contribuyeron a las llamadas a la API o los errores durante el periodo de actividad normal, en orden descendente desde la mayor cantidad de llamadas a la API o errores hasta la menor. También muestra el promedio de llamadas a la API o errores realizados por el valor del atributo durante el periodo de actividad normal.

          Desde: 1.07

          Opcional: falso Falso

          • value: el atributo que contribuyó a las llamadas a la API o los errores durante el periodo de actividad normal.

            Desde: 1.07

            Opcional: falso Falso

          • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el atributo en el campo value.

            Desde: 1.07

            Opcional: falso Falso

  • eventCategory: la categoría del evento. El valor siempre es Insight para los eventos de Insights.

    Desde: 1.07

    Opcional: Falso

Ejemplo de bloque insightDetails

A continuación se muestra un ejemplo de un bloque insightDetails de evento de Insights para un evento de Insights que se produjo cuando se llamó una cantidad inusual de veces a la API CompleteLifecycleAction de Application Auto Scaling. Para ver un ejemplo de un evento completo de Insights, consulte Eventos de Insights.

Este ejemplo proviene de un evento inicial de Insights, indicado por "state": "Start". Las identidades de usuario principales, CodeDeployRole1, CodeDeployRole2 y CodeDeployRole3, que llamaron a las API asociadas al evento de Insights, se muestran en el bloque attributions, junto con sus tasas promedio de llamadas a la API para este evento de Insights, y el valor de referencia para el rol CodeDeployRole1. El bloque attributions también muestra que el agente de usuario es codedeploy.amazonaws.com, lo que significa que las identidades de usuario principales utilizaron la consola AWS CodeDeploy para ejecutar las llamadas a la API.

Debido a que no hay códigos de error asociados a los eventos que se analizaron para generar el evento de Insights (el valor esnull), el promedio de insight para el código de error es el mismo que el promedio general de insight para todo el evento de Insights, que se muestra en el bloque statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }