CloudTrail grabar contenido para eventos de Insights para senderos - AWS CloudTrail
Ejemplo de bloque insightDetails

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CloudTrail grabar contenido para eventos de Insights para senderos

AWS CloudTrail Los registros de eventos de Insights para las rutas incluyen campos que son diferentes de otros CloudTrail eventos en su estructura JSON, lo que a veces se denomina carga útil. CloudTrail Los eventos de Insights para las rutas contienen los siguientes campos:

  • eventVersion: versión del evento.

    Desde: 1.07

    Opcional: Falso

  • eventType: el tipo de evento. El valor siempre es AwsCloudTrailInsight para los eventos de Insights.

    Desde: 1.07

    Opcional: Falso

  • eventID— GUID generado por CloudTrail para identificar de forma única cada evento. Puede utilizar este valor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal para recuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.

    Desde: 1.07

    Opcional: Falso

  • eventTime: la hora en que se inició o se detuvo el evento de Insights, en hora universal coordinada (UTC).

    Desde: 1.07

    Opcional: Falso

  • awsRegion— El Región de AWS lugar en el que se produjo el evento de Insights, por ejemplous-east-2.

    Desde: 1.07

    Opcional: Falso

  • recipientAccountId: representa el ID de cuenta que recibió este evento.

    Desde: 1.07

    Opcional: Verdadero

  • sharedEventID— Un GUID generado por CloudTrail Insights para identificar de forma exclusiva un evento de Insights. sharedEventIDes común entre el inicio y el final de los eventos de Insights, y ayuda a conectar ambos eventos para identificar de forma única una actividad inusual. sharedEventID puede considerarse como el ID general de evento de Insights.

    Desde: 1.07

    Opcional: Falso

  • insightDetails— El registro de eventos de CloudTrail Insights para una ruta incluye un insightDetails bloque que contiene información sobre los factores desencadenantes subyacentes de un evento de Insights, como el origen del evento, las identidades de los usuarios, los promedios históricos o las bases de referencia, las estadísticas, el nombre de la API y si el evento es el inicio o el final del evento de Insights.

    Desde: 1.07

    Opcional: Falso

    • state— Si el evento es el evento de Insights inicial o final. El valor puede ser Start o End.

      Desde: 1.07

      Opcional: Falso

    • eventSource— El AWS servicio que fue el origen de la actividad inusual, por ejemploec2.amazonaws.com.

      Desde: 1.07

      Opcional: Falso

    • eventName— El nombre del evento de Insights, normalmente el nombre de la API que fue el origen de la actividad inusual.

      Desde: 1.07

      Opcional: Falso

    • insightType— El tipo de evento de Insights. Este valor puede ser ApiCallRateInsight o ApiErrorRateInsight.

      Desde: 1.07

      Opcional: Falso

    • errorCode: el código de error de la actividad inusual. También consulte errorCode en CloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red.

      Desde: 1.07

      Opcional: Verdadero

    • insightContext— Información sobre las AWS herramientas (denominadas agentes de usuario), los usuarios y funciones de IAM (denominadas identidades de usuario) y los códigos de error asociados a los eventos que CloudTrail se analizaron para generar el evento de Insights. Este elemento también incluye estadísticas que muestran cómo se compara la actividad inusual en un evento de Insights con la actividad de referencia o normal.

      Desde: 1.07

      Opcional: Falso

      • statistics: incluye datos sobre la tasa promedio de referencia, o típica de llamadas o errores a la API en cuestión, que realiza una cuenta, medida durante el periodo de referencia, la tasa promedio de llamadas o errores que desencadenaron el evento de Insights, la duración, en minutos, del evento de Insights y la duración, en minutos, del periodo de medición de referencia.

        Desde: 1.07

        Opcional: Falso

        • baseline: las llamadas a la API o los errores por minuto durante el periodo de referencia en la API en cuestión del evento de Insights para la cuenta, calculada durante los siete días anteriores al inicio del evento de Insights.

          Desde: 1.07

          Opcional: Falso

          • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights.

            Desde: 1.07

            Opcional: Falso

        • insight: para un evento inicial de Insights, este valor es la cantidad promedio de llamadas a la API o errores por minuto durante el inicio de la actividad inusual. Para un evento final de Insights, este valor es el promedio de llamadas por minuto a la API durante la actividad inusual.

          Desde: 1.07

          Opcional: Falso

          • average: la cantidad promedio de llamadas a la API o errores registrados por minuto durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: Falso

        • insightDuration: la duración, en minutos, de un evento de Insights (el periodo desde el inicio hasta el final de la actividad inusual en la API en cuestión). insightDuration ocurre tanto en eventos iniciales como finales de Insights.

          Desde: 1.07

          Opcional: Falso

        • baselineDuration: la duración, en minutos, del periodo de referencia (el periodo en el que la actividad normal se mide en la API en cuestión). baselineDuration comprende, como mínimo, los siete días (10 080 minutos) que preceden a un evento de Insights. Este campo está presente tanto en eventos iniciales como finales de Insights. La hora de finalización de la medición de baselineDuration es siempre el comienzo de un evento de Insights.

          Desde: 1.07

          Opcional: Falso

      • attributions: incluye información sobre las identidades de usuario, agentes de usuario y códigos de error correlacionados con la actividad inusual y de referencia. Un máximo de cinco identidades de usuario, cinco agentes de usuario y cinco códigos de error se capturan en un bloque attributions de eventos de Insights, ordenados por un promedio del recuento de actividad, en orden descendente de mayor a menor.

        Desde: 1.07

        Opcional: Verdadero

        • attribute— Contiene el tipo de atributo. Los valores pueden ser userIdentityArn, userAgent o errorCode. Si están presentes, estos valores solo aparecerán una vez en un atributo individual. Los distintos valores de atributo pueden tener valores userIdentityArn, userAgent o errorCode diferentes, pero cada instancia de atributo contendrá solo un valor para userIdentityArn, userAgent o errorCode.

          Desde: 1.07

          Opcional: Falso

        • insight: un bloque que muestra hasta los cinco valores de atributo principales que contribuyeron a las llamadas a la API o los errores realizados durante el periodo de actividad inusual, en orden descendente desde la mayor cantidad de llamadas a la API o errores hasta la menor. También muestra el promedio de llamadas a la API o errores realizados por el valor del atributo durante el periodo de actividad inusual.

          Desde: 1.07

          Opcional: Falso

          • value: el atributo que contribuyó a las llamadas a la API o los errores realizados durante el periodo de actividad inusual.

            Desde: 1.07

            Opcional: falso Falso

          • average: la cantidad de llamadas a la API o errores por minuto durante el periodo de actividad inusual para el atributo en el campo value.

            Desde: 1.07

            Opcional: falso Falso

        • baseline: un bloque que muestra hasta los cinco valores de atributo principales que más contribuyeron a las llamadas a la API o los errores durante el periodo de actividad normal, en orden descendente desde la mayor cantidad de llamadas a la API o errores hasta la menor. También muestra el promedio de llamadas a la API o errores realizados por el valor del atributo durante el periodo de actividad normal.

          Desde: 1.07

          Opcional: falso Falso

          • value: el atributo que contribuyó a las llamadas a la API o los errores realizados durante el periodo de actividad normal.

            Desde: 1.07

            Opcional: falso Falso

          • average: el promedio histórico de llamadas a la API o errores por minuto durante los siete días anteriores a la hora de inicio de la actividad de Insights para el atributo en el campo value.

            Desde: 1.07

            Opcional: falso Falso

  • eventCategory: la categoría del evento. El valor siempre es Insight para los eventos de Insights.

    Desde: 1.07

    Opcional: Falso

Ejemplo de bloque insightDetails

A continuación se muestra un ejemplo de un bloque insightDetails de evento de Insights para un evento de Insights que se produjo cuando se llamó una cantidad inusual de veces a la API CompleteLifecycleAction de Application Auto Scaling. Para ver un ejemplo de un evento completo de Insights, consulte Eventos de Insights.

Este ejemplo proviene de un evento inicial de Insights, indicado por "state": "Start". En el attributions bloque se muestran las principales identidades de los usuarios que realizaron la llamada a la APIs asociada al evento de Insights CodeDeployRole1 CodeDeployRole2CodeDeployRole3, y, junto con sus tasas medias de llamadas a la API para este evento de Insights y la base de referencia del CodeDeployRole1 rol. El attributions bloque también muestra que el agente de usuario escodedeploy.amazonaws.com, lo que significa que las principales identidades de usuario utilizaron la AWS CodeDeploy consola para ejecutar las llamadas a la API.

Debido a que no hay códigos de error asociados a los eventos que se analizaron para generar el evento de Insights (el valor esnull), el promedio de insight para el código de error es el mismo que el promedio general de insight para todo el evento de Insights, que se muestra en el bloque statistics.

          "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
              "statistics": {
                "baseline": {
                  "average": 0.0000882145
                },
                "insight": {
                  "average": 0.6
                },
                "insightDuration": 5,
                "baselineDuration": 11336
              },
              "attributions": [
                {
                  "attribute": "userIdentityArn",
                  "insight": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
                      "average": 0.2
                    },
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
                      "average": 0.2
                    }
                  ],
                  "baseline": [
                    {
                      "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "userAgent",
                  "insight": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "codedeploy.amazonaws.com",
                      "average": 0.0000882145
                    }
                  ]
                },
                {
                  "attribute": "errorCode",
                  "insight": [
                    {
                      "value": "null",
                      "average": 0.6
                    }
                  ],
                  "baseline": [
                    {
                      "value": "null",
                      "average": 0.0000882145
                    }
                  ]
                }
              ]
            }
          }