Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Visualización de eventos de Insights para senderos con el AWS CLI
En esta sección se describe cómo usar el list-insights-data comando AWS CLI lookup-events and para buscar los últimos 90 días de eventos de Insights para una ruta con los eventos de Insights habilitados. Para obtener información sobre cómo habilitar CloudTrail Insights en una ruta, consulteRegistrar los eventos de Insights para una ruta mediante el AWS CLI.
nota
No puede usar el list-insights-data comando lookup-events o para buscar eventos de Insights en un banco de datos de eventos; sin embargo, CloudTrail Lake ofrece varios ejemplos de consultas para los bancos de datos de eventos de Insights. Para obtener más información, consulte Visualización de consultas de muestra para los eventos de Insights.
El comando lookup-events tiene las siguientes opciones:
-
--end-time -
--event-category -
--max-results -
--start-time -
--lookup-attributes -
--next-token -
--generate-cli-skeleton -
--cli-input-json
El comando list-insights-data tiene las siguientes opciones:
-
--end-time -
--data-type -
--max-results -
--start-time -
--dimensions -
--next-token -
--generate-cli-skeleton -
--cli-input-json
Para obtener información general sobre el uso del AWS Command Line Interface, consulte la Guía del AWS Command Line Interface usuario.
Contenido
Búsqueda de eventos de Insights para eventos de administración
Especificar el número de eventos de Insights que deben devolverse los eventos de administración
Especificar el número de eventos de Insights para que se devuelvan los eventos de datos
Búsqueda de eventos de Insights para eventos de administración por intervalo de tiempo
Búsqueda de eventos de datos de Insights por intervalo de tiempo
Búsqueda de eventos de Insights para eventos de gestión por atributo
Búsqueda de eventos de Insights para eventos de datos por dimensión
Obtener la entrada JSON de un archivo de eventos de Insights para eventos de administración
Obtener una entrada JSON de un archivo para eventos de Insights para eventos de datos
Requisitos previos
-
Para ejecutar AWS CLI comandos, debe instalar el AWS CLI. Para obtener más información, consulte Introducción a la AWS CLI.
-
Asegúrese de que su AWS CLI versión sea posterior a la 1.6.6. Para comprobar la versión de la CLI, ejecute aws --version en la línea de comandos.
-
Para configurar la cuenta, la región y el formato de salida predeterminado de una AWS CLI sesión, utilice el aws configure comando. Para obtener más información, consulte Configuración de la interfaz de línea de comandos de AWS.
-
Para registrar los eventos de Insights sobre el volumen de llamadas a la API, el registro de seguimiento debe registrar los eventos de administración de
write. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento debe registrar los eventos de administración dereadowrite.
nota
Los CloudTrail AWS CLI comandos distinguen entre mayúsculas y minúsculas.
Cómo obtener ayuda de la línea de comandos
Para ver la ayuda de la línea de comandos de lookup-events, escriba el siguiente comando.
aws cloudtrail lookup-events help
Búsqueda de eventos de Insights para eventos de administración
Para ver los 50 eventos más recientes de Insights, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight
Un evento devuelto es similar al siguiente ejemplo,
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.09", "eventTime": "2024-12-11T16:52:00Z", "awsRegion": "us-east-1", "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "Start", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "sourceEventCategory": "Management", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 1.2 }, "insightDuration": 5, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 1.2 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 1.2 } ], "baseline": [] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.09", "eventTime": "2024-12-11T16:53:00Z", "awsRegion": "us-east-1", "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "888888888888", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "End", "eventSource": "cloudtrail.amazonaws.com", "eventName": "DescribeQuery", "insightType": "ApiErrorRateInsight", "errorCode": "QueryIdNotFoundException", "sourceEventCategory": "Management", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 6 }, "insightDuration": 1, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::888888888888:assumed-role/Admin", "average": 6 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 6 } ], "baseline": [] } ] } }, "eventCategory": "Insight" } ] }
Para obtener una explicación de los campos relacionados con la búsqueda en el resultado, consulte Campos de resultados de búsqueda sobre este tema. Para obtener una explicación de los campos del evento de Insights, consulte CloudTrail grabar contenido para eventos de Insights para senderos.
Buscando eventos de datos en busca de eventos de Insights
Para ver los 50 eventos más recientes de Insights, escriba el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
Un evento devuelto es similar al siguiente ejemplo,
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.09", "eventTime": "2024-12-11T16:52:00Z", "awsRegion": "us-east-2", "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "Start", "eventSource": "s3.amazonaws.com", "eventName": "PutObject", "insightType": "ApiErrorRateInsight", "errorCode": "InvalidRequest", "sourceEventCategory": "Data", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 1.2 }, "insightDuration": 5, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::123456789012:assumed-role/Admin", "average": 1.2 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 1.2 } ], "baseline": [] } ] }, "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }, "eventCategory": "Insight" }, { "eventVersion": "1.09", "eventTime": "2024-12-11T16:53:00Z", "awsRegion": "us-east-1", "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4", "insightDetails": { "state": "End", "eventSource": "s3.amazonaws.com", "eventName": "PutObject", "insightType": "ApiErrorRateInsight", "errorCode": "InvalidRequest", "sourceEventCategory": "Data", "insightContext": { "statistics": { "baseline": { "average": 0 }, "insight": { "average": 6 }, "insightDuration": 1, "baselineDuration": 11092 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::123456789012:assumed-role/Admin", "average": 6 } ], "baseline": [] }, { "attribute": "userAgent", "insight": [ { "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36", "average": 6 } ], "baseline": [] } ] }, "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }, "eventCategory": "Insight" } ] }
Especificar el número de eventos de Insights que deben devolverse los eventos de administración
Para especificar el número de eventos de Insights que deben devolverse los eventos de administración, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight --max-results<integer>
El valor predeterminado de<integer>, si no se especifica, es 50. Los valores posibles comprenden del 1 al 50. El ejemplo siguiente devuelve un solo resultado.
aws cloudtrail lookup-events --event-category insight --max-results 1
Especificar el número de eventos de Insights para que se devuelvan los eventos de datos
Para especificar el número de eventos de Insights que deben devolverse los eventos de datos, escriba el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--max-results<integer>
El valor predeterminado de<integer>, si no se especifica, es 50. Los valores posibles comprenden del 1 al 50. El ejemplo siguiente devuelve un solo resultado.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--max-results 1
Búsqueda de eventos de Insights para eventos de administración por intervalo de tiempo
Los eventos de Insights para los eventos de gestión de los últimos 90 días están disponibles para su búsqueda. Para especificar un intervalo de tiempo, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight --start-time<timestamp>--end-time<timestamp>
--start-time especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha de finalización especificada, se devuelve un error.<timestamp>
--end-time especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha de inicio especificada, se devuelve un error.<timestamp>
La fecha de inicio predeterminada es la primera fecha posible en que los datos están disponibles en los últimos 90 días. La fecha de finalización predeterminada es la fecha del evento que se produjo más cercana a la fecha actual.
Todas las marcas temporales se muestran en UTC.
Búsqueda de eventos de datos de Insights por intervalo de tiempo
Los eventos de Insights correspondientes a los eventos de datos de los últimos 90 días están disponibles para su búsqueda. Para especificar un intervalo de tiempo, escriba el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--start-time<timestamp>--end-time<timestamp>
--start-time especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha de finalización especificada, se devuelve un error.<timestamp>
--end-time especifica, en UTC, que solo se devuelvan los eventos de Insights que se producen en el tiempo especificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha de inicio especificada, se devuelve un error.<timestamp>
La fecha de inicio predeterminada es la primera fecha posible en que los datos están disponibles en los últimos 90 días. La fecha de finalización predeterminada es la fecha del evento que se produjo más cercana a la fecha actual.
Todas las marcas temporales se muestran en UTC.
Búsqueda de eventos de Insights para eventos de gestión por atributo
Para filtrar por un atributo, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
Solo puede especificar un atributo de pares de clave-valor para cada comando lookup-events. Los siguientes son valores válidos de eventos de Insights para AttributeKey. Los nombres de los valores distinguen entre mayúsculas y minúsculas.
-
EventId -
EventName -
EventSource
La longitud máxima de AttributeValue es de 2000 caracteres. Los siguientes caracteres («_», « », «,» y «\\n») cuentan como dos caracteres en el límite de 2000 caracteres.
Ejemplos de búsqueda de atributos
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventName es PutRule.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventId es b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventSource es iam.amazonaws.com.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Búsqueda de eventos de Insights para eventos de datos por dimensión
Para filtrar por dimensión, escriba el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions<DimensionKey>=<DimensionValue>
Solo puede especificar un par clave-valor de dimensión para cada list-insights-events comando. Los siguientes son valores válidos de eventos de Insights para DimensionKey. Los nombres de los valores distinguen entre mayúsculas y minúsculas.
-
EventId -
EventName -
EventSource
La longitud máxima de DimensionValue es de 2000 caracteres. Los siguientes caracteres («_», « », «,» y «\\n») cuentan como dos caracteres en el límite de 2000 caracteres.
Ejemplos de búsqueda de dimensiones
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventName es PutObject.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions EventName=PutObject
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventId es b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
El siguiente comando de ejemplo devuelve los eventos de Insights en los que el valor de EventSource es s3.amazonaws.com.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions EventSource=s3.amazonaws.com
Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración
Para obtener la siguiente página de resultados de un comando lookup-events, escriba el siguiente comando.
aws cloudtrail lookup-events --event-category insight<same parameters as previous command>--next-token=<token>
En este comando, el valor de <token> se toma del primer campo de la salida del comando anterior.
Cuando utiliza --next-token en un comando, debe utilizar los mismos parámetros que en el comando anterior. Suponga, por ejemplo, que ejecuta el siguiente comando.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Especificar la siguiente página de resultados para los eventos de Insights para los eventos de administración
Para obtener la siguiente página de resultados de un comando list-insights-data, escriba el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName<same parameters as previous command>--next-token=<token>
En este comando, el valor de <token> se toma del primer campo de la salida del comando anterior.
Cuando utiliza --next-token en un comando, debe utilizar los mismos parámetros que en el comando anterior. Suponga, por ejemplo, que ejecuta el siguiente comando.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions EventName=PutObject
Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName--dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Obtener la entrada JSON de un archivo de eventos de Insights para eventos de administración
AWS CLI Para algunos AWS servicios, tiene dos parámetros: uno --generate-cli-skeleton y--cli-input-json, que puede usar para generar una plantilla JSON, que puede modificar y usar como entrada para el --cli-input-json parámetro. En esta sección se describe cómo utilizar estos parámetros con aws cloudtrail lookup-events. Para obtener más información, consulte Esqueletos y archivos de entrada de AWS CLI.
Para buscar eventos de Insights al obtener los datos de entrada JSON de un archivo
-
Cree una plantilla de entrada para usarla con
lookup-eventsredirigiendo el resultado de--generate-cli-skeletona un archivo, como En el ejemplo siguiente.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txtEl archivo de plantilla generado (en este caso, LookupEvents .txt) tiene el siguiente aspecto.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entrada JSON solo deben contener los valores que se especifican.
importante
Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.
El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que se devuelven.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } -
Para utilizar el archivo editado como entrada, utilice la sintaxis
--cli-input-json file://<filename>, como en el ejemplo siguiente.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
nota
Puede utilizar otros argumentos en la misma línea de comandos como --cli-input-json.
Obtener una entrada JSON de un archivo para eventos de Insights para eventos de datos
AWS CLI Para algunos AWS servicios, tiene dos parámetros: uno --generate-cli-skeleton y--cli-input-json, que puede usar para generar una plantilla JSON, que puede modificar y usar como entrada para el --cli-input-json parámetro. En esta sección se describe cómo utilizar estos parámetros con aws cloudtrail list-insights-data. Para obtener más información, consulte Esqueletos y archivos de entrada de AWS CLI.
Para buscar eventos de Insights al obtener los datos de entrada JSON de un archivo
-
Cree una plantilla de entrada para usarla con
list-insights-dataredirigiendo el resultado de--generate-cli-skeletona un archivo, como En el ejemplo siguiente.aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txtEl archivo de plantilla generado (en este caso, ListInsightsData .txt) tiene el siguiente aspecto.
{ "InsightSource": "", "DataType": "InsightsEvents", "Dimensions": { "KeyName": "" }, "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entrada JSON solo deben contener los valores que se especifican.
importante
Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.
El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que se devuelven.
{ "InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "DataType": "InsightsEvents", "Dimensions": { "EventName": "PutObject" }, "StartTime": "2025-11-01", "EndTime": "2025-11-05", "MaxResults": 1 } -
Para utilizar el archivo editado como entrada, utilice la sintaxis
--cli-input-json file://<filename>, como en el ejemplo siguiente.aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
nota
Puede utilizar otros argumentos en la misma línea de comandos como --cli-input-json.
Campos de resultados de búsqueda
- Events (Eventos)
-
Una lista de eventos de búsqueda en función del atributo de búsqueda y el intervalo de tiempo especificados. La lista de eventos se ordena por tiempo, con el último evento en primer lugar. Cada entrada contiene información sobre la solicitud de búsqueda e incluye una cadena que representa el CloudTrail evento que se recuperó.
Las siguientes entradas describen los campos de cada evento de búsqueda.
- CloudTrailEvent
-
Una cadena JSON que contiene una representación de objeto del evento devuelto. Para obtener información sobre cada uno de los elementos devueltos, consulte la información sobre el contenido del cuerpo del registro.
- EventId
-
Una cadena que contiene el GUID del evento devuelto.
- EventName
-
Una cadena que contiene el nombre del evento devuelto.
- EventSource
-
El AWS servicio al que se realizó la solicitud.
- EventTime
-
La fecha y la hora, en formato de tiempo UNIX, del evento.
- Recursos
-
Una lista de los recursos a los que hace referencia el evento devuelto. Cada entrada de recurso especifica un tipo de recurso y un nombre de recurso.
- ResourceName
-
Una cadena que contiene el nombre del recurso al que hace referencia el evento.
- ResourceType
-
Una cadena que contiene el tipo de recurso al que hace referencia el evento. Cuando el tipo de recurso no se puede determinar, se devuelve null.
- Nombre de usuario
-
Una cadena que contiene el nombre de usuario de la cuenta del evento devuelto.
- NextToken
-
Una cadena para obtener la siguiente página de resultados de un comando
lookup-eventsanterior. Para utilizar el token, los parámetros deben ser los mismos que los del comando original. Si no aparece ninguna entradaNextTokenen la salida, no hay más resultados que devolver.
Para obtener más información sobre los eventos de CloudTrail Insights, consulte Trabajar con CloudTrail Insights esta guía.
