本文为您介绍一个Insight事件包含的关键字段及其含义,并为您提供相关的示例。

Insight事件的关键字段

名称 类型 是否非空 示例 描述
eventVersion String 1 Insight事件格式的版本,当前版本为1。
eventTime String 2021-03-10T21:00:00Z 事件产生时间(UTC格式)。
acsRegion String cn-hangzhou 阿里云地域。
eventId String F23A3DD5-7842-4EF9-9DA1-3776396A**** 事件ID。
eventType String ActionTrailInsight 产生的事件类型。

取值:ActionTrailInsight,表示Insight事件。

recipient String 112233445566**** 接收事件的阿里云账号ID。
insightDetails 字典 不涉及 Insight事件的具体信息。

更多信息,请参见表 1

eventCategory String Insight 事件分类。取值:
  • Management:管控事件。
  • Insight:Insight事件。
userIdentity 字典 不涉及 请求者的身份信息。

更多信息,请参见表 1

InsightDetails包含的字段如下表所示。

表 1. InsightDetails包含的字段
名称 类型 是否非空 示例 描述
sourceIpAddress String 42.120.XX.XX 事件发起的源IP地址,在IPInsight中也代表异常IP地址。
insightType String IpInsight Insight事件类型。

取值:IpInsight,表示异常IP调用事件。

insightContext 字典 不涉及 Insight相关信息。

更多信息,请参见表 2

insightContext包含的字段如下表所示。

表 2. insightContext包含的字段
名称 类型 是否非空 示例 描述
statistics 字典 不涉及 Insight事件的基本信息。例如:期望阈值、实际预测值、持续时间(以秒为单位)、触发次数等。
baseline 字典 不涉及 Insight事件标准测量数据。
threshold double 0.6 Insight事件的标准阈值。如果实际预测值大于标准阈值,则视为正常,否则视为异常。
insight 字典 不涉及 Insight事件实际测量数据。
predict double 0.1 Insight事件的实际预测值。如果实际预测值大于标准阈值,则视为正常,否则视为异常。
insightDuration int 300 Insight事件的持续时间。

单位:秒。

insightCount int 10 Insight事件持续时间内产生的次数。

示例

{
  "event": {
    "eventVersion": "1",
    "eventTime": "2021-03-10T21:00:00Z",
    "acsRegion": "cn-hangzhou",
    "eventID": "F23A3DD5-7842-4EF9-9DA1-3776396A****",
    "eventType": "ActionTrailInsight",
    "recipient": "116214297662****",
    "insightDetails": {
      "sourceIpAddress": "42.120.XX.XX",
      "insightType": "IpInsight",
      "insightContext": {
        "statistics": {
          "baseline": {
            "threshold": 0.6
          },
          "insight": {
            "predict": 0.12
          },
          "insightDuration": 300,
          "insightCount": 10
        }
      }
    },
    "userIdentity": {
      "accountId": "112432432434****",
      "principalId": "231321312321****"
    },
    "eventCategory": "Insight"
  }
}