

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Detective 行为图中使用的源数据
<a name="detective-source-data-about"></a>

要填充行为图，Amazon Detective 会使用来自行为图管理员账户和成员账户的源数据。

使用 Detective，您最多可以访问一年的历史事件数据。这些数据可通过一组可视化图表显示，在选定的时间窗口内，活动的类型和数量发生了变化。Detective 将这些变化与 GuardDuty 调查结果联系起来。

![该图显示了行为图如何使用管理员账户和成员账户的数据，以及如何使用行为图数据结构。](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/diagram_graph_structure_overview.png)


有关行为图数据结构的详细信息，请参阅《Detective 用户指南》中的[行为图数据结构概述](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html)**。

## Detective 中的核心数据来源类型
<a name="source-data-types"></a>

Detective 从以下类型的 AWS 日志中提取数据：
+ AWS CloudTrail 日志 
+ Amazon Virtual Private Cloud (Amazon VPC) 流日志 
  + 同时摄取 IPv4 和 IPv6 记录，但不采集由 Elastic Fabric Adapters 生成的 MAC 记录。
  + 当`log-status`字段的值处于`OK`状态时提取日志记录。有关更多信息，请参阅 Amazon VPC 用户指南中的[流日志记录](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)。
  +  VPCs 仅提取在这些实例中运行的 Amazon Elastic Compute Cloud 实例生成的流日志。不使用其他资源，例如 NAT 网关、RDS 实例或 Fargate 集群。
  + 提取已接受和已拒绝的流量。
+ 对于注册的账户，Detective 还会摄取 GuardDuty 调查结果。 GuardDuty

Detective 使用独立 CloudTrail 和重复的流和 VPC 流日志和 VPC 流日志来消耗和 CloudTrail VPC 流日志事件。这些流程不会影响或使用您的现有 CloudTrail 和 VPC 流日志配置。它们也不会影响这些服务的性能或增加费用。

## Detective 中可选数据来源的类型
<a name="source-data-types-optional"></a>

除了 Detective 核心包中提供的三个数据源（核心包包括 AWS CloudTrail 日志、VPC 流日志和 GuardDuty调查结果）外，Detective 还提供可选的源包。可随时启动或停止行为图的可选数据来源包。

Detective 为每个区域的所有核心和可选源包提供 30 天的免费试用。

**注意**  
Detective 会保留从每个数据来源包收到的所有数据，最多保留 1 年。

目前提供以下可选源包：
+ **EKS 审计日志**

  该可选的数据来源包允许 Detective 摄取环境中 EKS 集群的详细信息，并将这些数据添加到行为图中。Detective 将用户活动与 AWS CloudTrail 管理事件关联起来，将网络活动与 Amazon VPC 流日志关联起来，而无需您手动启用或存储这些日志。有关详细信息，请参阅 [亚马逊 EKS 审核日志](source-data-types-EKS.md)。
+ **AWS 安全调查结果**

  这个可选的数据源包允许 Detective 从 Security Hub CSPM 提取数据，并将这些数据添加到你的行为图中。有关详细信息，请参阅 [**AWS 安全调查结果**](source-data-types-asff.md)。

****启动或停止可选数据来源：****

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 从**设置**下的导航面板选择**常规**。

1. 在**可选源包**下，选择**更新**。然后选择要启用的数据来源，或取消选择已启用数据来源的复选框，并选择**更新**来更改已启用的数据来源包。

**注意**  
如果停止并重新启动可选数据来源，某些实体配置文件上显示的数据会出现空白。控制台显示屏上将显示这一空白，代表数据来源停止的时间段。重新启动数据来源时，Detective 不会追溯摄取数据。

## Detective 如何摄取和存储源数据
<a name="source-data-storage"></a>

启用 Detective 后，Detective 会开始从行为图管理员账户摄取源数据。当成员账户被添加到行为图中时，Detective 也开始使用来自这些成员账户的数据。

Detective 源数据由结构化和经过处理的原始信息源版本组成。为了支持 Detective 分析，Detective 会存储 Detective 源数据的副本。

Detective 将流程信息源数据摄取到 Detective 源数据存储中的 Amazon Simple Storage Service (Amazon S3) 存储桶中。当新的源数据到达时，其他 Detective 组件会接收数据并开始提取和分析流程。有关更多信息，请参阅《Detective 用户指南》中的 [Detective 如何使用源数据填充行为图](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html)**。

## Detective 如何执行行为图的数据量配额
<a name="data-volume-enforcement"></a>

Detective 对每个行为图的数据量都有严格的配额限制。数据量是指每天流入 Detective 行为图的数据量。

当管理员账户启用 Detective 和成员账户接受邀请加入行为图时，Detective 就会执行这些配额。
+ 如果管理员账户每天的数据量超过 10 TB，则管理员账户无法启用 Detective。
+ 如果成员账户增加的数据量会导致行为图每天超过 10 TB，则无法启用该成员账户。

行为图的数据量也可以随着时间的推移而自然增长。Detective 每天都会检查行为图的数据量，确保其不超过配额。

如果行为图数据量接近配额，Detective 会在控制台显示一条警告消息。为避免超出配额，可以删除成员账户。

如果行为图数据量每天超过 10 TB，则无法在行为图中添加新的成员账户。

如果行为图数据量每天超过 15 TB，则 Detective 就会停止向行为图中摄取数据。每天 15 TB 的配额既反映了正常的数据量，也反映了数据量的峰值。达到此配额后，不会向行为图摄取任何新数据，但不会删除现有数据。仍可以使用这些历史数据进行调查。控制台会显示一条消息，说明行为图的数据摄取已暂停。

如果数据采集已暂停，则必须与合作 支持 才能将其重新启用。如果可能，在联系之前 支持，请尝试删除成员帐户，以使数据量低于配额。这样就能更轻松地重新启用行为图的数据摄取。