在 CloudTrail 控制台中查看最近的 CloudTrail 管理事件 - Amazon CloudTrail
在页面之间导航自定义显示视图筛选 CloudTrail 事件查看事件的详细信息下载事件查看引用的资源 Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 CloudTrail 控制台中查看最近的 CloudTrail 管理事件

您可以使用 CloudTrail 控制台中的事件历史记录页面来查看最近 90 天的管理事件 Amazon Web Services 区域。您也可以下载一个包含该信息的文件,或者根据您选择的筛选条件和时间范围下载一小部分信息。选择要在每个页面上显示的事件数量以及要在控制台中显示的具体列,您就可以自定义事件历史记录的视图。您也可以查找适用于特定服务的事件并按资源类型筛选这些事件。您最多可以在赛事历史记录中选择五个事件并比较它们的详细信息 side-by-side。

90 天后,事件将不再显示在 Event history (事件历史记录) 中。您不能从 Event history (事件历史记录) 中手动删除事件。

您可以通过查阅特定服务的文档,详细了解如何 CloudTrail 记录该服务的事件的详细信息。有关更多信息,请参阅 Amazon 的服务主题 CloudTrail

注意

要持续记录活动和事件,请创建跟踪

创建事件数据存储能够让您利用以下功能:

创建跟踪能够让您利用以下集成:

  • 跟踪允许您记录 CloudTrail Insights 事件,这可以帮助您识别和响应与write管理 API 调用相关的异常活动。有关更多信息,请参阅 记录 Insights 事件

  • 通过 Amazon Athena 中的查询来分析您的 Amazon 服务活动。有关更多信息,请参阅 Amazon Athena 用户指南中的在 CloudTrail 控制台中创建 CloudTrail 日志表,或选择直接从控制台的事件历史记录创建表的选项。 CloudTrail

  • 使用 Amazon Logs 监控您的跟踪日 CloudWatch 志,并在发生特定活动时收到通知。有关更多信息,请参阅 使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件

  • 跟踪允许您排除 Amazon Key Management Service (Amazon KMS) 或 Amazon Relational Database Service 数据 API 事件。 Amazon KMS 诸如EncryptDecrypt、和之类的操作GenerateDataKey通常会生成大量事件(超过 99%)。无法从事件历史记录中排除事件。

在控制台中查看最近 CloudTrail 的事件

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/home/

  2. 在导航窗格中,选择事件历史记录

    内容窗格中首先将出现一个筛选过的事件列表,其中包含最新事件。向下滚动可查看更多事件。

  3. 比较事件时,可以通过填充 Event history(事件历史记录)表左侧边缘的复选框选择最多五个事件。在比较事件详细信息表 side-by-side 中查看所选事件的详细信息

Event history (事件历史记录) 中的事件的默认显示使用属性筛选条件排除已显示事件列表中的只读事件。要删除此筛选条件,或应用其他筛选条件,请更改筛选设置。有关更多信息,请参阅 筛选 CloudTrail 事件

您可以选择要查看的页面,在事件历史记录的页面之间导航。您还可以在事件历史记录中查看下一页和上一页。

选择 < 可查看事件历史记录的上一页。

选择 > 可查看事件历史记录的下一页。

自定义显示视图

您可以从以下首选项中进行选择,在 CloudTrail 控制台中自定义事件历史记录的视图。

  • 页面大小 – 选择要在每页上显示 10 个、25 个还是 50 个事件。

  • 换行 – 让文本换行,以便您可以看到每个事件的所有文本。

  • 条纹行 – 在表中每隔一行加上阴影。

  • 事件时间显示 – 选择是以 UTC 还是本地时区显示事件时间。

  • 选择可见列 – 选择要显示的列。默认情况下,将显示以下列:

    • 事件名称

    • 事件时间

    • 用户名

    • 事件源

    • 资源类型

    • 资源名称

    注意

    您不能更改列的顺序,也不能从 Event history (事件历史记录) 中手动删除事件。

自定义显示内容

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,选择事件历史记录

  3. 选择齿轮图标。

  4. 页面大小字段中,选择要在页面上显示的事件数。

  5. 选择换行,可查看每个事件的所有文本。

  6. 选择条纹行,可在表中每隔一行加上阴影。

  7. 事件时间显示字段中,选择是以 UTC 还是本地时区显示事件时间。默认选择 UTC。

  8. Select visible columns(选择可见列)中,选择要显示的列。关闭您不想显示的列。

  9. 完成更改后,选择确认

筛选 CloudTrail 事件

Event history (事件历史记录) 中的事件的默认显示使用属性筛选条件排除已显示事件列表中的只读事件。此属性筛选条件名为 Read only(只读),并且设置为 false。您可以删除此筛选条件以同时显示读取和写入事件。要仅查看 Read(读取)事件,您可以将筛选条件值更改为 true。还可以按其他属性筛选事件。可以按时间范围进一步进行筛选。

注意

您只能应用一个属性筛选条件和一个时间范围筛选条件。您无法应用多个属性筛选条件。

Amazon 访问密钥

用于签署请求的 Amazon 访问密钥 ID。如果已使用临时安全证书发出请求,则为临时证书的访问密钥 ID。

事件 ID

事件的 CloudTrail ID。每个事件都有唯一的 ID。

事件名称

事件名称。例如,您可以筛选 IAM 事件(例如 CreatePolicy)或 Amazon EC2 事件(例如 RunInstances)。

事件源

向其发出请求的 Amazon 服务,例如iam.amazonaws.coms3.amazonaws.com。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。

只读

读取类型的事件。事件分为读取事件或写入事件。如果设置为 false,则已显示事件的列表中不包含读取事件。默认情况下,系统会应用此属性筛选条件并将值设置为 false

资源名称

事件引用的资源的名称或 ID。例如,Auto Scaling 组的资源名称可能是 “auto-scaling-test-group”,对于 EC2 实例,资源名称可能是 “i-12345678910”。

资源类型

事件引用的资源的类型。例如,资源类型可以是 Instance (适用于 EC2) 或 DBInstance (适用于 RDS)。每项 Amazon 服务的资源类型各不相同。

时间范围

要筛选事件的时间范围。您可以选择相对范围或者绝对范围。您可以筛选最近 90 天的事件。

用户名称

事件引用的身份。例如,这可以是用户、角色名称或服务角色。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请从 Lookup attributes(查找属性)下拉列表中选择属性,然后在文本框中键入或选择值。

  2. 要删除属性筛选条件,请选择该属性筛选条件框右侧的 X

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 要缩小您要查看的事件的时间范围,请在时间范围栏中选择时间范围。您可以选择相对范围或者绝对范围

    选择相对范围从预设值中进行选择,或者选择自定义范围。预设值为 30 分钟、1 小时、12 小时或 1 天。要指定自定义时间范围,请选择 Custom(自定义)。

    选择绝对范围指定明确的开始和结束时间。您还可以在 UTC 和本地时区之间切换。

  2. 要删除时间范围筛选条件,请在时间范围栏中选择清除并关闭

查看事件的详细信息

  1. 选择结果列表中的事件以显示其详细信息。

  2. 事件中引用的资源显示在事件详细信息页面的 Resources referenced(引用的资源)表格中。

  3. 一些引用的资源具有链接。选择该链接可打开此资源的控制台。

  4. 滚动到详细信息页面上的 Event record(事件记录)以查看 JSON 事件记录,又称为事件负载

  5. 在页面导航中选择 Event history(事件历史记录)以关闭事件详细信息页面,然后返回 Event history(事件历史记录)。

下载事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的事件历史记录。您可以在单个文件中下载多达 200,000 个事件。如果您达到 200,000 个事件上限,则 CloudTrail 主机将提供下载其他文件的选项。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史文件是包含可由个人用户配置的信息(例如资源名称)的数据文件。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出为 CSV 并导入到电子表格程序时,该程序可能会警告您注意安全问题。应该选择禁用此内容以保证系统安全。应始终禁用来自下载的事件历史记录文件中的链接或宏。

  1. 添加事件的筛选条件和时间范围添加到您要下载的 Event history(事件历史记录)。例如,您可以指定事件名称 StartInstances,并指定时间范围为过去 3 天的活动。

  2. 选择 Download events(下载事件),然后选择 Download as CSV(下载为 CSV)或 Download as JSON(下载为 JSON)。下载操作会立即开始。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。您可以取消下载。如果取消下载,则在本地计算机上可能会有仅包含某些事件数据的部分下载。要下载完整的事件历史记录,请重新开始下载。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择 Cancel(取消),然后选择 Cancel download(取消下载)进行确认。如果您需要重新开始下载,请等到先前的下载完成取消。

查看引用的资源 Amazon Config

Amazon Config 记录配置详细信息、关系以及对 Amazon 资源的更改。

引用资源窗格上,选择Amazon Config 资源时间轴列中的,以在 Amazon Config 控制台中查看资源。 Amazon Config timeline icon

如果 Amazon Config timeline 图标为灰色、 Amazon Config 未开启或未记录资源类型。选择图标进入 Amazon Config 控制台以开启服务或开始记录该资源类型。有关更多信息,请参阅Amazon Config 开发人员指南》中的 Amazon Config 使用控制台进行设置

如果链接不可用显示在列中,则资源无法查看,原因可能是以下之一:

  • Amazon Config 不支持资源类型。有关更多信息,请参阅 Amazon Config 开发人员指南中的支持的资源、配置项和关系

  • Amazon Config 最近增加了对资源类型的支持,但 CloudTrail 控制台尚未提供该支持。您可以在 Amazon Config 控制台中查找资源以查看资源的时间表。

  • 该资源归他人所有 Amazon Web Services 账户。

  • 该资源归其他资源所有 Amazon Web Service,例如托管 IAM 策略。

  • 资源创建后被立即删除。

  • 资源是最近创建的或在最近更新过。

要授予用户在 Amazon Config 控制台中查看资源的只读权限,请参阅授予在 CloudTrail 控制台上查看Amazon Config信息的权限

有关的更多信息 Amazon Config,请参阅《Amazon Config 开发人员指南》