Amazon Simple Storage Service
开发人员指南 (API 版本 2006-03-01)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon S3 进行日志记录

您可以记录用户、角色或 AWS 服务对 Amazon S3 资源所采取的操作,并维护日志记录以满足审计和合规性目的。为此,您可以使用 Amazon S3 服务器访问日志记录AWS CloudTrail 日志或这两者的组合。我们建议您使用 AWS CloudTrail 为您的 Amazon S3 资源记录存储桶和对象级别操作的日志。

下表列出了 AWS CloudTrail 日志和 Amazon S3 服务器访问日志的关键属性。

日志属性 AWS CloudTrail Amazon S3 服务器日志

可以转发到其他系统(CloudWatch Logs、CloudWatch Events)

将日志传输到多个目标(例如,将相同的日志发送到两个不同的存储桶)

对对象的子级开启日志(前缀)

跨账户日志传输(不同账户拥有的目标和源存储桶)

使用数字签名/哈希对日志文件进行一致性验证

默认/选择加密日志文件

对象操作(使用 Amazon S3 API)

存储桶操作(使用 Amazon S3 API)

日志的可搜索 UI

对象锁定参数的字段,Amazon S3 选择日志记录的属性

日志记录的 Object SizeTotal TimeTurn-Around TimeHTTP Referrer 的字段

生命周期转换,过期,还原

批处理删除操作中键的日志记录

身份验证失败1

日志得到传输的账户

存储桶拥有者 2 以及请求者

仅限存储桶拥有者

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

价格

管理事件(第一次传输)免费;数据事件引发费用,此外还有日志存储

除日志存储之外,没有其他费用

日志传输的速度

每 5 分钟传输数据事件;每 15 分钟传输管理事件

几个小时内

日志格式

JSON

具有以空格分隔、新行分隔的记录的日志文件

备注:

  1. CloudTrail 对于未通过身份验证(其中,提供的凭证无效)的请求不传输日志。但是,对于授权失败的请求 (AccessDenied) 和匿名用户发出的请求,它的确包括日志。

  2. 仅当账户也拥有请求中的对象或对此对象具有完全访问权限时,S3 存储桶拥有者才接收 CloudTrail 日志。有关更多信息,请参阅 跨账户情形中的对象级别操作