AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查找您的 CloudTrail 日志文件

CloudTrail 以 gzip 存档格式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中,日志文件的名称较为格式化,一般包含以下元素:

  • 创建跟踪时指定的存储桶名称(可在 CloudTrail 控制台的“Trails”页上找到)

  • (可选)创建跟踪时指定的前缀

  • 字符串“AWSLogs”

  • 账号

  • 字符串“CloudTrail”

  • 区域标识符(如 us-west-1)

  • 日志文件的发布年份(采用 YYYY 格式)

  • 日志文件的发布月份(采用 MM 格式)

  • 日志文件的发布日(采用 DD 格式)

  • 一个字母数字字符串,用于区别该文件与覆盖相同时段的其他文件

以下示例显示完整的日志文件对象名称:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

要检索日志文件,可使用 Amazon S3 控制台、Amazon S3 命令行接口 (CLI) 或 API。

使用 Amazon S3 控制台查找您的日志文件

  1. 打开 Amazon S3 控制台。

  2. 选择您指定的存储桶。

  3. 在对象层次结构中导航,直到找到需要的日志文件。

    所有日志文件的扩展名都是 .gz。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、区域和日期有所不同。

All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

上述对象层次结构的日志文件将与以下内容类似:

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

注意

您可能会收到包含一个或多个重复事件的日志文件,但这种情况不常见。重复事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅CloudTrail 记录内容