查找您的 CloudTrail 日志文件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查找您的 CloudTrail 日志文件

CloudTrail 以 gzip 存档格式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中,日志文件的名称较为格式化,一般包含以下元素:

  • 创建跟踪记录时指定的存储桶名称(可在 CloudTrail 控制台的 Trails(跟踪记录)页上找到)

  • (可选)创建跟踪时指定的前缀

  • 字符串“AWSLogs”

  • 账号

  • 字符串“CloudTrail”

  • 区域标识符(如 us-west-1)

  • 日志文件的发布年份(采用 YYYY 格式)

  • 日志文件的发布月份(采用 MM 格式)

  • 日志文件的发布日(采用 DD 格式)

  • 一个字母数字字符串,用于区别该文件与覆盖相同时段的其他文件

以下示例显示完整的日志文件对象名称:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注意

对于组织跟踪记录,日志文件对象名称在路径中包括组织单位 ID,如下所示:

bucket_name/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

要检索日志文件,可以使用 Simple Storage Service(Amazon S3)控制台、Simple Storage Service(Amazon S3)命令行界面(CLI)或 API。

使用 Simple Storage Service(Amazon S3)控制台查找您的日志文件

  1. 打开 Simple Storage Service(Amazon S3)控制台。

  2. 选择您指定的存储桶。

  3. 在对象层次结构中导航,直到找到需要的日志文件。

    所有日志文件的扩展名都是 .gz。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、区域和日期有所不同。


All Buckets
    Bucket_Name
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

上述对象层次结构的日志文件将与以下内容类似:


123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注意

您可能会收到包含一个或多个重复事件的日志文件,但这种情况不常见。重复事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅CloudTrail 记录内容