本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
获取和查看您的 CloudTrail 日志文件
创建跟踪并将其配置为捕获所需的日志文件后,您需要能够找到日志文件并解读其中包含的信息。
CloudTrail 将您的日志文件传输到您在创建跟踪时指定的 Amazon S3 存储桶。 CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 Amazon CloudTrail 服务等级协议
注意
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
正在查找您的 CloudTrail 日志文件
CloudTrail 以 gzip 存档的形式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中,日志文件的名称较为格式化,一般包含以下元素:
-
您在创建跟踪时指定的存储桶名称(可在 CloudTrail 控制台的 Trails 页面上找到)
-
(可选)创建跟踪时指定的前缀
-
字符串 “AWSLogs”
-
账号
-
字符串 “CloudTrail”
-
区域标识符(如 us-west-1)
-
日志文件的发布年份(采用
YYYY格式) -
日志文件的发布月份(采用
MM格式) -
日志文件的发布日(采用
DD格式) -
一个字母数字字符串,用于区别该文件与覆盖相同时段的其他文件
以下示例显示完整的日志文件对象名称:
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注意
对于组织跟踪,S3 存储桶中的日志文件对象名称在路径中包含组织单位 ID,如下所示:
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
要检索日志文件,可以使用 Simple Storage Service(Amazon S3)控制台、Simple Storage Service(Amazon S3)命令行界面(CLI)或 API。
使用 Simple Storage Service(Amazon S3)控制台查找您的日志文件
-
打开 Simple Storage Service(Amazon S3)控制台。
-
选择您指定的存储桶。
-
在对象层次结构中导航,直到找到需要的日志文件。
所有日志文件的扩展名都是 .gz。
您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、区域和日期有所不同。
All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
上述对象层次结构的日志文件将与以下内容类似:
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注意
您可能会收到包含一个或多个重复事件的日志文件,但这种情况不常见。在大多数情况下,重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅CloudTrail 记录管理、数据和网络活动事件的内容。