获取和查看您的 CloudTrail 日志文件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

获取和查看您的 CloudTrail 日志文件

创建跟踪并将其配置为捕获所需的日志文件后,您需要能够找到日志文件并解读其中包含的信息。

CloudTrail 将您的日志文件传输到您在创建跟踪时指定的 Amazon S3 存储桶。 CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 Amazon CloudTrail 服务等级协议。Insights 事件通常会在异常活动后 30 分钟内传递到您的存储桶。首次启用 Insights 事件后,如果检测到异常活动,请留出长达 36 小时来查看第一个 Insights 事件。

注意

如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver 事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。

正在查找您的 CloudTrail 日志文件

CloudTrail 以 gzip 存档的形式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中,日志文件的名称较为格式化,一般包含以下元素:

  • 您在创建跟踪时指定的存储桶名称(可在 CloudTrail 控制台的 Trails 页面上找到)

  • (可选)创建跟踪时指定的前缀

  • 字符串 “AWSLogs”

  • 账号

  • 字符串 “CloudTrail”

  • 区域标识符(如 us-west-1)

  • 日志文件的发布年份(采用 YYYY 格式)

  • 日志文件的发布月份(采用 MM 格式)

  • 日志文件的发布日(采用 DD 格式)

  • 一个字母数字字符串,用于区别该文件与覆盖相同时段的其他文件

以下示例显示完整的日志文件对象名称:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注意

对于组织跟踪,S3 存储桶中的日志文件对象名称包括路径中的组织单位 ID,如下所示:

bucket_name/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

要检索日志文件,可以使用 Simple Storage Service(Amazon S3)控制台、Simple Storage Service(Amazon S3)命令行界面(CLI)或 API。

使用 Simple Storage Service(Amazon S3)控制台查找您的日志文件
  1. 打开 Simple Storage Service(Amazon S3)控制台。

  2. 选择您指定的存储桶。

  3. 在对象层次结构中导航,直到找到需要的日志文件。

    所有日志文件的扩展名都是 .gz。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、区域和日期有所不同。

All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

上述对象层次结构的日志文件将与以下内容类似:

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注意

您可能会收到包含一个或多个重复事件的日志文件,但这种情况不常见。在大多数情况下,重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅CloudTrail 录制内容