在 CloudTrail 控制台中查看 CloudTrail 事件 - AWS CloudTrail
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 CloudTrail 控制台中查看 CloudTrail 事件

您可以使用 CloudTrail 控制台查看 AWS 区域中过去 90 天内记录的 API 活动(管理事件)。您也可以下载一个包含该信息的文件,或者根据您选择的筛选条件和时间范围下载一小部分信息。您可以通过选择在控制台中显示哪些列来自定义 Event history (事件历史记录) 的视图。您也可以查找适用于特定服务的事件并按资源类型筛选这些事件。您最多可以选择五个事件。事件历史记录并排比较其详细信息。

事件历史记录不会显示数据事件。要查看数据事件,请参阅创建跟踪

90 天后,事件将不再显示在 Event history (事件历史记录) 中。您不能从 Event history (事件历史记录) 中手动删除事件。创建跟踪时,只要将事件存储在跟踪设置中配置的 S3 存储桶中,就可以查看记录到该跟踪的事件。

AWS 服务的 CloudTrail 日志记录因 AWS 服务而异。大多数 AWS 服务都支持对所有事件进行 CloudTrail 日志记录,一些服务仅支持记录一小部分 API 和事件,并且有几种服务不受支持。您可以参阅某种特定服务的文档以了解有关 CloudTrail 如何记录该服务的事件的更多信息。有关更多信息,请参阅CloudTrail 支持的服务和集成

注意

要持续记录活动和事件,请创建跟踪。创建跟踪还使您能够利用以下集成:

  • 跟踪允许您记录 CloudTrail Inview 事件,从而帮助您识别和应对与write管理 API 调用。有关更多信息,请参阅记录跟踪的见解事件

  • 使用 Amazon Athena 中的查询分析您的 AWS 服务活动。有关更多信息,请参阅 。在 CloudTrail 控制台中为 CloudTrail 日志创建表中的Amazon Athena 用户指南,或者选择直接从事件历史记录在 CloudTrail 控制台中进行操作。

  • 使用 Amazon CloudWatch Logs 日志监视跟踪日志,并在发生特定活动时获取通知。有关更多信息,请参阅使用 Amazon CloudTrail Logs Logs Logs 监控 CloudLogs 日志文件

  • 跟踪允许您排除 AWS Key Management Service (AWS KMS) 事件。AWS KMS 操作,例如EncryptDecrypt, 和GenerateDataKey通常会生成大量事件(占比超过 99%)。AWS KMS 事件不能从事件历史记录;只有在创建或更新跟踪以记录管理事件时,才能排除 AWS KMS 事件。

查看 CloudTrail 事件

  1. 登录 AWS 管理控制台,并通过打开 CloudTrail 控制台。https://console.aws.amazon.com/cloudtrail/home/

  2. 在导航窗格中,选择事件历史记录

    内容窗格中首先将出现一个筛选过的事件列表,其中包含最新事件。向下滚动可查看更多事件。

  3. 要比较事件,最多可以选择五个事件,方法是填写事件历史记录表。并排查看选定事件的详细信息,请在比较事件详细信息表。

Event history (事件历史记录) 中的默认事件视图应用了筛选条件,以便它不会显示只读事件。要删除此筛选条件,或应用其他筛选条件,请更改筛选设置。有关更多信息,请参阅筛选 CloudTrail 事件

显示 CloudTrail 事件

您可以自定义显示事件历史记录方法是选择在 CloudTrail 控制台中显示哪些列。默认情况下,将显示以下列:

  • 事件名称

  • 事件时间

  • 用户名称

  • 事件源

  • 资源类型

  • 资源名称

注意

您不能更改列的顺序,也不能从 Event history (事件历史记录) 中手动删除事件。

自定义 Event history (事件历史记录) 中显示的列

  1. 登录 AWS 管理控制台,并通过打开 CloudTrail 控制台。https://console.aws.amazon.com/cloudtrail/home/

  2. 在导航窗格中,选择事件历史记录

  3. 选择齿轮图标。

  4. In选择可见列下,选择要显示的列。关闭不想显示的列。完成后,选择确认

筛选 CloudTrail 事件

Event history (事件历史记录) 中的事件的默认显示使用属性筛选条件排除已显示事件列表中的只读事件。此属性过滤器名为Read-only,并且它被设置为。您可以删除此筛选条件以同时显示读取和写入事件。若要查看,请查看Read事件中,您可以将筛选器值更改为true。还可以按其他属性筛选事件。可以按时间范围进一步进行筛选。

注意

您只能应用一个属性筛选条件和一个时间范围筛选条件。您无法应用多个属性筛选条件。

AWS access key (AWS 访问密钥)

用于对请求签名的 AWS 访问密钥 ID。如果已使用临时安全证书发出请求,则为临时证书的访问密钥 ID。

事件 ID

事件的 CloudTrail ID。每个事件都有唯一的 ID。

事件名称

事件名称。例如,您可以筛选 IAM 事件,例如CreatePolicy或 Amazon EC2 事件(例如RunInstances

事件源

已将请求发出到的 AWS 服务,例如iam.amazonaws.com或者s3.amazonaws.com。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。

只读

读取类型的事件。事件分为读取事件或写入事件。如果设置为 false,则已显示事件的列表中不包含读取事件。默认情况下,系统会应用此属性筛选条件并将值设置为 false

资源名称

事件引用的资源的名称或 ID。例如,资源名称可以为 Auto scaling 组的 “自动扩展测试组”,EC2 实例的资源名称可以为 “i-12345678910”。

资源类型

事件引用的资源的类型。例如,资源类型可以是 Instance (适用于 EC2) 或 DBInstance (适用于 RDS)。每种 AWS 服务的资源类型各不相同。

时间范围

要筛选事件的时间范围。您可以筛选最近 90 天的事件。

用户名称

事件引用的用户的身份。例如,这可以是 IAM 用户、IAM 角色名称或服务角色。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请从查找属性下拉列表中,然后在文本框中键入或选择属性值。

  2. 要删除属性筛选条件,请选择X位于属性筛选框右侧。

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 要缩小要查看的事件的时间范围,请在时间范围栏中选择一个时间范围。预设值为 30 分钟、1 小时、3 小时或 12 小时。要指定自定义时间范围,请选择Custom (自定义)

  2. 要删除时间范围筛选条件,请选择Clear在时间范围栏中。

查看事件的详细信息

  1. 选择结果列表中的事件以显示其详细信息。

  2. 事件中引用的资源显示在引用的资源表格中的事件详细信息。

  3. 一些引用的资源具有链接。选择该链接可打开此资源的控制台。

  4. 滚动到事件记录查看 JSON 事件记录,也称为事件payload

  5. 选择事件历史记录关闭事件详细信息页面并返回事件历史记录

下载事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史记录文件为数据文件,其中包含了可以被单个用户配置的信息 (如资源名称)。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出到 CSV 并导入到某个电子表格程序时,该程序可能警告您注意安全风险。应该选择禁用此内容以保证系统安全。应始终禁用来自下载的事件历史记录文件中的链接或宏。

  1. 为中的事件添加筛选条件和时间范围事件历史记录,您要下载。例如,您可以指定事件名称 StartInstances,并指定时间范围为过去 3 天的活动。

  2. 选择下载事件,然后选择下载为 CSV或者下载为 JSON。下载操作会立即开始。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。您可以取消下载。如果取消下载,则本地计算机上可能包含仅部分事件数据的部分下载。要下载完整的事件历史记录,请重新启动下载。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择Cancel,然后选择取消下载。如果需要重新启动下载,请等到先前的下载完成取消。

查看 AWS Config 引用的资源

AWS Config 记录您的 AWS 资源的配置详细信息、关系和更改。

在存储库的引用的资源窗格中,选择 
                    AWS Config timeline icon
                中的Config 时间线列以在 AWS Config 控制台中查看资源。

如果 
                    AWS Config timeline
                图标为灰色,则 AWS Config 未打开,或者它没有记录资源类型。选择该图标转到 AWS Config 控制台以开启该服务或开始记录该资源类型。有关更多信息,请参阅 。使用控制台设置 AWS Config中的AWS Config 开发人员指南

如果链接不可用显示在列中,则资源无法查看,原因可能是以下之一:

  • AWS Config 不支持资源类型。有关更多信息,请参阅 。支持的资源、配置项和关系中的AWS Config 开发人员指南

  • AWS Config 最近增加了资源类型的支持,但它从 CloudTrail 控制台不可用。您可以在 AWS Config 控制台中查找资源以查看资源时间线。

  • 资源归其他 AWS 账户拥有。

  • 资源归其他 AWS 服务拥有,例如托管 IAM 策略。

  • 资源创建后被立即删除。

  • 资源是最近创建的或在最近更新过。

  1. 您可以配置 AWS Config 以记录 IAM 资源。

  2. 您创建 IAM 用户,Bob-user。这些区域有:事件历史记录页面显示CreateUser事件和Bob-user作为 IAM 资源。您可以选择 AWS Config (AWS Config) 图标以便在 AWS Config (AWS Config) 时间线中查看此 IAM 资源。

  3. 您将用户名称更新为Bob-admin

  4. 这些区域有:事件历史记录页面显示UpdateUser事件和Bob-admin作为更新的 IAM 资源。

  5. 您可以选择图标以查看Bob-admin时间轴中的 IAM 资源。但是,您无法选择Bob-user,因为资源名称已更改。AWS Config 现在正在记录更新的资源。

要向用户授予在 AWS Config 控制台中查看资源的只读权限,请参阅授予在 CloudTrail 控制台中查看 AWS Config 信息的权限

有关 AWS Config 的更多信息,请访问 AWS Config 开发人员指南