在 CloudTrail 控制台中查看 CloudTrail 事件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 CloudTrail 控制台中查看 CloudTrail 事件

您可以使用 CloudTrail 控制台查看 Amazon 区域中过去 90 天内记录的 API 活动(管理事件)。您也可以下载一个包含该信息的文件,或者根据您选择的筛选条件和时间范围下载一小部分信息。您可以通过选择在控制台中显示哪些列来自定义 Event history (事件历史记录) 的视图。您也可以查找适用于特定服务的事件并按资源类型筛选这些事件。您还可以在 Event history(事件历史记录)中选择最多五个事件,然后并排比较它们的详细信息。

Event history(事件历史记录)不显示数据事件。要查看数据事件,请创建跟踪

90 天后,事件将不再显示在 Event history (事件历史记录) 中。您不能从 Event history (事件历史记录) 中手动删除事件。创建跟踪时,只要将事件存储在跟踪设置中配置的 S3 存储桶中,就可以查看记录到该跟踪的事件。

CloudTrail 日志记录因 Amazon 服务而异。大多数 Amazon 服务都支持对所有事件进行 CloudTrail 日志记录,一些服务仅支持记录一小部分 API 和事件,并且有几种服务不受支持。您可以参阅某种特定服务的文档以了解有关 CloudTrail 如何记录该服务的事件的更多信息。有关更多信息,请参阅 CloudTrail 支持的服务和集成

注意

要持续记录活动和事件,请创建跟踪。创建跟踪还使您能够利用以下集成:

  • 跟踪记录允许您记录 CloudTrail 见解事件,从而帮助您识别和应对与 write 管理 API 调用关联的异常活动。有关更多信息,请参阅 记录跟踪的见解事件

  • 在 Amazon Athena 中通过查询分析您的 Amazon 服务活动。有关更多信息,请参阅 Amazon Athena 用户指南中的在 CloudTrail 控制台中为 CloudTrail Logs 创建表,或者在 CloudTrail 控制台中选择直接从 Event history(事件历史记录)创建表的选项。

  • 使用 Amazon CloudWatch Logs 监视跟踪日志,并在发生特定活动时获取通知。有关更多信息,请参阅 使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件

  • 跟踪允许您排除 Amazon Key Management Service (Amazon KMS)或 Amazon Relational Database Service 数据 API 事件。Amazon KMS 操作,例如 EncryptDecryptGenerateDataKey,通常会生成大量事件(超过 99%)。事件不能从 Event history(事件历史记录)中排除;只有在创建或更新跟踪以记录管理事件时,才能排除事件。

查看 CloudTrail 事件

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail/home

  2. 在导航窗格中,选择事件历史记录

    内容窗格中首先将出现一个筛选过的事件列表,其中包含最新事件。向下滚动可查看更多事件。

  3. 比较事件时,可以通过填充 Event history(事件历史记录)表左侧边缘的复选框选择最多五个事件。在 Compare event details(比较事件详细信息)表中并排查看所选事件的详细信息。

Event history (事件历史记录) 中的默认事件视图应用了筛选条件,以便它不会显示只读事件。要删除此筛选条件,或应用其他筛选条件,请更改筛选设置。有关更多信息,请参阅 筛选 CloudTrail 事件

显示 CloudTrail 事件

您可以通过选择在 CloudTrail 控制台中显示哪些列来自定义 Event history(事件历史记录)的显示。默认情况下,将显示以下列:

  • 事件名称

  • 事件时间

  • 用户名

  • 事件源

  • 资源类型

  • 资源名称

注意

您不能更改列的顺序,也不能从 Event history (事件历史记录) 中手动删除事件。

自定义 Event history (事件历史记录) 中显示的列

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail/home

  2. 在导航窗格中,选择事件历史记录

  3. 选择齿轮图标。

  4. Select visible columns(选择可见列)中,选择要显示的列。关闭您不想显示的列。完成后,请选择 Confirm(确认)。

筛选 CloudTrail 事件

Event history (事件历史记录) 中的事件的默认显示使用属性筛选条件排除已显示事件列表中的只读事件。此属性筛选条件名为 Read only(只读),并且设置为 false。您可以删除此筛选条件以同时显示读取和写入事件。要仅查看 Read(读取)事件,您可以将筛选条件值更改为 true。还可以按其他属性筛选事件。可以按时间范围进一步进行筛选。

注意

您只能应用一个属性筛选条件和一个时间范围筛选条件。您无法应用多个属性筛选条件。

Amazon 访问密钥

用于对请求签名的 Amazon 访问密钥 ID。如果已使用临时安全证书发出请求,则为临时证书的访问密钥 ID。

事件 ID

事件的 CloudTrail ID。每个事件都有唯一的 ID。

事件名称

事件名称。例如,您可以筛选 IAM 事件(例如 CreatePolicy)或 Amazon EC2 事件(例如 RunInstances)。

事件源

将请求发送到的 Amazon 服务,例如 iam.amazonaws.coms3.amazonaws.com。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。

只读

读取类型的事件。事件分为读取事件或写入事件。如果设置为 false,则已显示事件的列表中不包含读取事件。默认情况下,系统会应用此属性筛选条件并将值设置为 false

资源名称

事件引用的资源的名称或 ID。例如,Auto Scaling 组资源的名称可以为“auto-scaling-test-group”,EC2 实例资源的名称可以为“i-12345678910”。

资源类型

事件引用的资源的类型。例如,资源类型可以是 Instance (适用于 EC2) 或 DBInstance (适用于 RDS)。每种 Amazon 服务的资源类型各不相同。

时间范围

要筛选事件的时间范围。您可以筛选最近 90 天的事件。

用户名称

事件引用的用户的身份。例如,这可以是 IAM 用户、IAM 角色名称或服务角色。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请从 Lookup attributes(查找属性)下拉列表中选择属性,然后在文本框中键入或选择值。

  2. 要删除属性筛选条件,请选择该属性筛选条件框右侧的 X

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 要缩小您要查看的事件的时间范围,请在时间范围栏中选择时间范围。预设值为 30 分钟、1 小时、3 小时或 12 小时。要指定自定义时间范围,请选择 Custom(自定义)。

  2. 要删除时间范围筛选条件,在时间范围栏中选择 Clear(清除)。

查看事件的详细信息

  1. 选择结果列表中的事件以显示其详细信息。

  2. 事件中引用的资源显示在事件详细信息页面的 Resources referenced(引用的资源)表格中。

  3. 一些引用的资源具有链接。选择该链接可打开此资源的控制台。

  4. 滚动到详细信息页面上的 Event record(事件记录)以查看 JSON 事件记录,又称为事件负载

  5. 在页面导航中选择 Event history(事件历史记录)以关闭事件详细信息页面,然后返回 Event history(事件历史记录)。

下载事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史记录文件为数据文件,其中包含了可以被单个用户配置的信息(如资源名称)。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出到 CSV 并导入到某个电子表格程序时,该程序可能警告您注意安全风险。应该选择禁用此内容以保证系统安全。应始终禁用来自下载的事件历史记录文件中的链接或宏。

  1. 添加事件的筛选条件和时间范围添加到您要下载的 Event history(事件历史记录)。例如,您可以指定事件名称 StartInstances,并指定时间范围为过去 3 天的活动。

  2. 选择 Download events(下载事件),然后选择 Download as CSV(下载为 CSV)或 Download as JSON(下载为 JSON)。下载操作会立即开始。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。您可以取消下载。如果取消下载,则在本地计算机上可能会有仅包含某些事件数据的部分下载。要下载完整的事件历史记录,请重新开始下载。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择 Cancel(取消),然后选择 Cancel download(取消下载)进行确认。如果您需要重新开始下载,请等到先前的下载完成取消。

使用 Amazon Config 查看引用的资源

Amazon Config 记录您的 Amazon 资源的配置详细信息、关系和更改。

Resources Referenced(引用的资源)窗格中,从 Config timeline(配置时间线)列选择 
                    Amazon Config timeline icon
                以在 Amazon Config 控制台中查看资源。

如果 
                    Amazon Config timeline
                图标为灰色,则说明 Amazon Config 没有打开,或者它不记录该资源类型。选择该图标转到 Amazon Config 控制台以开启该服务或开始记录该资源类型。有关更多信息,请参阅 Amazon Config 开发人员指南 中的使用控制台设置 Amazon Config

如果链接不可用显示在列中,则资源无法查看,原因可能是以下之一:

  • Amazon Config 不支持资源类型。有关更多信息,请参阅 Amazon Config 开发人员指南中的支持的资源、配置项和关系

  • Amazon Config 最近增加了资源类型的支持,但它从 CloudTrail 控制台不可用。您可以在 Amazon Config 控制台中查找资源以查看资源时间线。

  • 资源归其他 Amazon 账户拥有。

  • 资源归其他 Amazon 服务拥有,如托管 IAM 策略。

  • 资源创建后被立即删除。

  • 资源是最近创建的或在最近更新过。

  1. 您将 Amazon Config 配置为记录 IAM 资源。

  2. 您创建了 IAM 用户 Bob-user。在 Event history(事件历史记录)页面中,CreateUser 事件和 Bob-user 显示为 IAM 资源。您可以选择 Amazon Config 图标以便在 Amazon Config 时间线中查看此 IAM 资源。

  3. 您将用户名称更新为 Bob-admin

  4. Event history(事件历史记录)页面中,UpdateUser 事件和 Bob-admin 显示为已更新的 IAM 资源。

  5. 您可以选择此图标以便在时间线中查看 Bob-admin IAM 资源。但是,由于资源名称发生了更改,因此,您无法选择 Bob-user 的图标。Amazon Config 此时正在记录更新后的资源。

要向用户授予在 Amazon Config 控制台中查看资源的只读权限,请参阅授予在 CloudTrail 控制台中查看 Amazon Config 信息的权限

有关 Amazon Config 的更多信息,请参阅 Amazon Config 开发人员指南