AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

在 CloudTrail 控制台中查看 CloudTrail 事件

您可以使用 CloudTrail 控制台查看 AWS 区域中过去 90 天内记录的 API 活动和事件。您也可以下载一个包含该信息的文件,或者根据您选择的筛选条件和时间范围下载一小部分信息。您可以通过选择在控制台中显示哪些列来自定义 Event history (事件历史记录) 的视图。您也可以查找适用于特定服务的事件并按资源类型筛选这些事件。

CloudTrail 日志记录因 AWS 服务而异。大多数 AWS 服务都支持对所有事件进行 CloudTrail 日志记录,一些服务仅支持记录一小部分 API 和事件,并且有几种服务不受支持。您可以参阅某种特定服务的文档以了解有关 CloudTrail 如何记录该服务的事件的更多信息。有关更多信息,请参阅 CloudTrail 支持的服务和集成CloudTrail 不支持的服务

注意

要持续记录活动和事件,请创建跟踪。创建跟踪还使您能够利用以下集成:

查看 CloudTrail 事件

  1. 登录 AWS 管理控制台并通过以下网址打开 CloudTrail 控制台:https://console.amazonaws.cn/cloudtrail/home/

  2. 在导航窗格中,选择 Event history

内容窗格中首先将出现一个筛选过的事件列表,其中包含最新事件。向下滚动可查看更多事件。

Event history (事件历史记录) 中的默认事件视图应用了筛选条件,以便它不会显示只读事件。要删除此筛选条件,或应用其他筛选条件,请更改筛选设置。有关更多信息,请参阅筛选 CloudTrail 事件

显示 CloudTrail 事件

您可以通过选择在 CloudTrail 控制台中显示哪些列来自定义 Event history (事件历史记录) 的显示。默认情况下,将显示以下列:

  • 事件时间

  • 用户名

  • 事件名称

  • 资源类型

  • 资源名称

不能更改列的顺序。

自定义 Event history (事件历史记录) 中显示的列

  1. 登录 AWS 管理控制台并通过以下网址打开 CloudTrail 控制台:https://console.amazonaws.cn/cloudtrail/home/

  2. 在导航窗格中,选择 Event history

  3. 选择齿轮图标。

  4. Show/Hide Columns 中,选择要显示的列。清除不想显示的列。完成后,选择 Save

筛选 CloudTrail 事件

Event history (事件历史记录) 中的事件的默认显示使用属性筛选条件排除已显示事件列表中的只读事件。此属性筛选条件名为 Read only (只读),并且设置为 false。您可以删除此筛选条件以同时显示读取和写入事件。如果您只想查看读取事件,则可以将筛选条件值更改为 true。还可以按其他属性筛选事件。可以按时间范围进一步进行筛选。

注意

您只能应用一个属性筛选条件和一个时间范围筛选条件。您无法应用多个属性筛选条件。

AWS 访问密钥

用于对请求签名的 AWS 访问密钥 ID。如果已使用临时安全证书发出请求,则为临时证书的访问密钥 ID。

事件 ID

实体的 CloudTrail ID。每个事件都有唯一的 ID。

事件名称

事件名称。例如,您可以筛选 IAM 事件(例如 CreatePolicy)或 Amazon EC2 事件(例如 RunInstances)。

事件源

将请求发送到的 AWS 服务,例如 iam.amazonaws.coms3.amazonaws.com。在选择 Event source 筛选条件后,您可以滚动浏览事件源的列表。

只读

读取类型的事件。事件分为读取事件或写入事件。如果设置为 false,则已显示事件的列表中不包含读取事件。默认情况下,系统会应用此属性筛选条件并将值设置为 false

资源名称

事件引用的资源的名称或 ID。例如,Auto Scaling 组资源的名称可以为“auto-scaling-test-group”,EC2 实例资源的名称可以为“i-1234567”。

资源类型

事件引用的资源的类型。例如,资源类型可以是 Instance (适用于 EC2) 或 DBInstance (适用于 RDS)。每种 AWS 服务的资源类型各不相同。

时间范围

要筛选事件的时间范围。您可以筛选最近 90 天的事件。

用户名

事件引用的用户的身份。例如,这可以是 IAM 用户、IAM 角色名称或服务角色。

如果对于所选属性或时间没有记录事件,结果列表将为空。除时间范围之外,您只能另外应用一个属性筛选条件。如果您选择另一个属性筛选条件,则将保留指定的时间范围。

以下步骤介绍如何按属性筛选。

按属性筛选

  1. 要按属性筛选结果,请选择 Select attribute,然后在 Enter lookup value 框中键入或选择值。

  2. 要删除一个属性筛选条件,请选择该属性筛选条件框右侧的 X

以下步骤介绍如何按开始日期和时间与结束日期和时间筛选。

按开始日期和时间与结束日期和时间筛选

  1. 要缩小要查看的事件的时间范围,请选择 Select time range

  2. 要删除一个时间范围筛选条件,请选择该 Time range (时间范围) 框右侧的日历图标,然后选择 Remove (删除)。

查看事件的详细信息

  1. 选择结果列表中的事件以显示其详细信息。

  2. 如果事件引用了多个资源,则详细信息窗格底部将列出其他资源。

  3. 一些引用的资源具有链接。选择该链接可打开此资源的控制台。

  4. 在详细信息窗格中选择 View Event 以 JSON 格式查看事件。

  5. 再次选择事件以关闭详细信息窗格。

下载事件

您可以采用 CSV 或 JSON 格式的文件形式下载记录的事件历史记录。使用筛选条件和时间范围可减小您下载的文件的大小。

注意

CloudTrail 事件历史记录文件为数据文件,其中包含了可以被单个用户配置的信息(如资源名称)。有些数据在用来读取和分析该数据的程序中有可能被解释为命令 (CSV 注入)。例如,将 CloudTrail 事件导出到 CSV 并导入到某个电子表格程序时,该程序可能警告您注意安全风险。应该选择禁用此内容以保证系统安全。应始终禁用来自下载的事件历史记录文件中的链接或宏。

  1. 指定要下载的事件的筛选条件和时间范围。例如,您可以指定事件名称 StartInstances,并指定时间范围为过去 3 天的活动。

  2. 选择 
                            download icon
                        ,然后选择 Export to CSV (导出到 CSV)Export to JSON (导出到 JSON)。下载操作会立即开始。

    注意

    您的下载可能需要一点时间才能完成。要想更快地获得结果,在开始下载过程前,可使用更加具体的筛选条件或更短的时间范围来缩小结果范围。

  3. 下载完成后,打开文件以查看您指定的事件。

  4. 要取消下载,请选择 Cancel download (取消下载)。

在 AWS Config 中查看引用的资源

AWS Config 记录您的 AWS 资源的配置详细信息、关系和更改。

Resources Referenced (引用的资源) 窗格中,在 Config timeline (配置时间线) 列中选择 
                    AWS Config timeline icon
                以在 AWS Config 控制台中查看资源。

如果 
                    AWS Config timeline
                图标为灰色,则说明 AWS Config 没有打开,或者它不记录该资源类型。选择该图标转到 AWS Config 控制台以开启该服务或开始记录该资源类型。有关更多信息,请参阅 AWS Config Developer Guide 中的使用控制台设置 AWS Config

如果链接不可用显示在列中,则资源无法查看,原因可能是以下之一:

  • AWS Config 不支持资源类型。有关更多信息,请参阅 AWS Config Developer Guide 中的支持的资源、配置项和关系

  • AWS Config 最近增加了资源类型的支持,但它从 CloudTrail 控制台不可用。您可以在 AWS Config 控制台中查找资源以查看资源时间线。

  • 资源归其他 AWS 账户拥有。

  • 资源归其他 AWS 服务拥有,如托管 IAM 策略。

  • 资源创建后被立即删除。

  • 资源是最近创建的或在最近更新过。

  1. 您将 AWS Config 配置为记录 IAM 资源。

  2. 您创建 IAM 用户 Bob-user。在 Event history (事件历史记录) 页面中,CreateUser 事件和 Bob-user 显示为 IAM 资源。您可以选择 AWS Config 图标以便在 AWS Config 时间线中查看此 IAM 资源。

  3. 您将用户名称更新为 Bob-admin。

  4. Event history (事件历史记录) 页面中,UpdateUser 事件和 Bob-admin 显示为已更新的 IAM 资源。

  5. 您可以选择该图标以便在时间线中查看 Bob-admin IAM 资源 。但是,由于资源名称发生了更改,因此,您无法选择 Bob-user 的图标。AWS Config 此时正在记录更新后的资源。

要向用户授予在 AWS Config 控制台中查看资源的只读权限,请参阅授予在 CloudTrail 控制台中查看 AWS Config 信息的权限

有关 AWS Config 的更多信息,请参阅 AWS Config Developer Guide