使用 CloudTrail 事件历史记录
您的 Amazon 账户会默认启用 CloudTrail,因而自动拥有访问 CloudTrail 事件历史记录的权限。事件历史记录提供对 Amazon Web Services 区域 中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。这些事件会捕获通过 Amazon Web Services Management Console、Amazon Command Line Interface、Amazon SDK 和 API 进行的活动。事件历史记录会记录 Amazon Web Services 区域 中发生的事件。查看事件历史记录不会收取 CloudTrail 费用。
您可以通过查看事件历史记录页面,在 CloudTrail 控制台中按区域查找与 Amazon Web Services 账户 中的创建、修改或删除资源(例如 IAM 用户或 Amazon EC2 实例)相关的事件。您也可以通过运行 aws cloudtrail
lookup-events 命令或使用 LookupEvents
API 来查找这些事件。
您可以在 CloudTrail 控制台中使用事件历史记录页面来查看、搜索、下载、归档、分析和响应您 Amazon 基础设施中的账户活动。选择要在每个页面上显示的事件数量以及要在控制台中显示或隐藏的具体列,您就可以自定义事件历史记录 的视图 。您还可以在 Event history(事件历史记录)中并排比较事件的详细信息。可以使用 Amazon SDK 或 Amazon Command Line Interface 以编程方式查找事件。
注意
随着时间的推移,Amazon Web Services 服务 可能会增加其他事件。CloudTrail 会在事件历史记录中记录这些事件,但包含已添加事件的 90 天完整活动记录将在添加事件 90 天后才可用。
事件历史记录与您为账户创建的任何跟踪不相关。应用于跟踪的设置不会对事件历史记录产生影响。
以下各节旨在介绍如何使用 CloudTrail 控制台和 Amazon CLI 查找最近的管理事件,以及如何下载事件文件。有关使用 LookupEvents
API 从 CloudTrail 事件检索信息的内容,请参阅《Amazon CloudTrail API Reference》 中的 LookupEvents。
主题
事件历史记录的限制
以下限制适用于事件历史记录。
-
CloudTrail 控制台上的事件历史记录页面仅显示管理事件。它不显示数据事件、Insights 事件或网络活动事件。
-
事件历史记录仅限于过去 90 天的事件。要持续记录 Amazon Web Services 账户 中的事件,请创建跟踪。
-
从 CloudTrail 控制台上的事件历史记录页面下载事件时,您最多可以在一个文件中下载 200,000 个事件。如果达到 200,000 个事件限制,CloudTrail 控制台将提供下载其他文件的选项。
-
事件历史记录不提供组织级别的事件聚合。要记录整个组织的事件,请创建跟踪。
-
Event history(事件历史记录)搜索限于单个 Amazon Web Services 账户 账户,仅返回来自单个 Amazon Web Services 区域 的事件,无法查询多个属性。您只能应用一个属性筛选条件和一个时间范围筛选条件。
-
您不能从 Event history(事件历史记录)排除 Amazon KMS 事件;应用于跟踪记录的设置不适用于 Event history(事件历史记录)。有关更多信息,请参阅 使用 CloudTrail 事件历史记录。