本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
处理 CloudTrail 事件历史记录
CloudTrail 默认情况下,您的 Amazon 账户已启用,并且您可以自动访问 CloudTrail 活动历史记录。事件历史记录提供对 Amazon Web Services 区域中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。这些事件捕获通过 Amazon Web Services Management Console、 Amazon Command Line Interface、 Amazon SDKs和进行的活动 APIs。事件历史记录记录了事件 Amazon Web Services 区域 发生地的事件。查看活动历史记录不 CloudTrail 收取任何费用。
您可以通过查看事件历史记录页面,在 CloudTrail 控制台中按地区查找与创建、修改或删除资源(例如 IAM 用户或 Amazon EC2 实例)相关的事件。 Amazon Web Services 账户 您也可以通过运行 aws cloudtrail
lookup-events 命令或使用 LookupEvents API 来查找这些事件。
您可以使用 CloudTrail 控制台中的事件历史记录页面来查看、搜索、下载、存档、分析和响应 Amazon 基础架构中的账户活动。选择要在每个页面上显示的事件数量以及要在控制台中显示或隐藏的具体列,您就可以自定义事件历史记录 的视图 。您还可以在事件历史记录中比较事件的详细信息 side-by-side。您可以使用 Amazon SDKs 或 Amazon Command Line Interface以编程方式查找事件。
注意
随着时间的推移, Amazon Web Services 服务 可能会添加其他事件。 CloudTrail 将这些事件记录在事件历史记录中,但是包含已添加事件的 90 天完整活动记录要等到添加事件 90 天后才可用。
事件历史记录与您为账户创建的任何跟踪不相关。应用于跟踪的设置不会对事件历史记录产生影响。
以下各节介绍如何使用 CloudTrail 控制台和查找最近的管理事件 Amazon CLI,并介绍如何下载事件文件。有关使用 LookupEvents API 从 CloudTrail 事件中检索信息的信息,请参阅 Amazon CloudTrail API 参考LookupEvents中的。
主题
事件历史记录的限制
以下限制适用于事件历史记录。
-
CloudTrail 控制台上的事件历史记录页面仅显示管理事件。它不显示数据事件、Insights 事件或网络活动事件。
-
事件历史记录仅限于过去 90 天的事件。要持续记录您的事件 Amazon Web Services 账户,请创建跟踪。
-
当你从 CloudTrail 控制台的事件历史记录页面下载事件时,你可以在一个文件中下载多达 200,000 个事件。如果您达到 200,000 个事件上限,则 CloudTrail 主机将提供下载其他文件的选项。
-
事件历史记录不提供组织级别的事件聚合。要记录整个组织的事件,请创建跟踪。
-
一次事件历史搜索仅限于单个事件 Amazon Web Services 账户,只能返回单个事件中的事件 Amazon Web Services 区域,并且不能查询多个属性。您只能应用一个属性筛选条件和一个时间范围筛选条件。
-
您不能从 Amazon KMS 事件历史记录中排除事件;您应用于跟踪的设置不适用于事件历史记录。有关更多信息,请参阅 处理 CloudTrail 事件历史记录。