Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Logdateien abrufen und einsehen
Nachdem Sie einen Trail so eingerichtet haben, dass die gewünschten Protokolldateien erfasst werden, müssen Sie die Protokolldateien finden und die darin enthaltenen Informationen interpretieren können.
CloudTrail übermittelt Ihre Protokolldateien an einen Amazon S3 S3-Bucket, den Sie bei der Erstellung des Trails angeben. CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement
Anmerkung
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
Finden Sie Ihre Protokolldateien CloudTrail
CloudTrail veröffentlicht Protokolldateien in Ihrem S3-Bucket in einem GZIP-Archiv. In diesem S3-Bucket hat die Protokolldatei einen formatierten Namen, der die folgenden Elemente enthält:
-
Der Bucket-Name, den Sie bei der Erstellung des Trails angegeben haben (zu finden auf der Trails-Seite der CloudTrail Konsole)
-
Das (optionale) Präfix, das Sie beim Erstellen des Trails angegeben haben
-
Die Zeichenfolge "AWSLogs“
-
Die Kontonummer
-
Die Zeichenfolge "CloudTrail“
-
Eine Regions-ID, z. B. "us-west-1"
-
Das Jahr, in dem die Protokolldatei veröffentlicht wurde, im Format
YYYY -
Den Monat, in dem die Protokolldatei veröffentlicht wurde, im Format
MM -
Den Tag, an dem die Protokolldatei veröffentlicht wurde, im Format
DD -
Eine alphanumerische Zeichenfolge, anhand derer sich die Datei von anderen Dateien zu demselben Zeitraum unterscheidet
Das folgende Beispiel zeigt einen vollständigen Protokolldatei-Objektnamen:
DOC-EXAMPLE-BUCKET/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
Anmerkung
Bei Organisationstrails enthält der Objektname der Protokolldatei im S3-Bucket die ID der Organisationseinheit im Pfad, und zwar wie folgt:
DOC-EXAMPLE-BUCKET/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
Zum Abrufen einer Protokolldatei können Sie die Amazon-S3-Konsole, die Amazon-S3-Befehlszeilenschnittstelle (CLI) oder die API verwenden.
Suchen Sie Protokolldateien mit der Amazon-S3-Konsole wie folgt
-
Öffnen Sie die Amazon S3-Konsole.
-
Wählen Sie den Bucket aus, den Sie angegeben haben.
-
Navigieren Sie durch die Objekthierarchie, bis Sie die gewünschte Protokolldatei finden.
Alle Protokolldateien haben eine GZ-Erweiterung.
Sie navigieren dabei durch eine Objekthierarchie, die dem folgenden Beispiel ähnelt; Bucket-Name, Konto-ID, Region und Datum sind jedoch anders.
All Buckets DOC-EXAMPLE-BUCKET AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
Eine Protokolldatei für die obige Objekthierarchie sieht wie folgt aus:
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
Anmerkung
In seltenen Fällen kann es vorkommen, dass Sie Protokolldateien erhalten, die eines oder mehrere doppelte Ereignisse enthalten. In den meisten Fällen haben doppelte Ereignisse dieselbe eventID. Weitere Informationen zum Feld eventID finden Sie unter CloudTrail Inhalt aufzeichnen.
