Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Obtención y visualización de los archivos de CloudTrail registro
Después de haber creado y configurado un seguimiento para capturar los archivos de registro que desee, tendrá que ser capaz de encontrar los archivos de registro y de interpretar la información que contienen.
CloudTrail entrega sus archivos de registro a un bucket de Amazon S3 que especifique al crear el rastro. CloudTrail por lo general, entrega los registros en un promedio de unos 5 minutos después de una API llamada. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail
nota
Si configuras mal tu ruta (por ejemplo, si no puedes acceder al depósito de S3), CloudTrail intentarás volver a entregar los archivos de registro en tu depósito de S3 durante 30 días, y estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
Temas
¿Cómo encontrar los archivos de registro CloudTrail
CloudTrail publica los archivos de registro en su bucket de S3 en un archivo gzip. En el bucket de S3, el archivo de registro tiene un nombre con formato que incluye los siguientes elementos:
-
El nombre del bucket que especificaste al crear el sendero (que se encuentra en la página Trails de la CloudTrail consola)
-
El prefijo (opcional) que haya especificado al crear el registro de seguimiento
-
La cadena "AWSLogs»
-
El número de cuenta
-
La cadena «CloudTrail»
-
Un identificador de región como, por ejemplo, us-west-1
-
El año en que se publicó el archivo de registro con el formato
YYYY -
El mes en que se publicó el archivo de registro con el formato
MM -
El día en que se publicó el archivo de registro con el formato
DD -
Cadena alfanumérica que desambigua el archivo de otros que abarcan el mismo periodo de tiempo
El ejemplo siguiente muestra un nombre de objeto del archivo de registro completo:
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
nota
En el caso de los registros de la organización, el nombre del objeto del archivo de registro del bucket de S3 incluye el ID de la unidad organizativa en la ruta, de la siguiente manera:
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
Para recuperar un archivo de registro, puede utilizar la consola de Amazon S3, la interfaz de línea de comandos de Amazon S3 (CLI) o laAPI.
Para encontrar los archivos de registros con la consola de Amazon S3
-
Abra la consola de Amazon S3.
-
Elija el bucket especificado.
-
Recorra la jerarquía de objetos hasta que encuentre el archivo de registro que desee.
Todos los archivos de registro tienen la extensión .gz.
Verá una jerarquía de objetos similar a la del siguiente ejemplo, pero con otro nombre de bucket, ID de cuenta, región y fecha.
All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
Un archivo de registro para la jerarquía de objetos anterior se parecerá a lo siguiente:
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
nota
Aunque es poco frecuente, puede recibir archivos de registro que contengan uno o más eventos duplicados. En la mayoría de los casos, los eventos duplicados tendrán el mismo eventID. Para obtener más información acerca del campo eventID, consulte CloudTrail contenido del registro.
