Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Obtención y visualización de archivos de registros de CloudTrail
Después de haber creado y configurado un seguimiento para capturar los archivos de registro que desee, tendrá que ser capaz de encontrar los archivos de registro y de interpretar la información que contienen.
CloudTrail envía los archivos de registros al bucket de Amazon S3 que indique al crear el registro de seguimiento. En general, CloudTrail envía registros en un plazo de 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicio de AWS CloudTrail
nota
Si configura mal su registro de seguimiento (por ejemplo, si no se puede acceder al bucket de S3), CloudTrail intentará volver a entregar los archivos de registro a su bucket de S3 durante 30 días, y estos eventos de intento de entrega estarán sujetos a los cargos estándar de CloudTrail. Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
Temas
Búsqueda de archivos de registros de CloudTrail
CloudTrail publica archivos de registros en su bucket de S3, en un archivo gzip. En el bucket de S3, el archivo de registro tiene un nombre con formato que incluye los siguientes elementos:
-
El nombre de bucket que ha especificado al crear el registro de seguimiento (que se encuentra en la página Trails (Registros de seguimiento) de la consola de CloudTrail).
-
El prefijo (opcional) que haya especificado al crear el registro de seguimiento
-
La cadena "AWSLogs"
-
El número de cuenta
-
La cadena "CloudTrail"
-
Un identificador de región como, por ejemplo, us-west-1
-
El año en que se publicó el archivo de registro con el formato
YYYY -
El mes en que se publicó el archivo de registro con el formato
MM -
El día en que se publicó el archivo de registro con el formato
DD -
Cadena alfanumérica que desambigua el archivo de otros que abarcan el mismo periodo de tiempo
El ejemplo siguiente muestra un nombre de objeto del archivo de registro completo:
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
nota
Para los registros de seguimiento de la organización, el nombre de objeto del archivo de registro en el bucket de S3 incluye el ID de la unidad organizativa en la ruta, tal y como se indica a continuación:
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
Para recuperar un archivo de registros, puede utilizar la consola de Amazon S3, la interfaz de línea de comandos (CLI) de Amazon S3 o la API.
Para encontrar los archivos de registros con la consola de Amazon S3
-
Abra la consola de Amazon S3.
-
Elija el bucket especificado.
-
Recorra la jerarquía de objetos hasta que encuentre el archivo de registro que desee.
Todos los archivos de registro tienen la extensión .gz.
Verá una jerarquía de objetos similar a la del siguiente ejemplo, pero con otro nombre de bucket, ID de cuenta, región y fecha.
All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
Un archivo de registro para la jerarquía de objetos anterior se parecerá a lo siguiente:
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
nota
Aunque es poco frecuente, puede recibir archivos de registro que contengan uno o más eventos duplicados. En la mayoría de los casos, los eventos duplicados tendrán el mismo eventID. Para obtener más información acerca del campo eventID, consulte CloudTrail contenido del registro.
