Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Obtenir et consulter vos fichiers CloudTrail journaux
Une fois que vous avez créé et configuré un journal d'activité pour capturer les fichiers journaux que vous souhaitez recevoir, vous devez pouvoir trouver les fichiers journaux et interpréter les informations qu'ils contiennent.
CloudTrail envoie vos fichiers journaux dans un compartiment Amazon S3 que vous spécifiez lors de la création du journal. CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un API appel. Ce délai n’est pas garanti. Pour plus d’informations, consultez le Contrat de niveau de service (SLA)AWS CloudTrail
Note
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.
Trouver vos fichiers CloudTrail journaux
CloudTrail publie les fichiers journaux dans votre compartiment S3 dans une archive gzip. Dans le compartiment S3, le fichier journal possède un nom formaté qui comprend les éléments suivants :
-
Le nom du bucket que vous avez spécifié lors de la création du trail (disponible sur la page Trails de la CloudTrail console)
-
Le préfixe (facultatif) que vous avez spécifié lorsque vous avez créé votre journal d'activité
-
La chaîne « AWSLogs »
-
Le numéro de compte
-
La chaîne « CloudTrail »
-
Un identifiant de région tel qu'us-west-1
-
L’année de publication du fichier journal au format
YYYY -
Le mois de publication du fichier journal au format
MM -
Le jour de publication du fichier journal au format
DD -
Une chaîne alphanumérique qui lève toute ambiguïté entre le fichier et d’autres qui couvrent la même période
L’exemple suivant montre un nom d’objet fichier journal complet :
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
Note
Pour les traces d'organisation, le nom de l'objet du fichier journal dans le compartiment S3 inclut l'ID de l'unité organisationnelle dans le chemin, comme suit :
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
Pour récupérer un fichier journal, vous pouvez utiliser la console Amazon S3, l'interface de ligne de commande Amazon S3 (CLI) ou leAPI.
Pour rechercher vos fichiers journaux avec la console Amazon S3
-
Ouvrez la console Amazon S3.
-
Choisissez le compartiment que vous avez spécifié.
-
Parcourez la hiérarchie des objets jusqu’à trouver le fichier journal que vous voulez.
Tous les fichiers journaux possèdent une extension .gz.
Vous allez parcourir une hiérarchie d'objets qui est similaire à l'exemple suivant, mais avec un nom de compartiment, un ID de compte, une région et une date différents.
All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
Un fichier journal pour la hiérarchie des objets précédente ressemble à ce qui suit :
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
Note
Bien que cela arrive rarement, vous pouvez recevoir des fichiers journaux qui contiennent un ou plusieurs événements dupliqués. Dans la plupart des cas, les événements dupliqués auront le même eventID. Pour plus d’informations sur le champ eventID, consultez la section CloudTrail enregistrer le contenu.
