本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
取得及檢視您的 CloudTrail 記錄檔
在您建立線索並設定其擷取您要的日誌檔案後,您必須要能夠找到日誌檔案,並解釋其中所包含的資訊。
CloudTrail 將日誌檔交付到您在建立追蹤時指定的 Amazon S3 儲存貯體。 CloudTrail 通常會在通API話後平均約 5 分鐘內提供記錄檔。此時間無法保證。如需詳細資訊,請參閱 AWS CloudTrail 服務水準協議
注意
如果您錯誤設定追蹤 (例如,無法連線 S3 儲存貯體), CloudTrail 將嘗試將日誌檔重新傳送到 S3 儲存貯體 30 天,而且這些 attempted-to-deliver 事件將收取標準費用。 CloudTrail 若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
尋找您的 CloudTrail 記錄檔
CloudTrail 將日誌文件發佈到 gzip 存檔中的 S3 存儲桶。在 S3 儲存貯體中,日誌檔案都有包含下列元素的格式化名稱:
-
您在建立追蹤時指定的值區名稱 (可在 CloudTrail 主控台的「追蹤」頁面找到)
-
在您建立線索時指定的 (選用) 前綴
-
字串 "AWSLogs」
-
帳戶號碼
-
字串 "CloudTrail」
-
區域識別符,例如 us-west-1
-
發佈日誌檔案的年份,格式為
YYYY -
發佈日誌檔案的月份,格式為
MM -
發佈日誌檔案的日期,格式為
DD -
在涵蓋的相同時段中,能自其他檔案區分該檔案的英數字串
下列範例顯示完整的日誌檔案物件名稱:
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
注意
對於組織追蹤,S3 儲存貯體中的日誌檔物件名稱會在路徑中包含組織單位 ID,如下所示:
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
若要擷取日誌檔案,您可以使用 Amazon S3 主控台、Amazon S3 命令列界面 (CLI) 或API.
使用 Amazon S3 主控台找到日誌檔案
-
開啟 Amazon S3 主控台。
-
選擇您指定的儲存貯體。
-
瀏覽物件階層,直到找到您要的日誌檔案。
所有日誌檔案的副檔名都是 .gz。
您將瀏覽與下列範例類似的物件階層,但使用不同的儲存貯體名稱、帳戶 ID、區域和日期。
All Buckets amzn-s3-demo-bucket AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20
上述物件階層的日誌檔案如下所示:
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
注意
雖然很少見,但是您可能會收到包含一或多個重複事件的日誌檔案。在大多數情況下,重複的事件會有相同的 eventID。如需 eventID 欄位的相關資訊,請參閱 CloudTrail 記錄內容。
