本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用主控台檢視最近的管理事件
<a name="view-cloudtrail-events-console"></a>

您可以使用 CloudTrail 主控台的**事件歷史記錄**頁面檢視過去 90 天在 AWS 區域中發生的管理事件。您也可以根據選擇的篩選條件和時間範圍，下載具有該資訊的檔案或具有一部分資訊的檔案。您可以透過選取每個頁面上要顯示的事件數量，然後選擇要在主控台上顯示的資料欄，來自訂事件**歷史記錄**的檢視。您也可以依適用於特定服務的資源類型來查詢和篩選事件。您也可以並排比較**Event history** (事件歷史記錄) 中的事件詳細資訊。

Event history (事件歷史記錄) 不會顯示資料事件。若要檢視資料事件，請建立[事件資料存放區](query-event-data-store-cloudtrail.md)或[追蹤](cloudtrail-create-and-update-a-trail.md)。

90 天後，事件將不再顯示在事件歷史記錄中。您無法從事件歷史記錄手動刪除事件。

您可以透過諮詢特定服務的文件，來進一步了解 CloudTrail 如何記錄該服務的事件之詳細資訊。如需詳細資訊，請參閱[AWS CloudTrail 的服務主題](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-list)。

**注意**  
若要持續記錄超過 90 天的活動和事件，請建立[事件資料存放區](query-event-data-store-cloudtrail.md)或[追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md)。

**若要檢視**事件歷史記錄****

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Event history** (事件歷史記錄)。您可以看到已篩選的事件清單，並最先顯示最近的事件。事件的預設篩選條件為**唯讀**，並設為 **false**。您可以選擇過濾器右側的 **X** 來清除該篩選條件。

1. 您可以在單一屬性上篩選事件，您可以從下拉式清單中選擇。若要篩選屬性，請從下拉式清單中選擇屬性，然後輸入屬性的完整值。例如，若要檢視所有主控台登入事件，請選擇**事件名稱**篩選條件，然後指定 **ConsoleLogin**。或者，若要檢視最近的 S3 管理事件，請選擇**事件來源**篩選條件，並指定 `s3.amazonaws.com`。

1. 若要檢視特定管理事件，請選擇事件名稱。在事件詳細資訊頁面上，您可以了解事件的相關詳細資訊，查看任何參考資源以及檢視事件記錄。

1. 若要比較事件，請透過填寫**事件歷史記錄**資料表左邊距中的核取方塊，最多可選取五個事件。您可以在比較事件詳細資訊表格中side-by-side檢視所選**事件的詳細資訊**。

1. 您可以將事件歷史記錄下載為 CSV 或 JSON 格式的檔案。下載事件歷史記錄可能需要幾分鐘的時間。

**Contents**
+ [導覽頁面](#navigate-event-history)
+ [自訂顯示](#displaying-cloudtrail-events)
+ [篩選 CloudTrail 事件](#filtering-cloudtrail-events)
+ [檢視事件的詳細資訊](#viewing-details-for-an-event)
+ [下載事件](#downloading-events)
+ [檢視使用 參考的資源 AWS Config](#viewing-resources-config)

## 導覽頁面
<a name="navigate-event-history"></a>

您可以選擇要檢視的頁面，在**事件歷史記錄**中導覽不同頁面。您還可以在**事件歷史記錄**中查看下一頁和上一頁。

選擇 **<** 可檢視**事件歷史記錄**的上一頁。

選擇 **>** 可檢視**事件歷史記錄**的下一頁。

## 自訂顯示
<a name="displaying-cloudtrail-events"></a>

您可以從下列偏好設定中選取，在 CloudTrail 主控台上自訂**事件歷史記錄**的檢視。
+ **頁面大小** - 選擇您想在每個頁面上顯示 10 個、25 個還是 50 個事件。
+ **換行** - 文字換行，以便您查看每個事件的全部文字。
+ **條紋效果** - 表格中相鄰兩列的顏色深淺相間。
+ **事件時間顯示** - 選擇以 UTC 或當地時區顯示事件時間。
+ **選取可見欄** - 選取要顯示的欄。預設會顯示下列欄位：
  + **事件名稱**
  + **Event time** (事件時間)
  + **使用者名稱**
  + **事件來源**
  + **Resource Type (資源類型)**
  + **資源名稱**
**注意**  
您無法變更欄位順序，或從 **Event history (事件歷史記錄)** 手動刪除事件。

**若要自訂顯示**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Event history** (事件歷史記錄)。

1. 選擇齒輪圖示。

1. 在**頁面大小**中，選擇要在單個頁面上顯示的總事件數。

1. 選擇**換行**，以查看每個事件的全部文字。

1. 選擇**條紋效果**，使表格中相鄰兩列的顏色深淺相間。

1. 對於**事件時間顯示**，選擇以 UTC 或當地時區顯示事件時間。預設值為選取 UTC。

1. 在 **Select visible columns** (選取可見欄位) 中，選取您要顯示的欄位。關閉您不要顯示的欄位。

1. 完成變更後，選擇**確認**。

## 篩選 CloudTrail 事件
<a name="filtering-cloudtrail-events"></a>

**Event history (事件歷史記錄)** 的事件預設顯示使用屬性篩選條件，排除顯示事件清單裡的唯讀事件。此屬性篩選條件名稱為 **Read only** (唯讀)，且設定為 **false**。可以刪除此篩選條件，顯示讀取事件和寫入事件。若要僅檢視 **Read** (讀取) 事件，可以把篩選條件改成 **true** 您也可以依其他屬性篩選事件。您還可以依時間範圍篩選。

**注意**  
您只能套用一個屬性篩選條件和一個時間範圍篩選條件。您無法套用多個屬性篩選條件。

** AWS 存取金鑰 **  
用來簽署請求的 AWS 存取金鑰 ID。如果使用暫時性安全登入資料提出請求，則此為暫時性登入資料的存取金鑰 ID。

** 事件 ID **  
事件的 CloudTrail ID。每個事件都會有唯一的 ID。

** 事件名稱 **  
事件的名稱。例如，您可以根據 IAM 事件 (例如 `CreatePolicy`) 或 Amazon EC2 事件 (例如 `RunInstances`) 進行篩選。

** 事件來源 **  
提出請求 AWS 的服務，例如 `iam.amazonaws.com`或 `s3.amazonaws.com`。在您選擇 **Event source** (事件來源) 篩選條件之後，即可捲動事件來源清單。

** 唯讀 **  
事件的讀取類型。事件可分類為讀取事件或寫入事件。如果設定為 **​false**，顯示事件清單就不會包含閱讀事件。預設套用此屬性篩選條件，此值預設設定為 **false**。

** 資源名稱 **  
事件所參考之資源的名稱或 ID。例如，資源名稱可能是「auto-scaling-test-group」(用於 Auto Scaling 群組) 或「i-12345678910」(用於 EC2 執行個體)。

** Resource Type (資源類型) **  
事件所參考之資源的類型。例如，資源類型可以是 `Instance` (用於 EC2) 或 `DBInstance` (用於 RDS)。每個 AWS 服務的資源類型各不相同。

** 時間範圍 **  
您想要篩選事件的時間範圍。您可以選擇**相對範圍**或**絕對範圍**。您可以篩選過去 90 天的事件。

** 使用者名稱 **  
事件所參考的身分。舉例來說，它可以是使用者、角色名稱，或服務角色。

如果在您所選擇的屬性或時間下沒有記錄的事件，則結果清單會是空的。除了時間範圍之外，您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件，則會保留您指定的時間範圍。

下列步驟說明如何依屬性進行篩選。

**依屬性篩選**

1. 若要依屬性篩選結果，請從 **Lookup attributes** (查閱屬性) 下拉式清單選擇屬性，然後在文字方塊中輸入或選擇屬性的值。

1. 若要移除屬性篩選條件，請選擇屬性篩選條件方塊右側的 **X**。

下列步驟說明如何依開始與結束日期及時間進行篩選。

**依開始與結束日期及時間進行篩選**

1. 若要縮小您要查看之事件的時間範圍，請選擇時間範圍列中的時間範圍。您可以選擇**相對範圍**或**絕對範圍**。

   選擇**相對範圍**以選取預設值，或者選擇自訂範圍。預設值有 30 分鐘、1 小時、12 小時或 1 天。若要指定自訂時間範圍，請選擇 **Custom** (自訂)。

   選擇**絕對範圍**以指定特定的開始和結束時間。您還可以選擇當地時區或 UTC。

1. 若要移除時間範圍篩選條件，請選擇時間範圍列中的**清除並關閉**。

## 檢視事件的詳細資訊
<a name="viewing-details-for-an-event"></a>

1. 在結果清單中選擇事件，以顯示其詳細資訊。

1. 事件中參照的資源會顯示在 **Resources referenced** (所參考的資源) 事件詳細資訊頁面上的資料表。

1. 有些參考的資源可能會有連結。請選擇可開啟該資源之主控台的連結。

1. 捲動至詳細資訊頁面上的 **Event record** (事件記錄) 以查看 JSON 事件記錄，也稱為事件*酬載*。

1. 選擇頁面導覽路徑中的 **Event history** (事件歷史記錄)，以關閉事件詳細資料頁面並返回 **Event history** (事件歷史記錄)。

## 下載事件
<a name="downloading-events"></a>

您可以將已記錄之事件歷史記錄以 CSV 或 JSON 檔案格式下載。您可以在單一檔案中下載最多 200，000 個事件。如果您達到 200，000 個事件限制，CloudTrail 主控台將提供下載其他檔案的選項。善用篩選條件和時間範圍，減少下載的檔案大小。

**注意**  
CloudTrail 事件歷史記錄檔案屬資料檔案，內含個別使用者可設定的資訊 (如資源名稱)。有些資料在用來讀取與分析資料 (CSV injection) 的程式中很可能會被解譯為命令。例如，將 CloudTrail 事件匯出至 CSV 並匯入至試算表程式時，該程式可能會提醒您關於安全方面的考量。您應該選擇停用此內容，以保持系統的安全。請一律停用連結或巨集下載事件歷史記錄檔案。

1. 在**事件歷史記錄**中針對您想要下載的事件新增篩選條件和時間範圍。例如，您可以指定事件名稱 `StartInstances`，並指定活動的時間範圍為最後三天。

1. 選擇 **Download events** (下載事件)，然後選擇 **Download as CSV** (下載為 CSV) 或 **Download as JSON** (下載為 JSON)。下載會即刻開始。
**注意**  
您的下載可能需要一些時間才能完成。如需更快速的結果，請在您開始下載程序之前，使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。您可以取消下載。如果您取消下載，本機電腦上可能會包含部分事件資料的部分下載。若要下載完整的事件歷史記錄，請重新啟動下載。

1. 下載完成後，請開啟檔案，以檢視您指定的事件。

1. 若要取消下載，請選擇 **Cancel** (取消)，然後選擇 **Cancel download** (取消下載)。如果您需要重新啟動下載，請等到先前的下載完成取消。

## 檢視使用 參考的資源 AWS Config
<a name="viewing-resources-config"></a>

AWS Config 會記錄 資源 AWS 的組態詳細資訊、關係和變更。

在**資源參考**窗格中，選擇**AWS Config 資源時間軸**欄中![AWS Config timeline icon](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/config-timeline.png)的 ，以在 AWS Config 主控台中檢視資源。

如果![Shows AWS Config timeline](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/config-timeline-gray.png)圖示為灰色、 AWS Config 未開啟，或未記錄資源類型。選擇圖示前往 AWS Config 主控台以開啟服務或開始記錄該資源類型。如需詳細資訊，請參閱《 *AWS Config 開發人員指南*》中的[AWS Config 使用主控台設定](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) 。

如果 **Link not available** (連結無法使用) 出現在欄位中，則因下列其中一個原因而無法檢視資源：
+ AWS Config 不支援 資源類型。如需詳細資訊，請參閱中的 *AWS Config 開發人員指南* 中的[支援的資源、組態項目和關係](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)。
+ AWS Config 最近新增對資源類型的支援，但尚無法從 CloudTrail 主控台取得。您可以在 AWS Config 主控台中查詢資源，以查看資源的時間軸。
+ 資源由另一個資源擁有 AWS 帳戶。
+ 資源由另一個 擁有 AWS 服務，例如受管 IAM 政策。
+ 資源在建立後就立即刪除。
+ 最近建立或更新資源。

若要授予使用者在 AWS Config 主控台中檢視資源的唯讀許可，請參閱 [授予在 CloudTrail 主控台上檢視 AWS Config 資訊的許可](security_iam_id-based-policy-examples.md#grant-aws-config-permissions-for-cloudtrail-users)。

如需 的詳細資訊 AWS Config，請參閱 [AWS Config 開發人員指南](https://docs.aws.amazon.com/config/latest/developerguide/)。