本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudTrail 事件歷史記錄
CloudTrail 默認情況下,您的 AWS 帳戶已啟用,並且您可以自動訪問 CloudTrail 活動歷史記錄。事件歷史記錄提供過去 90 天發生的 AWS 區域管理事件的可檢視、可搜尋、可下載而且不可變的記錄。這些事件會擷取透過 AWS Management Console AWS Command Line Interface、和 AWS SDK 和 API 所做的活動。事件歷史記錄在事件發生的 AWS 區域 地方記錄事件。查看活動歷史記錄不 CloudTrail 收取任何費用。
您可以檢視事件歷史記錄頁面,在 CloudTrail 主控台中依區域查詢與建立、修改或刪除資源 (例如 IAM 使用者或 Amazon EC2 執行個體) 相關的事件。 AWS 帳戶 您也可以執行 aws cloudtrail
lookup-events 命令或使用 LookupEvents API 以查詢這些事件。
您可以使用 CloudTrail 主控台中的 [事件歷史記錄] 頁面來檢視、搜尋、下載、封存、分析和回應 AWS 基礎結構中的帳戶活動。您可以透過選取在每個頁面上顯示多少事件以及顯示或隱藏哪些欄,對主控台中事件歷史記錄的檢視畫面進行自訂。您還可以在事件歷史記錄中比較事件的詳細信息 side-by-side。您可以使用 AWS SDK 或 AWS Command Line Interface以程式設計方式查詢事件。
注意
隨著時間的推移, AWS 服務 可能會增加其他事件 CloudTrail 將這些事件記錄在事件歷史記錄中,但是在新增事件後 90 天之後,將無法使用包含新增事件的完整 90 天活動記錄。
事件歷史記錄與您為帳戶建立的任何追蹤或事件資料存放區是分開的。您對事件資料存放區或追蹤所做的變更不會影響事件歷史記錄。
以下各節說明如何使用 CloudTrail 主控台查詢最近的管理事件 AWS CLI,並說明如何下載事件檔案。如需使用 LookupEvents API 擷取 CloudTrail 事件資訊的相關資訊,請參閱 AWS CloudTrail API 參考LookupEvents中的。
主題
事件歷史記錄的限制
下列限制適用於事件歷史記錄。
-
CloudTrail 主控台上的 [事件歷程記錄] 頁面只會顯示管理事件。它不會顯示資料事件或 Insights 事件。
-
當您從 CloudTrail 主控台的 [事件歷程記錄] 頁面下載事件時,最多可以在單一檔案中下載 200,000 個事件。如果您達到 200,000 個事件限制,主 CloudTrail 控台將提供下載其他檔案的選項。
-
事件歷史記錄不提供組織層級事件彙總。若要記錄整個組織的事件,則建立組織事件資料存放區或追蹤。
-
事件歷史記錄搜索僅限於單個 AWS 帳戶,僅返回單個事件 AWS 區域,並且無法查詢多個屬性。您只能套用一個屬性篩選條件和一個時間範圍篩選條件。
您可以建立 CloudTrail Lake 事件資料倉庫,以跨多個屬性和進行查詢 AWS 區域。您也可以在 AWS Organizations 組織 AWS 帳戶 中跨多個查詢。在 CloudTrail Lake 中,您可以查詢多個事件類型,包括管理事件、資料事件、見解事件、 AWS Config 設定項目、Audit Manager 證據和非AWS 事件。 CloudTrail 與事件歷史記錄或運
LookupEvents行中的簡單鍵和值查詢相比,Lake 查詢提供了更深入且更可自定義的事件視圖。如需詳細資訊,請參閱 工作, 由于, AWS CloudTrail 湖 及 使用主控台為 CloudTrail事件建立事件資料存放區。 -
您無法從事件歷史記錄中排除 AWS KMS 或從事件歷史記錄中排除 Amazon RDS Data API 事件;套用至追蹤或事件資料存放區的設定不適用於事件歷史記錄。
