本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
儲存查詢結果後,您必須能夠找到包含查詢結果的檔案。CloudTrail 會將您的查詢結果傳送至您在儲存查詢結果時指定的 Amazon S3 儲存貯體。
注意
儲存查詢結果時,查詢結果可能會先顯示在主控台中,隨後才能在 S3 儲存貯體中檢視,因為 CloudTrail 會在查詢掃描完成後傳送查詢結果。儘管大多數查詢會在幾分鐘內完成,但視事件資料存放區的大小而定,CloudTrail 將查詢結果傳送到 S3 儲存貯體可能需要更長的時間。CloudTrail 會以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言,查詢掃描完成後,每傳遞 1 GB 的資料到 S3 儲存貯體,可能會有 60 到 90 秒的延遲。
尋找您的 CloudTrail Lake 已儲存查詢結果
CloudTrail 會將查詢結果和簽署檔案發佈到您的 S3 儲存貯體。查詢結果檔案包含已儲存查詢的輸出,簽署檔案則提供查詢結果的簽章和雜湊值。您可以使用簽署檔案來驗證查詢結果。如需有關驗證查詢結果的詳細資訊,請參閱驗證 CloudTrail Lake 儲存的查詢結果。
若要擷取查詢結果或簽署檔案,您可以使用 Amazon S3 主控台、Amazon S3 命令列界面 (CLI) 或 API。
使用 Amazon S3 主控台尋找查詢結果和簽署檔案
-
開啟 Amazon S3 主控台。
-
選擇您指定的儲存貯體。
-
瀏覽物件階層,找出查詢結果和簽署檔案。查詢結果檔案的副檔名為 .csv.gz,而簽署檔案的副檔名為 .json。
您將瀏覽與下列範例類似的物件階層,但使用不同的儲存貯體名稱、帳戶 ID、日期和查詢 ID。
All Buckets amzn-s3-demo-bucket AWSLogs Account_ID; CloudTrail-Lake Query 2022 06 20 Query_ID
下載您的 CloudTrail Lake 已儲存查詢結果
當您儲存查詢結果時,CloudTrail 會將兩種類型的檔案傳送到您的 Amazon S3 儲存貯體。
一個 JSON 格式的簽署檔案,可供您用於驗證查詢結果檔案。簽署檔案命名為 result_sign.json。如需簽署檔案的詳細資訊,請參閱 CloudTrail 簽署檔案結構。
一或多個 CSV 格式的查詢結果檔案,其中包含查詢的結果。傳送的查詢結果檔案數量取決於查詢結果的總大小。查詢結果檔案的檔案大小上限為 1 TB。每個查詢結果檔案都會命名為 result_
number.csv.gz。例如,如果查詢結果的總大小為 2 TB,您將有兩個查詢結果檔案,result_1.csv.gz 和 result_2.csv.gz。
CloudTrail 查詢結果和簽署檔案是 Amazon S3 物件。您可以使用 S3 主控台、 AWS Command Line Interface (CLI) 或 S3 API 來擷取查詢結果和簽署檔案。
下列程序說明如何使用 Amazon S3 主控台下載查詢結果和簽署檔案。
使用 Amazon S3 主控台下載查詢結果或簽署檔案
-
開啟 Amazon S3 主控台。
-
選擇儲存貯體,然後選擇您要下載的檔案。
-
選擇 Download (下載),然後遵循提示來儲存檔案。
注意
有些瀏覽器 (例如 Chrome) 會自動解壓縮查詢結果檔案。如果您的瀏覽器自動執行這項操作,則請跳到步驟 5。
-
使用 7-Zip
這類產品來解壓縮查詢結果檔案。 -
開啟查詢結果或簽署檔案。
