Obtener y ver los archivos de CloudTrail registro

Después de haber creado y configurado un seguimiento para capturar los archivos de registro que desee, tendrá que ser capaz de encontrar los archivos de registro y de interpretar la información que contienen.

CloudTrail entrega sus archivos de registro a un bucket de Amazon S3 que especifique al crear el rastro. CloudTrail normalmente entrega los registros en una media de unos 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail. Normalmente, los eventos de información se envían al bucket tras 30 minutos de actividad inusual. Después de habilitar los eventos de información primera vez, los primeros eventos aparecen al cabo de 36 horas, si se detecta actividad inusual.

nota

Si configuras mal la ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a enviar los archivos de registro a tu depósito de S3 durante 30 días. Estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.

Temas

• ¿Cómo encontrar los archivos de registro CloudTrail
• Descargar los archivos de CloudTrail registro

¿Cómo encontrar los archivos de registro CloudTrail

CloudTrail publica los archivos de registro en su bucket de S3 en un archivo gzip. En el bucket de S3, el archivo de registro tiene un nombre con formato que incluye los siguientes elementos:

• El nombre del bucket que especificaste al crear el sendero (que se encuentra en la página Trails de la CloudTrail consola)

• El prefijo (opcional) que haya especificado al crear el registro de seguimiento

• La cadena "AWSLogs»

• El número de cuenta

• La cadena «CloudTrail»

• Un identificador de región como, por ejemplo, us-west-1

• El año en que se publicó el archivo de registro con el formato YYYY

• El mes en que se publicó el archivo de registro con el formato MM

• El día en que se publicó el archivo de registro con el formato DD

• Cadena alfanumérica que desambigua el archivo de otros que abarcan el mismo periodo de tiempo

El ejemplo siguiente muestra un nombre de objeto del archivo de registro completo:

DOC-EXAMPLE-BUCKET/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

nota

En el caso de los registros de la organización, el nombre del objeto del archivo de registro del bucket de S3 incluye el ID de la unidad organizativa en la ruta, de la siguiente manera:

DOC-EXAMPLE-BUCKET/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

Para recuperar un archivo de registros, puede utilizar la consola de Amazon S3, la interfaz de línea de comandos (CLI) de Amazon S3 o la API.

Para encontrar los archivos de registros con la consola de Amazon S3

1. Abra la consola de Amazon S3.

2. Elija el bucket especificado.

3. Recorra la jerarquía de objetos hasta que encuentre el archivo de registro que desee.

   Todos los archivos de registro tienen la extensión .gz.

Verá una jerarquía de objetos similar a la del siguiente ejemplo, pero con otro nombre de bucket, ID de cuenta, región y fecha.

All Buckets
    DOC-EXAMPLE-BUCKET
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

Un archivo de registro para la jerarquía de objetos anterior se parecerá a lo siguiente:

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

nota

Aunque es poco frecuente, puede recibir archivos de registro que contengan uno o más eventos duplicados. En la mayoría de los casos, los eventos duplicados tendrán el mismo eventID. Para obtener más información acerca del campo eventID, consulte CloudTrail contenido del registro.