Encontrando seus arquivos CloudTrail de log - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encontrando seus arquivos CloudTrail de log

CloudTrail publica arquivos de log no seu bucket do S3 em um arquivo gzip. No bucket do S3, o arquivo de log tem um nome formatado que inclui os seguintes elementos:

  • O nome do bucket que você especificou ao criar a trilha (encontrado na página Trilhas do CloudTrail console)

  • O prefixo (opcional) que você especificou quando criou sua trilha

  • A string "AWSLogs”

  • O número da conta

  • A string "CloudTrail”

  • Um identificador de região, como us-west-1

  • O ano em que o arquivo de log foi publicado no formato YYYY

  • O mês em que o arquivo de log foi publicado no formato MM

  • O dia em que o arquivo de log foi publicado no formato DD

  • Uma string alfanumérica que distingue o arquivo dos demais que cobrem o mesmo período

O exemplo a seguir mostra o nome completo de um objeto do arquivo de log:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
nota

Para trilhas organizacionais, o nome do objeto do arquivo de log no bucket do S3 inclui o ID da unidade organizacional no caminho, da seguinte forma:

bucket_name/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

Para recuperar um arquivo de log, é possível usar o console do Amazon S3, a interface de linha de comando (CLI) ou a API do Amazon S3.

Para localizar seus arquivos de log com o console do Amazon S3

  1. Abra o console Amazon S3.

  2. Escolha o bucket que você especificou.

  3. Navegue pela hierarquia de objetos até encontrar o arquivo de log desejado.

    Todos os arquivos de log têm uma extensão .gz.

Você navegará por uma hierarquia de objetos semelhante ao exemplo a seguir, mas com nome de bucket, ID da conta, região e data diferentes.


All Buckets
    Bucket_Name
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

Um arquivo de log para a hierarquia de objetos anterior terá a seguinte aparência: 


123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
nota

Você pode receber arquivos de log que contêm um ou mais eventos duplicados, embora isso seja incomum. Na maioria dos casos, eventos duplicados terão o mesmo eventID. Para obter mais informações sobre o campo eventID, consulte CloudTrail conteúdo do registro.