正在查找您的 CloudTrail 日志文件

CloudTrail 以 gzip 存档的形式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中，日志文件的名称较为格式化，一般包含以下元素：

• 您在创建跟踪时指定的存储桶名称（可在 CloudTrail 控制台的 Trails 页面上找到）

• （可选）创建跟踪时指定的前缀

• 字符串 “AWSLogs”

• 账号

• 字符串 “CloudTrail”

• 区域标识符（如 us-west-1）

• 日志文件的发布年份（采用 YYYY 格式）

• 日志文件的发布月份（采用 MM 格式）

• 日志文件的发布日（采用 DD 格式）

• 一个字母数字字符串，用于区别该文件与覆盖相同时段的其他文件

以下示例显示完整的日志文件对象名称：

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

注意

对于组织跟踪，S3 存储桶中的日志文件对象名称包括路径中的组织单位 ID，如下所示：

bucket_name/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

要检索日志文件，可以使用 Simple Storage Service（Amazon S3）控制台、Simple Storage Service（Amazon S3）命令行界面（CLI）或 API。

使用 Simple Storage Service（Amazon S3）控制台查找您的日志文件

1. 打开 Simple Storage Service（Amazon S3）控制台。

2. 选择您指定的存储桶。

3. 在对象层次结构中导航，直到找到需要的日志文件。

   所有日志文件的扩展名都是 .gz。

您将看到一个与下面示例类似的对象层次结构，但具体存储桶名称、账户 ID、区域和日期有所不同。

All Buckets
    Bucket_Name
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

上述对象层次结构的日志文件将与以下内容类似：

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

注意

您可能会收到包含一个或多个重复事件的日志文件，但这种情况不常见。在大多数情况下，重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息，请参阅CloudTrail 录制内容。