获取和查看您的 CloudTrail 日志文件

创建跟踪并将其配置为捕获所需的日志文件后，您需要能够找到日志文件并解读其中包含的信息。

CloudTrail 将您的日志文件传输到您在创建跟踪时指定的 Amazon S3 存储桶。 CloudTrail 通常在通API话后平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息，请参阅 AWS CloudTrail 服务等级协议。Insights 事件通常会在异常活动后 30 分钟内传递到您的存储桶。首次启用 Insights 事件后，如果检测到异常活动，请留出长达 36 小时来查看第一个 Insights 事件。

注意

如果您错误配置了跟踪（例如，无法访问 S3 存储桶），则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶，持续 30 天，这些 attempted-to-deliver 事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用，您需要删除跟踪。

主题

正在查找您的 CloudTrail 日志文件

CloudTrail 以 gzip 存档的形式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中，日志文件的名称较为格式化，一般包含以下元素：

您在创建跟踪时指定的存储桶名称（可在 CloudTrail 控制台的 Trails 页面上找到）
（可选）创建跟踪时指定的前缀
字符串 “AWSLogs”
账号
字符串 “CloudTrail”
区域标识符（如 us-west-1）
日志文件的发布年份（采用 YYYY 格式）
日志文件的发布月份（采用 MM 格式）
日志文件的发布日（采用 DD 格式）
一个字母数字字符串，用于区别该文件与覆盖相同时段的其他文件

以下示例显示完整的日志文件对象名称：


amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

注意

对于组织跟踪，S3 存储桶中的日志文件对象名称包括路径中的组织单位 ID，如下所示：


amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

要检索日志文件，您可以使用 Amazon S3 控制台、Amazon S3 命令行界面 (CLI) 或API。

使用 Simple Storage Service（Amazon S3）控制台查找您的日志文件

打开 Simple Storage Service（Amazon S3）控制台。
选择您指定的存储桶。
在对象层次结构中导航，直到找到需要的日志文件。

所有日志文件的扩展名都是 .gz。

您将看到一个与下面示例类似的对象层次结构，但具体存储桶名称、账户 ID、区域和日期有所不同。



All Buckets
    amzn-s3-demo-bucket
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

上述对象层次结构的日志文件将与以下内容类似：



123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

注意

您可能会收到包含一个或多个重复事件的日志文件，但这种情况不常见。在大多数情况下，重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息，请参阅CloudTrail 录制内容。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用 CloudTrail 控制台将跟踪事件复制到现有的事件数据存储中

正在下载您的 CloudTrail 日志文件