处理 CloudTrail 事件历史记录

CloudTrail 默认情况下，您的 AWS 账户已启用，并且您可以自动访问 CloudTrail 活动历史记录。事件历史记录提供对 AWS 区域中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。这些事件捕获通过 AWS Management Console、、 AWS Command Line Interface、 AWS SDK 和 API 进行的活动。事件历史记录记录了事件 AWS 区域 发生地的事件。查看活动历史记录不 CloudTrail 收取任何费用。

您可以通过查看事件历史记录页面，在 CloudTrail 控制台中按地区查找与创建、修改或删除资源（例如 IAM 用户或 Amazon EC2 实例）相关的事件。 AWS 账户 您也可以通过运行 aws cloudtrail lookup-events 命令或使用 LookupEvents API 来查找这些事件。

您可以使用 CloudTrail 控制台中的事件历史记录页面来查看、搜索、下载、存档、分析和响应 AWS 基础架构中的账户活动。选择要在每个页面上显示的事件数量以及要在控制台中显示或隐藏的具体列，您就可以自定义事件历史记录 的视图 。您还可以在事件历史记录中比较事件的详细信息 side-by-side。您可以使用软件开发工具 AWS 包或以编程方式查找事件。 AWS Command Line Interface

注意

随着时间的推移， AWS 服务 可能会添加其他事件。 CloudTrail 将这些事件记录在事件历史记录中，但是包含已添加事件的 90 天完整活动记录要等到添加事件 90 天后才可用。

事件历史记录与您为账户创建的任何跟踪或事件数据存储不相关。对事件数据存储或跟踪所做的更改不会对事件历史记录产生影响。

以下各节介绍如何使用 CloudTrail 控制台和查找最近的管理事件 AWS CLI，并介绍如何下载事件文件。有关使用 LookupEvents API 从 CloudTrail 事件中检索信息的信息，请参阅 AWS CloudTrail API 参考LookupEvents中的。

主题

• 事件历史记录的限制

• 使用控制台查看最近的管理事件

• 使用查看最近的管理事件 AWS CLI

事件历史记录的限制

以下限制适用于事件历史记录。

• CloudTrail 控制台上的事件历史记录页面仅显示管理事件。它不显示数据事件或 Insights 事件。

• 事件历史记录仅限于过去 90 天的事件。要持续记录您的事件 AWS 账户，请创建事件数据存储或跟踪。

• 当您从 CloudTrail 控制台的事件历史记录页面下载事件时，可以在单个文件中下载多达 200,000 个事件。如果您达到 200,000 个事件上限，则 CloudTrail 主机将提供下载其他文件的选项。

• 事件历史记录不提供组织级别的事件聚合。要记录整个组织的事件，请创建组织事件数据存储或跟踪。

• 一次事件历史搜索仅限于单个事件 AWS 账户，只能返回单个事件中的事件 AWS 区域，并且不能查询多个属性。您只能应用一个属性筛选条件和一个时间范围筛选条件。

  您可以创建 CloudTrail Lake 事件数据存储来查询多个属性和 AWS 区域。您也可以跨组织 AWS 账户 中的多个 AWS Organizations 组织进行查询。在 CloudTrail Lake 中，您可以查询多种事件类型，包括管理事件、数据事件、Insights 事件、 AWS Config 配置项目、Audit Manager 证据和非AWS 事件。 CloudTrail 与事件历史记录或运行LookupEvents中的简单键和值查找相比，Lake 查询提供了更深入、更可自定义的事件视图。有关更多信息，请参阅 与 L AWS CloudTrail ake 合作 和 使用控制台为事件创建 CloudTrail事件数据存储。

• 您不能从事件历史记录中排除 AWS KMS 或 Amazon RDS Data API 事件；您应用于跟踪或事件数据存储的设置不适用于事件历史记录。