本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保存查询结果后,需要查找包含查询结果的文件。CloudTrail 会将查询结果传送到您在保存查询结果时指定的 Amazon S3 存储桶。
注意
保存查询结果时,查询结果可能会先在控制台中显示,然后才能在 S3 存储桶中进行查看,这是因为 CloudTrail 在查询扫描完成后才会传送查询结果。虽然大多数查询会在几分钟内完成,但 CloudTrail 可能需要更长的时间才能将查询结果传送到 S3 存储桶,具体取决于事件数据存储的大小。CloudTrail 会采用 gzip 压缩格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。
查找 CloudTrail Lake 保存的查询结果
CloudTrail 会将查询结果和签名文件发布到 S3 存储桶。查询结果文件包含已保存查询的输出,并且签名文件会提供查询结果的签名和哈希值。您可以使用签名文件验证查询结果。有关验证查询结果的更多信息,请参阅验证 CloudTrail Lake 保存的查询结果。
要检索查询结果或签名文件,您可以使用 Amazon S3 控制台、Amazon S3 命令行界面(CLI)或 API。
使用 Amazon S3 控制台查找查询结果和签名文件
-
打开 Simple Storage Service(Amazon S3)控制台。
-
选择您指定的存储桶。
-
在对象层次结构中导航,直至找到查询结果和签名文件。查询结果文件的扩展名为 .csv.gz,签名文件的扩展名为 .json。
您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。
All Buckets amzn-s3-demo-bucket AWSLogs Account_ID; CloudTrail-Lake Query 2022 06 20 Query_ID
下载 CloudTrail Lake 保存的查询结果
保存查询结果后,CloudTrail 会将两种类型的文件传送到 Amazon S3 存储桶。
JSON 格式的签名文件,可用于验证查询结果文件。该签名文件名为 result_sign.json。有关签名文件的更多信息,请参阅CloudTrail 签名文件结构。
一个或多个 CSV 格式的查询结果文件,其中包含查询结果。传送的查询结果文件数量取决于查询结果的总大小。查询结果文件的最大文件大小为 1 TB。每个查询结果文件均以 result_
number.csv.gz 命名。例如,如果查询结果的总大小为 2 TB,则您将有两个查询结果文件,result_1.csv.gz 和 result_2.csv.gz。
CloudTrail 查询结果和签名文件是 Amazon S3 对象。您可以使用 S3 控制台、AWS Command Line Interface(CLI)或 S3 API 来检索查询结果和签名文件。
以下过程介绍了如何使用 Amazon S3 控制台下载查询结果和签名文件。
使用 Amazon S3 控制台下载查询结果或签名文件
-
打开 Amazon S3 控制台。
-
选择存储桶并选择要下载的文件。
-
选择 Download(下载),然后按照提示保存文件。
注意
某些浏览器(例如 Chrome)会自动为您提取查询结果文件。如果您的浏览器有这种功能,请跳到步骤 5。
-
使用 7-Zip
等产品提取查询结果文件。 -
打开查询结果或签名文件。
