下载已保存的查询结果 - AWS CloudTrail
查找您的 CloudTrail Lake 已保存查询结果下载已保存的查询结果

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

下载已保存的查询结果

保存查询结果后,您需要能够找到包含查询结果的文件。 CloudTrail 将您的查询结果传送到您在保存查询结果时指定的 Amazon S3 存储桶。

注意

保存查询结果时,查询结果可能会先显示在控制台中,然后才能在 S3 存储桶中查看,因为查询扫描完成后才会 CloudTrail 提供查询结果。虽然大多数查询会在几分钟内完成,但根据事件数据存储的大小,将查询结果传送 CloudTrail 到 S3 存储桶可能需要更长的时间。 CloudTrail 以压缩的 gzip 格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。

查找您的 CloudTrail Lake 已保存查询结果

CloudTrail 将查询结果发布到您的 S3 存储桶并签署文件。查询结果文件包含已保存查询的输出,并且签名文件会提供查询结果的签名和哈希值。您可以使用签名文件验证查询结果。有关验证查询结果的更多信息,请参阅 验证 CloudTrail Lake 已保存的查询结果

要检索查询结果或签名文件,您可以使用 Amazon S3 控制台、Amazon S3 命令行界面 (CLI) 或API。

使用 Amazon S3 控制台查找查询结果和签名文件

  1. 打开 Simple Storage Service(Amazon S3)控制台。

  2. 选择您指定的存储桶。

  3. 在对象层次结构中导航,直至找到查询结果和签名文件。查询结果文件的扩展名为 .csv.gz,签名文件的扩展名为 .json。

您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。


All Buckets
    amzn-s3-demo-bucket
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        2022
                            06
                              20
                                Query_ID

下载您的 CloudTrail Lake 已保存的查询结果

保存查询结果时,会将两种类型的文件 CloudTrail 传送到您的 Amazon S3 存储桶。

  • 一种签名文件,其JSON格式可以用来验证查询结果文件。该签名文件名为 result_sign.json。有关签名文件的更多信息,请参阅 CloudTrail 签名文件结构

  • 一个或多个CSV格式的查询结果文件,其中包含查询结果。传送的查询结果文件数量取决于查询结果的总大小。查询结果文件的最大文件大小为 1 TB。每个查询结果文件都命名为 result_number.csv.gz。例如,如果查询结果的总大小为 2 TB,则您将有两个查询结果文件,result_1.csv.gz 和 result_2.csv.gz。

CloudTrail 查询结果和签名文件是 Amazon S3 对象。您可以使用 S3 控制台、 AWS Command Line Interface (CLI) 或 S3 API 来检索查询结果并签署文件。

以下过程介绍了如何使用 Amazon S3 控制台下载查询结果和签名文件。

使用 Amazon S3 控制台下载查询结果或签名文件

  1. 打开 Amazon S3 控制台。

  2. 选择存储桶并选择要下载的文件。

    CloudTrail 查询结果文件

  3. 选择 Download(下载),然后按照提示保存文件。

    注意

    某些浏览器(例如 Chrome)会自动为您提取查询结果文件。如果您的浏览器有这种功能,请跳到步骤 5。

  4. 使用 7-Zip 等产品提取查询结果文件。

  5. 打开查询结果或签名文件。