下載已儲存的查詢結果 - AWS CloudTrail
尋找 CloudTrail 湖泊儲存的查詢結果下載已儲存的查詢結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

下載已儲存的查詢結果

儲存查詢結果之後,您必須能夠找到包含查詢結果的檔案。 CloudTrail 將查詢結果傳遞到您在儲存查詢結果時指定的 Amazon S3 儲存貯體。

注意

儲存查詢結果時,查詢結果可能會在 S3 儲存貯體中檢視之前顯示在主控台中,因為查詢掃描完成後會 CloudTrail 傳送查詢結果。雖然大多數查詢會在幾分鐘內完成,但視事件資料存放區的大小而定,將查詢結果傳遞 CloudTrail 到 S3 儲存貯體可能需要相當長的時間。 CloudTrail 以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言,查詢掃描完成後,每傳遞 1 GB 的資料到 S3 儲存貯體,可能會有 60 到 90 秒的延遲。

尋找 CloudTrail 湖泊儲存的查詢結果

CloudTrail 將查詢結果和簽署檔案發佈到 S3 儲存貯體。查詢結果檔案包含已儲存查詢的輸出,簽署檔案則提供查詢結果的簽章和雜湊值。您可以使用簽署檔案來驗證查詢結果。如需有關驗證查詢結果的詳細資訊,請參閱驗證 CloudTrail 湖泊儲存的查詢結果

若要擷取查詢結果或簽署檔案,您可以使用 Amazon S3 主控台、Amazon S3 命令列界面 (CLI) 或 API。

使用 Amazon S3 主控台尋找查詢結果和簽署檔案

  1. 開啟 Amazon S3 主控台。

  2. 選擇您指定的儲存貯體。

  3. 瀏覽物件階層,找出查詢結果和簽署檔案。查詢結果檔案的副檔名為 .csv.gz,而簽署檔案的副檔名為 .json。

您將瀏覽與下列範例類似的物件階層,但使用不同的儲存貯體名稱、帳戶 ID、日期和查詢 ID。


All Buckets
    DOC-EXAMPLE-BUCKET
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        2022
                            06
                              20
                                Query_ID

下載您的 CloudTrail Lake 儲存的查詢結果

儲存查詢結果時,會將兩種類型的檔案 CloudTrail 交付到 Amazon S3 儲存貯體。

  • 一個 JSON 格式的簽署檔案,可供您用於驗證查詢結果檔案。簽署檔案命名為 result_sign.json。如需簽署檔案的詳細資訊,請參閱 CloudTrail 簽署檔案結構

  • 一或多個 CSV 格式的查詢結果檔案,其中包含查詢的結果。傳送的查詢結果檔案數量取決於查詢結果的總大小。查詢結果檔案的檔案大小上限為 1 TB。每個查詢結果檔案都會命名為 result_number.csv.gz。例如,如果查詢結果的總大小為 2 TB,您將有兩個查詢結果檔案,result_1.csv.gz 和 result_2.csv.gz。

CloudTrail 查詢結果和簽署文件是 Amazon S3 對象。您可以使用 S3 主控台、 AWS Command Line Interface (CLI) 或 S3 API 擷取查詢結果和簽署檔案。

下列程序說明如何使用 Amazon S3 主控台下載查詢結果和簽署檔案。

使用 Amazon S3 主控台下載查詢結果或簽署檔案

  1. 開啟 Amazon S3 主控台。

  2. 選擇儲存貯體,然後選擇您要下載的檔案。

    CloudTrail 查詢結果文件

  3. 選擇 Download (下載),然後遵循提示來儲存檔案。

    注意

    有些瀏覽器 (例如 Chrome) 會自動解壓縮查詢結果檔案。如果您的瀏覽器自動執行這項操作,則請跳到步驟 5。

  4. 使用 7-Zip 這類產品來解壓縮查詢結果檔案。

  5. 開啟查詢結果或簽署檔案。