Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
我如何使用 CloudTrail 查看在我的 AWS 账户中发生了哪些 API 调用和操作?
如何查看我的 AWS 账户中发生的操作,例如控制台登录或终止实例?
简短描述
您可以使用以下方式使用 AWS CloudTrail 数据查看和跟踪对您的账户进行的 API 调用:
- CloudTrail 事件历史记录
- CloudTrail Lake
- Amazon CloudWatch Logs
- Amazon Athena 查询
- Amazon Simple Storage Service (Amazon S3) 存档日志文件
**注意:**并非所有 AWS 服务都记录了日志,并可在 CloudTrail 中使用。有关与 CloudTrail 集成的 AWS 服务列表,请参阅 CloudTrail 的 AWS 服务主题。
解决方法
**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请确保您使用的是最新版本的 AWS CLI。
CloudTrail 事件历史记录
使用 CloudTrail 控制台查看 CloudTrail 事件历史记录
您可以查看过去 90 天内所有支持的服务、集成和事件类型(创建、修改、删除以及不可变活动)。无需设置跟踪记录即可使用 CloudTrail 事件历史记录。
有关说明,请参阅在 CloudTrail 控制台中查看 CloudTrail 事件。
使用 AWS CLI 查看 CloudTrail 事件历史记录
**注意:**要使用 AWS CLI 搜索事件,必须创建和配置跟踪记录以记录到 CloudWatch Logs。有关详细信息,请参阅创建跟踪记录。此外,将事件发送到 CloudWatch Logs。
使用 filter-log-events 命令应用指标筛选器来搜索日志事件中的特定词语、短语和值。然后,您可以将它们转换为 CloudWatch 指标和警报。
有关详细信息,请参阅筛选器和模式语法。
**注意:**要大规模使用 filter-log-events 命令(例如自动化或脚本),最佳做法是使用 CloudWatch Logs 订阅筛选器。这是因为 filter-log-events API 操作有 API 限制。订阅筛选器没有这样的限制。订阅筛选器还提供了实时处理大量日志数据的功能。有关详细信息,请参阅 CloudWatch Logs 配额。
CloudTrail Lake
CloudTrail Lake 允许您聚合、永久存储和运行针对您的事件的基于 SQL 的查询。您甚至可以在 CloudTrail Lake 中存储长达 7 年或 2,555 天的数据。
有关详细信息,请参阅使用 AWS CloudTrail Lake。
Amazon CloudWatch Logs
**注意:**要使用 CloudWatch Logs,必须创建并配置跟踪记录以记录到 CloudWatch Logs。有关详细信息,请参阅创建跟踪记录。此外,将事件发送到 CloudWatch Logs。
您可以使用 CloudWatch Logs 搜索更改资源状态的操作(例如,StopInstances)。您还可以使用 CloudWatch Logs 搜索不会更改资源状态的操作(例如,DescribeInstances)。有关说明,请参阅查看发送到 CloudWatch Logs 的日志数据。
请记住以下几点:
- 即使您已经创建了跟踪记录,也必须明确配置 CloudTrail 以将事件发送到 CloudWatch Logs。
- 您无法查看配置日志之前的活动。
- 根据事件的大小和数量,可能会有多个日志流。要搜索所有流,请在选择单个流之前选择 Search Log Group(搜索日志组)。
- 由于 CloudWatch Logs 的事件大小限制为 256 KB,因此 CloudTrail 不会向 CloudWatch Logs 发送大于 256 KB 的事件。
Amazon Athena 查询
您可以使用 Amazon Athena 查看存储在 Amazon S3 存储桶中的 CloudTrail 数据事件和管理事件。
有关详细信息,请参阅“如何在 Amazon Athena 中自动创建表以搜索 AWS CloudTrail 日志?” 此外,使用手动分区在 Athena 中为 CloudTrail 日志创建表。
Amazon S3 存档日志文件
**注意:**要查看 Amazon S3 存档日志文件,您必须创建并配置跟踪记录以记录到 S3 存储桶。有关详细信息,请参阅创建跟踪记录。
您可以在 Amazon S3 日志文件中查看 CloudTrail 捕获的所有事件。您还可以使用 CloudTrail 处理库、AWS CLI 手动解析 S3 存储桶中的日志文件,或向 AWS CloudTrail 合作伙伴发送日志。
有关说明,请参阅 Amazon S3 CloudTrail 事件。
**注意:**您必须激活跟踪记录才能记录到 S3 存储桶。
相关信息
AWS Config console now displays API events associated with configuration changes
