如何使用 CloudTrail 來查看我的 AWS 帳戶中發生了哪些 API 呼叫和動作？

2 分的閱讀內容

如何檢閱 AWS 帳戶中發生的動作，例如主控台登入或終止執行個體？

簡短描述

您可以使用 AWS CloudTrail 資料，使用下列方法檢視和追蹤對您帳戶發出的 API 呼叫：

**注意：**並非所有 AWS 服務都會記錄日誌，並且可以在 CloudTrail 中使用。如需與 CloudTrail 整合的 AWS 服務清單，請參閱 CloudTrail 的 AWS 服務主題。

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請確認您使用的是最新的 AWS CLI 版本。

CloudTrail 事件歷史記錄

使用 CloudTrail 主控台查看 CloudTrail 事件歷史記錄

您可以檢視過去 90 天內所有支援的服務、整合和事件類型 (建立、修改、刪除和不可變動的事件)。您不需要設定追蹤即可使用 CloudTrail 事件歷史記錄。

如需相關指示，請參閱在 CloudTrail 主控台中檢視 CloudTrail 事件。

使用 AWS CLI 檢閱 CloudTrail 事件歷史記錄

**注意：**若要使用 AWS CLI 搜尋事件，您必須建立並設定記錄到 CloudWatch 日誌的追蹤。如需詳細資訊，請參閱 Creating a trail（建立追蹤）。此外，將事件傳送到 CloudWatch 日誌。

使用 filter-log-events 命令套用指標篩選器，以搜尋日誌事件中的特定詞彙、片語和值。然後，您可以將它們轉換為 CloudWatch 指標和警示。

如需詳細資訊，請參閱篩選器和模式語法。

**注意：**若要大規模使用 filter-log-events 命令 (例如自動化或指令碼)，最佳實務是使用 CloudWatch 日誌訂閱篩選器。這是因為 filter-log-events API 動作有 API 限制。訂閱過濾器沒有這樣的限制。訂閱過濾器還提供了即時處理大量日誌資料的能力。如需更多資訊，請參閱 CloudWatch 日誌配額。

CloudTrail Lake

CloudTrail Lake 可讓您對事件進行彙總、不可變方式儲存和執行以 SQL 為基礎的查詢。您甚至可以將資料儲存在 CloudTrail Lake 中長達七年或 2,555 天。

如需詳細資訊，請參閱使用 AWS CloudTrail Lake。

Amazon CloudWatch Logs

**注意：**若要使用 CloudWatch 日誌，您必須建立並設定記錄到 CloudWatch 日誌的追蹤。如需詳細資訊，請參閱 Creating a trail（建立追蹤）。此外，將事件傳送到 CloudWatch 日誌。

您可以使用 CloudWatch 日誌來搜尋可變更資源狀態的作業 (例如，StopInstances)。您也可以使用 CloudWatch 日誌來搜尋不會變更資源狀態的作業 (例如DescribeInstances)。如需指示，請參閱檢視傳送至 CloudWatch 日誌的日誌資料。

請記住以下幾點：

即使您已經建立追蹤，您也必須明確設定 CloudTrail 將事件傳送至 CloudWatch 日誌。
您無法檢閱設定日誌之前的事件。
視事件的大小和數量而定，可以有多個日誌串流。若要搜尋所有串流，請先選擇搜尋日誌群組，然後再選取個別串流。
由於 CloudWatch 日誌的事件大小限制為 256 KB，因此 CloudTrail 不會將大於 256 KB 的事件傳送到 CloudWatch 日誌。