本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 获取和查看您的 CloudTrail 日志文件
创建跟踪并将其配置为捕获所需的日志文件后,您需要能够找到日志文件并解读其中包含的信息。
CloudTrail 将您的日志文件传输到您在创建跟踪时指定的 Amazon S3 存储桶。 CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 [AWS CloudTrail 服务等级协议](https://aws.amazon.com/cloudtrail/sla)。Insights 事件通常会在异常活动后 30 分钟内传递到您的存储桶。首次启用 Insights 事件后,如果检测到异常活动,请留出长达 36 小时来查看第一个 Insights 事件。
**注意**
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
**Topics**
+ [
## 正在查找您的 CloudTrail 日志文件
](#cloudtrail-find-log-files)
+ [
# 正在下载您的 CloudTrail 日志文件
](cloudtrail-read-log-files.md)
## 正在查找您的 CloudTrail 日志文件
CloudTrail 以 gzip 存档的形式将日志文件发布到您的 S3 存储桶。在 S3 存储桶中,日志文件的名称较为格式化,一般包含以下元素:
+ 您在创建跟踪时指定的存储桶名称(可在 CloudTrail 控制台的 Trails 页面上找到)
+ (可选)创建跟踪时指定的前缀
+ 字符串 “AWSLogs”
+ 账号
+ 用于数据、管理事件的字符串 CloudTrail “”
+ 用于洞察事件的字符串 “CloudTrail-Insight”
+ 网络活动事件的字符串 NetworkActivity “CloudTrail-”
+ 字符串 “CloudTrail-聚合” 表示数据事件的聚合事件
+ 区域标识符(如 us-west-1)
+ 日志文件的发布年份(采用 `YYYY` 格式)
+ 日志文件的发布月份(采用 `MM` 格式)
+ 日志文件的发布日(采用 `DD` 格式)
+ 一个字母数字字符串,用于区别该文件与覆盖相同时段的其他文件
以下示例显示了数据的完整日志文件对象名称,即管理事件:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
```
以下示例显示了 insight 事件的完整日志文件对象名称:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Insight/region/YYYY/MM/DD/file_name.json.gz
```
以下示例显示了网络活动事件的完整日志文件对象名称:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-NetworkActivity/region/YYYY/MM/DD/file_name.json.gz
```
以下示例显示了数据事件聚合的完整日志文件对象名称:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Aggregated/region/YYYY/MM/DD/file_name.json.gz
```
**注意**
对于组织跟踪,S3 存储桶中的日志文件对象名称在路径中包含组织单位 ID,如下所示:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
```
要检索日志文件,可以使用 Amazon S3 控制台、Amazon S3 命令行界面(CLI)或 API。
**使用 Amazon S3 控制台查找您的日志文件**
1. 打开 Amazon S3 控制台。
1. 选择您指定的存储桶。
1. 在对象层次结构中导航,直到找到需要的日志文件。
所有日志文件的扩展名都是 .gz。
您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、区域和日期有所不同。
```
All Buckets
amzn-s3-demo-bucket
AWSLogs
123456789012
CloudTrail
us-west-1
2014
06
20
```
上述对象层次结构的日志文件将与以下内容类似:
```
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
```
**注意**
您可能会收到包含一个或多个重复事件的日志文件,但这种情况不常见。在大多数情况下,重复的事件将具有相同的 `eventID`。有关 `eventID` 字段的更多信息,请参阅[CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
# 正在下载您的 CloudTrail 日志文件
日志文件采用 JSON 格式。如果您安装了 JSON 查看器加载项,则可以直接在浏览器中查看这些文件。在存储桶中双击日志文件名可打开一个新的浏览器窗口或选项卡。JSON 以可读格式显示。
CloudTrail 日志文件是 Amazon S3 对象。您可以使用 Amazon S3 控制台、 AWS Command Line Interface (CLI) 或 Amazon S3 API 来检索日志文件。
有关更多信息,请参阅《*Amazon Simple Storage Service 用户指南*》中的 [Amazon S3 对象概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingObjects.html)。
下面的过程介绍如何使用 AWS 管理控制台下载日志文件。
**下载和读取日志文件**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 选择存储桶并选择要下载的日志文件。
1. 选择 **Download** 或 **Download as**,然后按照提示保存文件。这将以压缩格式保存文件。
**注意**
某些浏览器(如 Chrome)会自动为您提取日志文件。如果您的浏览器有这种功能,请跳到步骤 5。
1. 使用某种产品(如 [7-Zip](https://www.7-zip.org/))来提取日志文件。
1. 在文本编辑器(如 Notepad\$1\$1)中打开日志文件。
有关可显示在日志文件条目中的事件字段的更多信息,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
AWS 与第三方日志和分析专家合作,提供使用 CloudTrail 输出的解决方案。有关更多信息,请参阅 [AWS CloudTrail 合作伙伴](https://aws.amazon.com/cloudtrail/partners/)。
**注意**
您也可以使用 **Event history** 功能来查找过去 90 天内的创建、更新和删除 API 活动的事件。
有关更多信息,请参阅 [处理 CloudTrail 事件历史记录](view-cloudtrail-events.md)。