本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 取得和檢視 CloudTrail 日誌檔案
在您建立線索並設定其擷取您要的日誌檔案後,您必須要能夠找到日誌檔案,並解釋其中所包含的資訊。
CloudTrail 會將您的日誌檔案交付至您在建立線索時指定的 Amazon S3 儲存貯體。CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞日誌。此時間無法保證。如需詳細資訊,請參閱 [AWS CloudTrail 服務水準協議](https://aws.amazon.com/cloudtrail/sla)。Insights 事件通常會在異常活動的 30 分鐘內送達您的儲存貯體。第一次啟用 Insights 事件之後,如果偵測到異常的活動,可能需等待 36 小時才能看到第一個 Insights 事件。
**注意**
如果您的追蹤設定錯誤 (例如,S3 儲存貯體無法連線),CloudTrail 會在 30 天內嘗試重新傳遞日誌檔案到您的 S3 儲存貯體,且您需要為這些嘗試傳遞事件支付標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
**Topics**
+ [尋找 CloudTrail 日誌檔案](#cloudtrail-find-log-files)
+ [下載 CloudTrail 日誌檔案](cloudtrail-read-log-files.md)
## 尋找 CloudTrail 日誌檔案
CloudTrail 會將日誌檔案以 gzip 封存形式發佈至 S3 儲存貯體。在 S3 儲存貯體中,日誌檔案都有包含下列元素的格式化名稱:
+ 在您建立線索時指定的儲存貯體名稱 (位於 CloudTrail 主控台的 Trails (線索) 頁面上)
+ 在您建立線索時指定的 (選用) 前綴
+ 字串 "AWSLogs"
+ 帳戶號碼
+ 資料、管理事件的字串 "CloudTrail"
+ 洞察事件的字串 "CloudTrail-Insight"
+ 網路活動事件的字串 "CloudTrail-NetworkActivity"
+ 資料事件彙總事件的字串 "CloudTrail-Aggregated"
+ 區域識別符,例如 us-west-1
+ 發佈日誌檔案的年份,格式為 `YYYY`
+ 發佈日誌檔案的月份,格式為 `MM`
+ 發佈日誌檔案的日期,格式為 `DD`
+ 在涵蓋的相同時段中,能自其他檔案區分該檔案的英數字串
下列範例顯示資料、管理事件的完整日誌檔案物件名稱:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
```
下列範例顯示洞見事件的完整日誌檔案物件名稱:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Insight/region/YYYY/MM/DD/file_name.json.gz
```
下列範例顯示網路活動事件的完整日誌檔案物件名稱:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-NetworkActivity/region/YYYY/MM/DD/file_name.json.gz
```
下列範例顯示資料事件彙總的完整日誌檔案物件名稱:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Aggregated/region/YYYY/MM/DD/file_name.json.gz
```
**注意**
對於組織追蹤,S3 儲存貯體中的日誌檔案物件名稱會在路徑中包含組織單位 ID,如下所示:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
```
若要擷取日誌檔案,您可以使用 Amazon S3 主控台、Amazon S3 命令列界面 (CLI) 或 API。
**使用 Amazon S3 主控台找到日誌檔案**
1. 開啟 Amazon S3 主控台。
1. 選擇您指定的儲存貯體。
1. 瀏覽物件階層,直到找到您要的日誌檔案。
所有日誌檔案的副檔名都是 .gz。
您將瀏覽與下列範例類似的物件階層,但使用不同的儲存貯體名稱、帳戶 ID、區域和日期。
```
All Buckets
amzn-s3-demo-bucket
AWSLogs
123456789012
CloudTrail
us-west-1
2014
06
20
```
上述物件階層的日誌檔案如下所示:
```
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
```
**注意**
雖然很少見,但是您可能會收到包含一或多個重複事件的日誌檔案。在大多數情況下,重複的事件會有相同的 `eventID`。如需 `eventID` 欄位的相關資訊,請參閱 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
# 下載 CloudTrail 日誌檔案
日誌檔案為 JSON 格式。如果您已安裝 JSON 檢視器附加功能,則可以直接在瀏覽器中檢視檔案。按兩下儲存貯體中的日誌檔案名稱,以開啟新的瀏覽器視窗或標籤。JSON 會以可讀取格式顯示。
CloudTrail 日誌檔案是 Amazon S3 物件。您可以使用 Amazon S3 主控台、 AWS Command Line Interface (CLI) 或 Amazon S3 API 來擷取日誌檔案。
如需詳細資訊,請參閱[《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 物件概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingObjects.html)*。*
下列程序說明如何使用 AWS 管理主控台下載日誌檔案。
**下載和讀取日誌檔案**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 選擇儲存貯體,然後選擇您想要下載的日誌檔案。
1. 選擇 **Download** (下載) 或 **Download as** (下載為),然後遵循提示來儲存檔案。這會以壓縮格式儲存檔案。
**注意**
有些瀏覽器 (例如 Chrome) 會自動解壓縮日誌檔案。如果您的瀏覽器自動執行這項操作,則請跳到步驟 5。
1. 使用 [7-Zip](https://www.7-zip.org/) 這類產品來解壓縮日誌檔案。
1. 在 Notepad\$1\$1 這類文字編輯器中開啟日誌檔案。
如需可出現在日誌檔案項目中之事件欄位的詳細資訊,請參閱「[CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)」。
AWS 與第三方記錄和分析專家合作,提供使用 CloudTrail 輸出的解決方案。如需詳細資訊,請參閱 [AWS CloudTrail 合作夥伴](https://aws.amazon.com/cloudtrail/partners/)。
**注意**
您也可以使用「事件歷史記錄」****功能來查詢過去 90 天期間之建立、更新和刪除 API 活動的事件。
如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](view-cloudtrail-events.md)。