Acquisizione e visualizzazione dei file di CloudTrail registro - AWS CloudTrail
Trovare i file di registro CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Acquisizione e visualizzazione dei file di CloudTrail registro

Dopo aver creato un trail e averlo configurato per acquisire i file di log desiderati, devi essere in grado di individuare i file di log e interpretare le informazioni in essi contenute.

CloudTrail consegna i tuoi file di log a un bucket Amazon S3 specificato al momento della creazione del trail. CloudTrail in genere consegna i log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail. Gli eventi di Insights in genere vengono distribuiti nel bucket entro 30 minuti dall'attività insolita. Dopo aver abilitato gli eventi Insights per la prima volta, attendi fino a 36 ore per visualizzare i primi eventi Insights se viene rilevata un'attività insolita.

Nota

Se configuri male il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterai di recapitare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti ai costi standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.

Argomenti

Trovare i file di registro CloudTrail

CloudTrail pubblica i file di registro nel tuo bucket S3 in un archivio gzip. Nel bucket S3, il file di log ha un nome formattato che include i seguenti elementi:

  • Il nome del bucket che hai specificato quando hai creato il trail (disponibile nella pagina Trails della console) CloudTrail

  • Prefisso (opzionale) specificato durante la creazione del trail

  • La stringa "» AWSLogs

  • Numero di account

  • La stringa "CloudTrail" per dati, eventi di gestione

  • La stringa "CloudTrail-Insight» per gli eventi di approfondimento

  • La stringa "CloudTrail-NetworkActivity" per gli eventi di attività di rete

  • La stringa "CloudTrail-Aggregated» per gli eventi aggregati per gli eventi relativi ai dati

  • Un identificatore della regione, ad esempio us-west-1

  • Anno di pubblicazione del file di log nel formato YYYY

  • Mese di pubblicazione del file di log nel formato MM

  • Giorno di pubblicazione del file di log nel formato DD

  • Stringa alfanumerica che disambigua il file dagli altri inclusi nello stesso periodo di tempo

L'esempio seguente mostra il nome completo dell'oggetto del file di registro per i dati e gli eventi di gestione:

amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

L'esempio seguente mostra il nome completo dell'oggetto del file di registro per gli eventi di approfondimento:

amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Insight/region/YYYY/MM/DD/file_name.json.gz

L'esempio seguente mostra il nome completo dell'oggetto del file di registro per gli eventi di attività di rete:

amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-NetworkActivity/region/YYYY/MM/DD/file_name.json.gz

L'esempio seguente mostra un nome oggetto completo del file di registro per le aggregazioni di eventi di dati:

amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Aggregated/region/YYYY/MM/DD/file_name.json.gz
Nota

Per gli itinerari organizzativi, il nome dell'oggetto del file di registro nel bucket S3 include l'ID dell'unità organizzativa nel percorso, come segue:

amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz

Per recuperare un file di log, puoi utilizzare la console Amazon S3, l'interfaccia a riga di comando (CLI) o l'API Amazon S3.

Per trovare i file di log mediante la console Amazon S3

  1. Apri la console Amazon S3.

  2. Scegliere il bucket specificato.

  3. Esplorare la gerarchia di oggetti fino a trovare il file di log desiderato.

    Tutti i file di log hanno l'estensione .gz.

Potrai navigare in una gerarchia di oggetti simile a quella dell'esempio seguente, ma con valori diversi per nome di bucket, ID account, Regione e data.


All Buckets
    amzn-s3-demo-bucket
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20

Un file di log per la precedente gerarchia di oggetti sarà simile alla seguente: 


123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
Nota

Anche se è una possibilità non comune, è possibile ricevere file di log contenenti uno o più eventi duplicati. Nella maggior parte dei casi, gli eventi duplicati avranno lo stesso eventID. Per ulteriori informazioni sul campo eventID, consulta CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete.