使用 CloudTrail 事件历史记录
您的 AWS 账户会默认启用 CloudTrail,因而自动拥有访问 CloudTrail 事件历史记录的权限。事件历史记录提供对 AWS 区域 中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。这些事件会捕获通过 AWS 管理控制台、AWS Command Line Interface、AWS SDK 和 API 进行的活动。事件历史记录会记录 AWS 区域 中发生的事件。查看事件历史记录不会收取 CloudTrail 费用。
您可以通过查看事件历史记录页面,在 CloudTrail 控制台上按区域查找与 AWS 账户 中的创建、修改或删除资源(例如 IAM 用户或 Amazon EC2 实例)相关的事件。您也可以通过运行 aws cloudtrail
lookup-events 命令或使用 LookupEvents API 来查找这些事件。
您可以在 CloudTrail 控制台上使用事件历史记录页面来查看、搜索、下载、归档、分析和响应您 AWS 基础设施中的账户活动。您可以通过选择要在每个页面上显示的事件数量以及要显示或隐藏的具体列,自定义控制台上的事件历史记录页面的视图。您还可以在事件历史记录中并排比较事件的详细信息。可以使用 AWS SDK 或 AWS Command Line Interface 以编程方式查找事件。
注意
随着时间的推移,AWS 服务 可能会增加其他事件。CloudTrail 会在事件历史记录中记录这些事件,但包含已添加事件的 90 天完整活动记录将在添加事件 90 天后才可用。
事件历史记录与您为账户创建的任何跟踪或事件数据存储不相关。对事件数据存储或跟踪所做的更改不会对事件历史记录产生影响。
以下各节旨在介绍如何使用 CloudTrail 控制台和 AWS CLI 查找最近的管理事件,以及如何下载事件文件。有关使用 LookupEvents API 从 CloudTrail 事件检索信息的内容,请参阅《AWS CloudTrail API Reference》 中的 LookupEvents。
主题
事件历史记录的限制
以下限制适用于事件历史记录。
-
CloudTrail 控制台上的事件历史记录页面仅显示管理事件。它不显示数据事件、Insights 事件或网络活动事件。
-
从 CloudTrail 控制台上的事件历史记录页面下载事件时,您最多可以在一个文件中下载 200,000 个事件。如果达到 200,000 个事件限制,CloudTrail 控制台将提供下载其他文件的选项。
-
事件历史记录不提供组织级别的事件聚合。要记录整个组织的事件,请创建组织事件数据存储或跟踪。
-
事件历史记录搜索限于单个 AWS 账户,仅返回来自单个 AWS 区域的事件,无法查询多个属性。您只能应用一个属性筛选条件和一个时间范围筛选条件。
您可以创建 CloudTrail Lake 事件数据存储,以跨多个属性和 AWS 区域 进行查询。您也可以跨 AWS Organizations 组织中的多个 AWS 账户 进行查询。在 CloudTrail Lake 中,您可以查询多种事件类型,包括管理事件、数据事件、Insights 事件、AWS Config 配置项目、Audit Manager 证据和非 AWS 事件。相比事件历史记录上的简单键和值查询或者通过运行
LookupEvents,CloudTrail Lake 查询提供更深入、更可自定义的事件视图。有关更多信息,请参阅使用 AWS CloudTrail Lake和使用控制台为 CloudTrail 事件创建事件数据存储。 -
您不能从事件历史记录中排除 AWS KMS 或 Amazon RDS Data API 事件;应用于跟踪或事件数据存储的设置不适用于事件历史记录。
