本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 处理 CloudTrail 事件历史记录
<a name="view-cloudtrail-events"></a>

CloudTrail 默认情况下，您的 AWS 账户已启用，并且您可以自动访问 CloudTrail 事件历史记录。事件历史记录提供对 AWS 区域中过去 90 天发生的管理事件的可查看、可搜索、可下载和不可变记录。这些事件捕获通过 AWS 管理控制台、 AWS Command Line Interface、 AWS SDKs和进行的活动 APIs。事件历史记录记录了事件 AWS 区域 发生地的事件。查看事件历史记录不 CloudTrail 收取任何费用。

您可以通过查看事件**历史记录页面，在 CloudTrail 控制台中按地区查找与创建、修改或删除资源（例如 IAM 用户或 Amazon EC2 实例）相关的事件**。 AWS 账户 您也可以通过运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html) 命令或使用 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API 来查找这些事件。

 您可以使用 CloudTrail 控制台上的**事件历史记录**页面来查看、搜索、下载、存档、分析和响应 AWS 基础架构中的账户活动。您可以通过选择要在每个页面上显示的事件数量以及要显示或隐藏的具体列，[自定义](view-cloudtrail-events-console.md#displaying-cloudtrail-events)控制台上的**事件历史记录**页面的视图。您还可以比较事件历史记录中事件的详细信息 side-by-side。您可以使用 AWS SDKs 或 AWS Command Line Interface以编程方式[查找事件](view-cloudtrail-events-cli.md)。

 

**注意**  
随着时间的推移， AWS 服务 可能会添加其他事件。 CloudTrail 将这些事件记录在事件历史记录中，但是包含已添加事件的 90 天完整活动记录要等到添加事件 90 天后才可用。  
事件历史记录与您为账户创建的任何跟踪或事件数据存储不相关。对事件数据存储或跟踪所做的更改不会对事件历史记录产生影响。

以下各节介绍如何使用 CloudTrail 控制台和查找最近的管理事件 AWS CLI，并介绍如何下载事件文件。有关使用 `LookupEvents` API 从 CloudTrail 事件中检索信息的信息，请参阅 *AWS CloudTrail API 参考[LookupEvents](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)*中的。

**主题**
+ [事件历史记录的限制](#event-history-limitations)
+ [使用控制台查看最近的管理事件](view-cloudtrail-events-console.md)
+ [使用查看最近的管理事件 AWS CLI](view-cloudtrail-events-cli.md)

## 事件历史记录的限制
<a name="event-history-limitations"></a>

以下限制适用于事件历史记录。
+  CloudTrail 控制台上的**事件历史记录**页面仅显示管理事件。它不显示数据事件、Insights 事件或网络活动事件。
+ 事件历史记录仅限于过去 90 天的事件。要持续记录您的事件 AWS 账户，请创建[事件数据存储](query-event-data-store-cloudtrail.md)或[跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)。
+ 当你从 CloudTrail 控制台的事件**历史记录页面下载事件**时，你可以在一个文件中下载多达 200,000 个事件。如果您达到 200,000 个事件上限，则 CloudTrail 主机将提供下载其他文件的选项。
+ 事件历史记录不提供组织级别的事件聚合。要记录整个组织的事件，请创建组织事件数据存储或跟踪。
+ 事件历史搜索仅限于单个事件 AWS 账户，只能从单个事件中返回事件 AWS 区域，并且不能查询多个属性。您只能应用一个属性筛选条件和一个时间范围筛选条件。

  您可以创建 CloudTrail Lake 事件数据存储来查询多个属性和 AWS 区域。您也可以跨组织 AWS 账户 中的多个 AWS Organizations 组织进行查询。在 CloudTrail Lake 中，您可以查询多种事件类型，包括管理事件、数据事件、Insights 事件、 AWS Config 配置项目、Audit Manager 证据和非AWS 事件。 CloudTrail 与事件**历史记录页面上的简单键和值查询或运行`LookupEvents`相比，Lake 查询提供了更深入、更可自定义的事件**视图。有关更多信息，请参阅[与 L AWS CloudTrail ake 合作](cloudtrail-lake.md)和[使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。
+ 您不能从事件历史记录中排除 AWS KMS 或 Amazon RDS Data API 事件；您应用于跟踪或事件数据存储的设置不适用于事件历史记录。