本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 取得和檢視 CloudTrail 日誌檔案
<a name="get-and-view-cloudtrail-log-files"></a>

在您建立線索並設定其擷取您要的日誌檔案後，您必須要能夠找到日誌檔案，並解釋其中所包含的資訊。

CloudTrail 會將您的日誌檔案交付至您在建立線索時指定的 Amazon S3 儲存貯體。CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞日誌。此時間無法保證。如需詳細資訊，請參閱 [AWS CloudTrail 服務水準協議](https://aws.amazon.com/cloudtrail/sla)。Insights 事件通常會在異常活動的 30 分鐘內送達您的儲存貯體。第一次啟用 Insights 事件之後，如果偵測到異常的活動，可能需等待 36 小時才能看到第一個 Insights 事件。

**注意**  
如果您的追蹤設定錯誤 (例如，S3 儲存貯體無法連線)，CloudTrail 會在 30 天內嘗試重新傳遞日誌檔案到您的 S3 儲存貯體，且您需要為這些嘗試傳遞事件支付標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用，您需要刪除追蹤。

**Topics**
+ [尋找 CloudTrail 日誌檔案](#cloudtrail-find-log-files)
+ [下載 CloudTrail 日誌檔案](cloudtrail-read-log-files.md)

## 尋找 CloudTrail 日誌檔案
<a name="cloudtrail-find-log-files"></a>

CloudTrail 會將日誌檔案以 gzip 封存形式發佈至 S3 儲存貯體。在 S3 儲存貯體中，日誌檔案都有包含下列元素的格式化名稱：
+ 在您建立線索時指定的儲存貯體名稱 (位於 CloudTrail 主控台的 Trails (線索) 頁面上)
+ 在您建立線索時指定的 (選用) 前綴
+ 字串 "AWSLogs"
+ 帳戶號碼
+ 資料、管理事件的字串 "CloudTrail"
+ 洞察事件的字串 "CloudTrail-Insight"
+ 網路活動事件的字串 "CloudTrail-NetworkActivity"
+ 資料事件彙總事件的字串 "CloudTrail-Aggregated"
+ 區域識別符，例如 us-west-1
+ 發佈日誌檔案的年份，格式為 `YYYY`
+ 發佈日誌檔案的月份，格式為 `MM`
+ 發佈日誌檔案的日期，格式為 `DD`
+ 在涵蓋的相同時段中，能自其他檔案區分該檔案的英數字串 

下列範例顯示資料、管理事件的完整日誌檔案物件名稱：

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

下列範例顯示洞見事件的完整日誌檔案物件名稱：

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-Insight/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

下列範例顯示網路活動事件的完整日誌檔案物件名稱：

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-NetworkActivity/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

下列範例顯示資料事件彙總的完整日誌檔案物件名稱：

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{Account ID}}/CloudTrail-Aggregated/{{region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

**注意**  
對於組織追蹤，S3 儲存貯體中的日誌檔案物件名稱會在路徑中包含組織單位 ID，如下所示：  

```
{{amzn-s3-demo-bucket}}/{{prefix_name}}/AWSLogs/{{O-ID}}/{{Account ID}}/CloudTrail/{{Region}}/{{YYYY}}/{{MM}}/{{DD}}/{{file_name.json.gz}}
```

若要擷取日誌檔案，您可以使用 Amazon S3 主控台、Amazon S3 命令列界面 (CLI) 或 API。

**使用 Amazon S3 主控台找到日誌檔案**

1. 開啟 Amazon S3 主控台。

1. 選擇您指定的儲存貯體。

1. 瀏覽物件階層，直到找到您要的日誌檔案。

   所有日誌檔案的副檔名都是 .gz。

您將瀏覽與下列範例類似的物件階層，但使用不同的儲存貯體名稱、帳戶 ID、區域和日期。

```
All Buckets
    amzn-s3-demo-bucket
        AWSLogs
            123456789012
                CloudTrail
                    us-west-1
                        2014
                            06
                                20
```

上述物件階層的日誌檔案如下所示：

```
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
```

**注意**  
雖然很少見，但是您可能會收到包含一或多個重複事件的日誌檔案。在大多數情況下，重複的事件會有相同的 `eventID`。如需 `eventID` 欄位的相關資訊，請參閱 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。