使用主控台檢視最近的管理事件 - AWS CloudTrail
導覽頁面自訂顯示篩選 CloudTrail 事件檢視事件的詳細資訊下載事件使用 AWS Config檢視所參考的資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台檢視最近的管理事件

您可以使用 CloudTrail 主控台的事件歷史記錄頁面檢視過去 90 天在 AWS 區域中發生的管理事件。您也可以根據選擇的篩選條件和時間範圍,下載具有該資訊的檔案或具有一部分資訊的檔案。您可以透過選取每個頁面上要顯示的事件數量,然後選擇要在主控台上顯示的資料欄,來自訂事件歷史記錄的檢視。您也可以依適用於特定服務的資源類型來查詢和篩選事件。您也可以並排比較Event history (事件歷史記錄) 中的事件詳細資訊。

Event history (事件歷史記錄) 不會顯示資料事件。若要檢視資料事件,請建立事件資料存放區追蹤

90 天後,事件將不再顯示在事件歷史記錄中。您無法從事件歷史記錄手動刪除事件。

您可以透過諮詢特定服務的文件,來進一步了解 CloudTrail 如何記錄該服務的事件之詳細資訊。如需詳細資訊,請參閱AWS CloudTrail 的服務主題

注意

若要持續記錄超過 90 天的活動和事件,請建立事件資料存放區追蹤

若要檢視事件歷史記錄

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/cloudtrail/ 開啟 CloudTrail 主控台。

  2. 在導覽窗格中,選擇 Event history (事件歷史記錄)。您可以看到已篩選的事件清單,並最先顯示最近的事件。事件的預設篩選條件為唯讀,並設為 false。您可以選擇過濾器右側的 X 來清除該篩選條件。

  3. 您可以在單一屬性上篩選事件,您可以從下拉式清單中選擇。若要篩選屬性,請從下拉式清單中選擇屬性,然後輸入屬性的完整值。例如,若要檢視所有主控台登入事件,請選擇事件名稱篩選條件,並指定 ConsoleLogin。或者,若要檢視最近的 S3 管理事件,請選擇事件來源篩選條件,並指定 s3.amazonaws.com

  4. 若要檢視特定管理事件,請選擇事件名稱。在事件詳細資訊頁面上,您可以了解事件的相關詳細資訊,查看任何參考資源以及檢視事件記錄。

  5. 若要比較事件,請透過填寫事件歷史記錄資料表左邊距中的核取方塊,最多可選取五個事件。您可以在比較事件詳細資訊表格中side-by-side檢視所選事件的詳細資訊

  6. 您可以將事件歷史記錄下載為 CSV 或 JSON 格式的檔案。下載事件歷史記錄可能需要幾分鐘的時間。

您可以選擇要檢視的頁面,在事件歷史記錄中導覽不同頁面。您還可以在事件歷史記錄中查看下一頁和上一頁。

選擇 < 可檢視事件歷史記錄的上一頁。

選擇 > 可檢視事件歷史記錄的下一頁。

自訂顯示

您可以從下列偏好設定中選取,在 CloudTrail 主控台上自訂事件歷史記錄的檢視。

  • 頁面大小 - 選擇您想在每個頁面上顯示 10 個、25 個還是 50 個事件。

  • 換行 - 文字換行,以便您查看每個事件的全部文字。

  • 條紋效果 - 表格中相鄰兩列的顏色深淺相間。

  • 事件時間顯示 - 選擇以 UTC 或當地時區顯示事件時間。

  • 選取可見欄 - 選取要顯示的欄。預設會顯示下列欄位:

    • 事件名稱

    • Event time (事件時間)

    • 使用者名稱

    • 事件來源

    • Resource Type (資源類型)

    • 資源名稱

    注意

    您無法變更欄位順序,或從 Event history (事件歷史記錄) 手動刪除事件。

若要自訂顯示

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/cloudtrail/ 開啟 CloudTrail 主控台。

  2. 在導覽窗格中,選擇 Event history (事件歷史記錄)。

  3. 選擇齒輪圖示。

  4. 頁面大小中,選擇要在單個頁面上顯示的總事件數。

  5. 選擇換行,以查看每個事件的全部文字。

  6. 選擇條紋效果,使表格中相鄰兩列的顏色深淺相間。

  7. 對於事件時間顯示,選擇以 UTC 或當地時區顯示事件時間。預設值為選取 UTC。

  8. Select visible columns (選取可見欄位) 中,選取您要顯示的欄位。關閉您不要顯示的欄位。

  9. 完成變更後,選擇確認

篩選 CloudTrail 事件

Event history (事件歷史記錄) 的事件預設顯示使用屬性篩選條件,排除顯示事件清單裡的唯讀事件。此屬性篩選條件名稱為 Read only (唯讀),且設定為 false。可以刪除此篩選條件,顯示讀取事件和寫入事件。若要僅檢視 Read (讀取) 事件,可以把篩選條件改成 true 您也可以依其他屬性篩選事件。您還可以依時間範圍篩選。

注意

您只能套用一個屬性篩選條件和一個時間範圍篩選條件。您無法套用多個屬性篩選條件。

AWS 存取金鑰

用來簽署請求的 AWS 存取金鑰 ID。如果使用暫時性安全登入資料提出請求,則此為暫時性登入資料的存取金鑰 ID。

事件 ID

事件的 CloudTrail ID。每個事件都會有唯一的 ID。

事件名稱

事件的名稱。例如,您可以根據 IAM 事件 (例如 CreatePolicy) 或 Amazon EC2 事件 (例如 RunInstances) 進行篩選。

事件來源

提出請求 AWS 的服務,例如 iam.amazonaws.com.rproxy.govskope.cas3.amazonaws.com。在您選擇 Event source (事件來源) 篩選條件之後,即可捲動事件來源清單。

唯讀

事件的讀取類型。事件可分類為讀取事件或寫入事件。如果設定為 ​false,顯示事件清單就不會包含閱讀事件。預設套用此屬性篩選條件,此值預設設定為 false

資源名稱

事件所參考之資源的名稱或 ID。例如,資源名稱可能是「auto-scaling-test-group」(用於 Auto Scaling 群組) 或「i-12345678910」(用於 EC2 執行個體)。

Resource Type (資源類型)

事件所參考之資源的類型。例如,資源類型可以是 Instance (用於 EC2) 或 DBInstance (用於 RDS)。每個 AWS 服務的資源類型各不相同。

時間範圍

您想要篩選事件的時間範圍。您可以選擇相對範圍絕對範圍。您可以篩選過去 90 天的事件。

使用者名稱

事件所參考的身分。舉例來說,它可以是使用者、角色名稱,或服務角色。

如果在您所選擇的屬性或時間下沒有記錄的事件,則結果清單會是空的。除了時間範圍之外,您只能套用一個屬性篩選條件。如果您選擇不同的屬性篩選條件,則會保留您指定的時間範圍。

下列步驟說明如何依屬性進行篩選。

依屬性篩選

  1. 若要依屬性篩選結果,請從 Lookup attributes (查閱屬性) 下拉式清單選擇屬性,然後在文字方塊中輸入或選擇屬性的值。

  2. 若要移除屬性篩選條件,請選擇屬性篩選條件方塊右側的 X

下列步驟說明如何依開始與結束日期及時間進行篩選。

依開始與結束日期及時間進行篩選

  1. 若要縮小您要查看之事件的時間範圍,請選擇時間範圍列中的時間範圍。您可以選擇相對範圍絕對範圍

    選擇相對範圍以選取預設值,或者選擇自訂範圍。預設值有 30 分鐘、1 小時、12 小時或 1 天。若要指定自訂時間範圍,請選擇 Custom (自訂)。

    選擇絕對範圍以指定特定的開始和結束時間。您還可以選擇當地時區或 UTC。

  2. 若要移除時間範圍篩選條件,請選擇時間範圍列中的清除並關閉

檢視事件的詳細資訊

  1. 在結果清單中選擇事件,以顯示其詳細資訊。

  2. 事件中參照的資源會顯示在 Resources referenced (所參考的資源) 事件詳細資訊頁面上的資料表。

  3. 有些參考的資源可能會有連結。請選擇可開啟該資源之主控台的連結。

  4. 捲動至詳細資訊頁面上的 Event record (事件記錄) 以查看 JSON 事件記錄,也稱為事件酬載

  5. 選擇頁面導覽路徑中的 Event history (事件歷史記錄),以關閉事件詳細資料頁面並返回 Event history (事件歷史記錄)。

下載事件

您可以將已記錄之事件歷史記錄以 CSV 或 JSON 檔案格式下載。您可以在單一檔案中下載最多 200,000 個事件。如果您達到 200,000 個事件限制,CloudTrail 主控台將提供下載其他檔案的選項。善用篩選條件和時間範圍,減少下載的檔案大小。

注意

CloudTrail 事件歷史記錄檔案屬資料檔案,內含個別使用者可設定的資訊 (如資源名稱)。有些資料在用來讀取與分析資料 (CSV injection) 的程式中很可能會被解譯為命令。例如,將 CloudTrail 事件匯出至 CSV 並匯入至試算表程式時,該程式可能會提醒您關於安全方面的考量。您應該選擇停用此內容,以保持系統的安全。請一律停用連結或巨集下載事件歷史記錄檔案。

  1. 事件歷史記錄中針對您想要下載的事件新增篩選條件和時間範圍。例如,您可以指定事件名稱 StartInstances,並指定活動的時間範圍為最後三天。

  2. 選擇 Download events (下載事件),然後選擇 Download as CSV (下載為 CSV) 或 Download as JSON (下載為 JSON)。下載會即刻開始。

    注意

    您的下載可能需要一些時間才能完成。如需更快速的結果,請在您開始下載程序之前,使用更特定的篩選條件或較短的時間範圍來縮小結果範圍。您可以取消下載。如果您取消下載,本機電腦上可能會包含部分事件資料的部分下載。若要下載完整的事件歷史記錄,請重新啟動下載。

  3. 下載完成後,請開啟檔案,以檢視您指定的事件。

  4. 若要取消下載,請選擇 Cancel (取消),然後選擇 Cancel download (取消下載)。如果您需要重新啟動下載,請等到先前的下載完成取消。

使用 AWS Config檢視所參考的資源

AWS Config 會記錄 資源 AWS 的組態詳細資訊、關係和變更。

資源參考窗格中,選擇AWS Config 資源時間軸欄中 AWS Config timeline icon 的 ,以在 AWS Config 主控台中檢視資源。

如果 Shows AWS Config timeline 圖示為灰色、 AWS Config 未開啟,或未記錄資源類型。選擇圖示前往 AWS Config 主控台以開啟服務或開始記錄該資源類型。如需詳細資訊,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用主控台設定

如果 Link not available (連結無法使用) 出現在欄位中,則因下列其中一個原因而無法檢視資源:

  • AWS Config 不支援 資源類型。如需詳細資訊,請參閱中的 AWS Config 開發人員指南 中的支援的資源、組態項目和關係

  • AWS Config 最近新增對資源類型的支援,但尚無法從 CloudTrail 主控台取得。您可以在 AWS Config 主控台中查詢資源,以查看資源的時間軸。

  • 資源由另一個 擁有 AWS 帳戶。

  • 資源由另一個 擁有 AWS 服務,例如受管 IAM 政策。

  • 資源在建立後就立即刪除。

  • 最近建立或更新資源。

若要授予使用者在 AWS Config 主控台中檢視資源的唯讀許可,請參閱 授予在 CloudTrail 主控台上檢視 AWS Config 資訊的許可

如需 的詳細資訊 AWS Config,請參閱 AWS Config 開發人員指南