如何查看我的 AWS 账户上发生的操作,如控制台登录或终止实例?

AWS CloudTrail 支持您查看和跟踪针对您的账户进行的 API 调用。

CloudTrail 数据可使用 AWS 管理控制台、AWS 命令行界面 (AWS CLI)、适用于 PowerShell 的 AWS 工具进行访问,也可直接通过 API 进行访问。

注意:并非所有 AWS 服务都具有记录的日志并适用于 CloudTrail。有关与 ​CloudTrail 集成的 AWS 服务的列表,请参阅 CloudTrail 的 AWS 服务主题

AWS CloudTrail 控制台中的事件历史记录

在 AWS CloudTrail 控制台事件历史记录部分中,您可以查看过去 90 天内的所有支持的管理事件及事件类型(create、modify、delete 和不可变活动)。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

Amazon CloudWatch Logs

借助 CloudWatch Logs,您可以搜索更改资源状态的操作(如 ​StopInstances)以及不更改资源状态的操作(如 DescribeInstances)。有关如何设置和配置 CloudWatch Logs 的信息,请参阅将 CloudTrail 事件发送到 CloudWatch Logs

请考虑以下事项:

  • 您必须显式配置 CloudTrail 以将日志发送到 CloudWatch Logs,即使跟踪已启用也是如此。
  • ​可能存在多个日志流,​具体取决于事件的大小和数量。​要跨所有流进行搜索,请在选择单个流之前选择 Search Log Group (搜索日志组)
  • 因为 CloudWatch Logs 具有 256KB 的事件大小限制,CloudTrail 不会将超过 256 KB 的事件发送到 CloudWatch Logs。

在配置 CloudWatch Logs 后,执行以下步骤:

  1. 导航到 Amazon CloudWatch console (Amazon CloudWatch 控制台)
  2. 选择导航空格中的 Logs (日志),​然后选择已配置日志组的名称(默认名称为 ​CloudTrail/DefaultLogGroup)。

Amazon Athena

您可以使用 ​Athena 运行查询来对大型 CloudTrail 日志集合进行搜索。有关更多信息,请参阅如何在 Amazon Athena 中自动创建表以搜索 AWS CloudTrail 日志?

Amazon Simple Storage Service (Amazon S3) 已存档日志文件

您可以在 Amazon S3 日志文件中看到 CloudTrail 捕获的所有事件。您可以通过 CloudTrail 处理库AWS CLI 手动分析 S3 存储桶中的日志文件,或将日志发送给 AWS CloudTrail 合作伙伴

作为在 CloudWatch 控制台中搜索事件的替代方法,您可以使用 AWS CLI 命令 filter-log-events。​您还可以使用指标筛选器在日志事件中搜索和匹配词汇、短语和值,并将词汇、短语和值转换为 ​CloudWatch 指标和警报。有关更多信息,请参阅筛选器和模式语法

注意:如果您使用的是 AWS CLI 并计划大规模使用 filter-log-events(例如,自动化或脚本),请考虑使用订阅筛选器,因为 filter-log-events 具有 API 限制。有关 filter-log-events 及其限制的更多信息,请参阅 CloudWatch Logs 限制。​订阅筛选器没有此类限制,而且它们能够实时处理大量日志数据。


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2016 年 9 月 27 日

更新时间:2018 年 8 月 30 日