为什么 Simple Storage Service (Amazon S3) 对象级 API 操作没有显示在我的 CloudTrail 事件历史记录中?

上次更新日期: 2022 年 3 月 3 日

为 Amazon Simple Storage Service (Amazon S3) 存储桶激活了 AWS CloudTrail 对象级事件日志记录。为什么 Simple Storage Service (Amazon S3) 对象级 API 操作没有显示在我的 CloudTrail 事件历史记录中?

简短描述

Simple Storage Service (Amazon S3) 对象级 API 操作是 CloudTrail 数据事件。原定设置下,跟踪记录不会录入数据事件,并且数据事件在 CloudTrail 事件历史记录中不可见。

要在激活数据事件日志记录后查看 Simple Storage Service (Amazon S3) 对象级 API 操作,您必须查询 CloudTrail 日志。

要查询对象级 API 操作的 CloudTrail 日志,您可以使用以下 AWS 服务和功能之一:

有关更多信息,请参阅使用 AWS CloudTrail 记录 Simple Storage Service (Amazon S3) API 调用

注意: 如果您有其他数据源配置了与您的跟踪记录相同的 S3 存储桶,则日志会与 CloudTrail 事件合并。

解决方法

使用 CloudWatch Logs 筛选条件模式来查看对象级 API 操作

按照使用筛选条件模式搜索日志数据中的说明进行操作。

示例 DeleteBucket API 操作的 CloudWatch Logs 筛选条件语法

{$.eventName = "DeleteBucket"}

使用 Athena 查询来查看对象级 API 操作

注意: 要使用 Athena 查询 CloudTrail 日志,您必须配置跟踪记录以登录 Simple Storage Service (Amazon S3) 存储桶。您可以使用 Athena 查询 90 天前的 CloudTrail 日志。

按照如何在 Amazon Athena 中自动创建表以搜索 AWS CloudTrail 日志?中的说明进行操作

示例 GetBucketAcl API 操作的查询

注意: 请将 example-cloudtrail-log 替换为您的 CloudTrail 日志名称。

SELECT *
FROM example-cloudtrail-log
WHERE eventname = 'GetBucketAcl';

有关更多信息,请参阅了解 CloudTrail 日志和 Athena 表