关于aws-CloudTrail-操作日志的解析-审计-说明

关于aws-CloudTrail 的 Event history 我们最多只能查询到90天的操作记录

于是我们需要配置CloudTrail-记录保存到s3 bucket ，配置方法将在后续的文章中讲到

今天主要讲解 CloudTrail 日志的格式解析，有如下一些知识要点

1、不同的Region会在不同的文件夹中，（cn-north-1 、cn-northwest-1）

2、目录层级,最小是到天（部分）为  AWS-Account-xxx/CloudTrail/cn-north-1/2023/06/01/

3、文件名称如-339076555343_CloudTrail_cn-north-1_20230601T0430Z_SmXI95SVjFPvrlil.json.gz

4、文件解压后，json文件，内容只有一行，所以的内容都写在一行中，可以通过Records键得到一个包含所有的事件列表List

5、通过对事件列表进行遍历，可以得到所有的Event事件~

 

因为不同的事件可能的key名称和数量都不一样，于是笔者对CloudTrail 事件的key字段进行了如下的统计：

统计的方法可以参考笔者的另一篇文章：https://www.cnblogs.com/5201351/p/17494409.html

当前遇到的一级key有如下一些：

27 ['eventVersion', 'userIdentity', 'eventTime', 'eventSource', 'eventName', 'awsRegion', 'sourceIPAddress', 'userAgent', 'requestParameters', 'responseElements', 'requestID', 'eventID', 'readOnly', 'resources', 'eventType', 'managementEvent', 'recipientAccountId', 'eventCategory', 'tlsDetails', 'additionalEventData', 'sharedEventID', 'vpcEndpointId', 'apiVersion', 'errorCode', 'errorMessage', 'serviceEventDetails', 'sessionCredentialFromConsole']

遇到的Common通用的，就是事件都有的一级key有如下10个

10 ['eventVersion', 'userIdentity', 'eventTime', 'eventSource', 'eventName', 'awsRegion', 'sourceIPAddress', 'userAgent', 'requestParameters', 'responseElements']

因为是通过一定数量的日志文件进行分析提取的，当然可能不全、笔者将在后续进行持续更新

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17493086.html