以容器形式实现的用户空间虚拟化已成为软件应用程序越来越流行的部署方法。当容器在云环境中使用时，会使用Kubernetes之类的编排层来进行自动化和高效的管理。所有大型云服务提供商都提供不同云模型下的容器解决方案，这些方案在用户所需承担的管理责任程度上存在差异。由于容器化应用程序会受到这些设计选择的影响，因此在发生安全事件时，事件响应人员面临着快速获取相关信息的挑战。我们针对AWS的三种不同实际云部署模型（EKS、EKS Fargate和ECS）以及两种逐渐加重的攻击场景，研究了每种情况下可获取的相关信息量。研究发现，在较低权限级别下，关键性的取证证据是无法获取的。我们的研究结果揭示了在云环境中对容器应用程序进行取证分析的局限性，并呼吁云服务提供商在更轻量级的部署模型中提供更多相关信息，以支持事件响应工作。