本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 CloudTrail Lake 查询结果保存到 S3 存储桶中
本演练展示了如何将 CloudTrail Lake 查询结果保存到 S3 存储桶中,然后下载这些查询结果。
在 CloudTrail Lake 中运行查询时,会根据查询扫描的数据量产生费用。将查询结果保存到 S3 存储桶不会产生额外的 CloudTrail Lake 费用,但会收取 S3 存储费用。有关 S3 定价的更多信息,请参阅 Amazon S3 定价
保存查询结果时,查询结果可能会先显示在 CloudTrail 控制台中,然后才能在 S3 存储桶中查看,因为查询扫描完成后才会 CloudTrail 提供查询结果。虽然大多数查询会在几分钟内完成,但根据事件数据存储的大小,将查询结果传送 CloudTrail 到 S3 存储桶可能需要更长的时间。 CloudTrail 以压缩的 gzip 格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。
将查询结果保存到 Amazon S3 存储桶中
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择查询。
-
在示例查询或已保存的查询选项卡上,通过选择查询名称来选择要运行的查询。在此示例中,我们将选择名为调查用户操作的示例查询。
-
在 Editor(编辑器)选项卡的 Event data store(事件数据存储)中,从下拉列表中选择事件数据存储。从列表中选择事件数据存储时, CloudTrail 会自动填充
From行中的事件数据存储 ID。 -
在此示例查询中,我们将编辑
userIdentity.ARN值以指定名为Admin的用户,并保留eventTime的默认值。运行查询时,您需要按扫描的数据量付费。为了帮助控制成本,我们建议您通过为查询添加开始和结束eventTime时间戳,来限制查询。 -
选择将结果保存到 S3 中以将查询结果保存到 S3 存储桶中。当您选择默认 S3 存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择默认 S3 存储桶,则您的 IAM 策略需要包含
s3:PutEncryptionConfiguration操作权限,因为默认情况下,该存储桶已启用服务器端加密。有关保存查询结果的更多信息,请参阅 有关已保存查询结果的其他信息。在此示例中,我们将使用默认的 S3 存储桶。注意
要使用其他存储桶,请指定存储桶名称,或选择 Browse S3(浏览 S3)以选择存储桶。存储桶策略必须授予向存储桶传送查询结果的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略。
-
选择运行。根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。Command output(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 Query results(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。
-
将保存的查询结果传送到您的 S3 存储桶 CloudTrail 后,“交付状态” 列将提供指向 S3 存储桶的链接,其中包含您保存的查询结果文件以及可用于验证保存的查询结果的签名文件。选择在 S3 中查看以查看 S3 存储桶中的查询结果文件和签名文件。
注意
保存查询结果时,查询结果可能会先显示在 CloudTrail 控制台中,然后才能在 S3 存储桶中查看,因为查询扫描完成后才会 CloudTrail 提供查询结果。虽然大多数查询会在几分钟内完成,但根据事件数据存储的大小,将查询结果传送 CloudTrail 到 S3 存储桶可能需要更长的时间。 CloudTrail 以压缩的 gzip 格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。
-
要下载查询结果,请选择查询结果文件(在此示例中为
result_1.csv.gz),然后选择下载。
有关验证保存的查询结果的信息,请参阅 验证已保存的查询结果。