本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
根据自然语言提示创建 CloudTrail Lake 查询
您可以使用 CloudTrail Lake 查询生成器根据您提供的英语提示生成查询。查询生成器使用生成式人工智能(生成式 AI)根据您的提示生成 ready-to-useSQL查询,然后您可以选择在 Lake 的查询编辑器中运行该查询,也可以进行进一步微调。您无需对 CloudTrail 事件字段有广泛的SQL了解即可使用查询生成器。
提示可以是关于 La CloudTrail ke 事件数据存储中事件数据的问题或陈述。例如,你可以输入类似的提示 "What are my top errors in the past month?" 以及 “Give me a list of users that used SNS.”
提示的长度至少为 3 个字符,最多为 500 个字符。
生成查询不收取任何费用;但是,当您运行查询时,需要根据扫描的优化和压缩数据量支付费用。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime
时间戳来限制查询。
注意
您可以通过选择生成的查询下方的大拇指向上或大拇指向下按钮来提供有关生成的查询的反馈。当您提供反馈时, CloudTrail 保存您的提示和生成的查询。
请勿在提示中包含任何个人身份信息、机密信息或敏感信息。
此功能使用生成式 AI 大型语言模型 (LLMs);我们建议仔细检查LLM响应。
您可以使用 CloudTrail 控制台和访问查询生成器 Amazon CLI。
所需的权限
AWSCloudTrail_FullAccess
和AdministratorAccess
托管策略都提供了使用此功能所需的权限。
您也可以将 cloudtrail:GenerateQuery
操作包含在新的或现有的客户托管策略或内联策略中。
区域支持
以下版本支持此功能 Amazon Web Services 区域:
-
亚太地区(孟买)区域 (ap-south-1)
-
亚太地区(悉尼)区域 (ap-southeast-2)
-
亚太地区(东京)区域 (ap-northeast-1)
-
加拿大(中部)区域 (ca-central-1)
-
欧洲(伦敦)区域 (eu-west-2)
-
美国东部(弗吉尼亚州北部)区域 (us-east-1)
-
美国西部(俄勒冈州)区域 (us-west-2)
限制
下面是查询生成器的限制:
-
查询生成器只能接受英文提示。
-
查询生成器只能对收集事件(管理事件、数据 CloudTrail 事件、网络活动事件)的事件数据存储生成查询。
-
查询生成器无法为与 La CloudTrail ke 事件数据无关的提示生成查询。
提示示例
本节提供示例提示以及根据提示生成的SQL查询。
如果您选择运行本节中的示例查询,请eds-id
替换为要查询的事件数据存储的 ID,并将时间戳替换为适合您的用例的时间戳。时间戳采用以下格式:YYYY-MM-DD HH:MM:SS
。
提示:What are my top errors in the past month?
SQL查询:
SELECT errorMessage, COUNT(*) as eventCount FROM
eds-id
WHERE errorMessage IS NOT NULL AND eventTime >= timestamp '2024-05-01 00:00:00
' AND eventTime <= timestamp '2024-05-31 23:59:59
' GROUP BY 1 ORDER BY 2 DESC LIMIT 2;
提示:Give me a list of users that used SNS.
SQL查询:
SELECT DISTINCT userIdentity.arn AS user FROM
eds-id
WHERE eventSource = 'sns.amazonaws.com'
提示:What are my API counts each day for read and write events in the past month?
SQL查询:
SELECT date(eventTime) AS event_date, SUM( CASE WHEN readonly = true THEN 1 ELSE 0 END ) AS read_events, SUM( CASE WHEN readonly = false THEN 1 ELSE 0 END ) AS write_events FROM
eds-id
WHERE eventTime >= timestamp '2024-05-04 00:00:00
' AND eventTime <= timestamp '2024-06-04 23:59:59
' GROUP BY 1 ORDER BY 1 ASC;
提示:Show any events with access denied errors for the past three weeks.
SQL查询:
SELECT * FROM
eds-id
WHERE WHERE (errorCode = 'AccessDenied' OR errorMessage = 'Access Denied') AND eventTime >= timestamp '2024-05-16 01:00:00
' AND eventTime <= timestamp '2024-06-06 01:00:00
'