创建或编辑查询 - Amazon CloudTrail
查询编辑器工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建或编辑查询

CloudTrail 中的查询采用 SQL 编写。您可以在 CloudTrail Lake Editor(编辑器)选项卡上构建查询,方法是从头开始用 SQL 编写查询,或者打开已保存的查询或示例查询并对其进行编辑。您无法用更改覆盖已包含的示例查询,但可以将其另存为新查询。有关允许的 SQL 查询语言的详细信息,请参阅 CloudTrail Lake SQL 限制

无界查询(例如 SELECT * FROM edsID)会扫描事件数据存储中的所有数据。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。以下示例搜索指定事件数据存储中的所有事件,其中事件时间介于(>)2022 年 1 月 5 日下午 1:51 和(<)2022 年 1 月 19 日下午 1:51 之间。由于事件数据存储的保留期至少为七天,因此开始和结束 eventTime 值之间的最短时间跨度值也是七天。

SELECT *
FROM eds-ID
WHERE
     eventtime >='2022-01-05 13:51:00' and eventtime < ='2022-01-19 13:51:00'

在本演练中,我们打开其中一个示例查询,对其进行编辑,以选择值为 userIdentity.principalId(如 Alice)以及事件名称为 ConsoleLogin 的事件,然后将其另存为新查询。如果您已保存查询,您也可以在 Saved queries(保存的查询)选项卡上编辑已保存的查询。

  1. 在 CloudTrail Lake 页面上,打开 Sample queries(示例查询)选项卡。

  2. 通过为查询选择 Query SQL(查询 SQL)字符串,打开示例查询 1。这将在 Editor(编辑器)选项卡中打开此查询。

  3. Editor(编辑器)选项卡中,为 FROMWHEREGROUP BY 添加行,如以下示例所示。FROM 的值是事件数据存储 ARN 的 ID 部分。当您在下拉列表中选择了要选择的事件数据存储时,ARN 中的事件数据存储 ID 将显示在左侧的 Event data store(事件数据存储)窗格中。选择 Copy(复制)将 ID 复制到剪贴板,以便您可以将其粘贴到查询 SQL 中。

    SELECT
     userIdentity.principalId, count(*)
FROM
     5e2676f8-9fce-46ef-8142-3e36a94e6691
WHERE
     userIdentity.principalId LIKE '%Alice%'
     AND eventName = 'ConsoleLogin'
GROUP BY
     userIdentity.principalId

  4. 您可以运行查询,然后再保存,以验证查询是否有效。要运行查询,请从 Event data store(事件数据存储)下拉列表中选择事件数据存储,然后选择 Run(运行)。查看 Command output(命令输出)选项卡的 Status(状态)列中的活跃查询,以验证查询是否成功运行。

  5. 在您将行添加到示例查询后,请选择 Save(保存)。

  6. Save query(保存查询)中,输入查询的名称和描述。选择 Save query(保存查询),将您的更改保存为新查询。要放弃对查询的更改,请选择 Cancel(取消),或者关闭 Save query(保存查询)窗口。

    保存已更改的查询
    注意

    保存的查询已绑定至您的浏览器;如果您使用其它浏览器或设备访问 CloudTrail 控制台,则保存的查询将不可用。

  7. 打开 Saved queries(已保存查询)选项卡,以查看表中的新查询。

    保存的查询选项卡

查询编辑器工具

查询编辑器右上角的工具栏提供多个命令,以帮助编写 SQL 查询和对其进行格式化。

查询编辑器工具栏

下表介绍了工具栏上的命令。

  • Undo(撤消)– 恢复在查询编辑器中所做的上次内容更改。

  • Redo(重做)– 重复在查询编辑器中所做的上次内容更改。

  • Format selected(已选格式)–根据 SQL 格式和间距惯例,排列查询编辑器内容。