创建或编辑查询
CloudTrail 中的查询采用 SQL 编写。您可以在 CloudTrail Lake Editor(编辑器)选项卡上构建查询,方法是从头开始用 SQL 编写查询,或者打开已保存的查询或示例查询并对其进行编辑。您无法用更改覆盖已包含的示例查询,但可以将其另存为新查询。有关允许的 SQL 查询语言的详细信息,请参阅 CloudTrail Lake SQL 限制。
无界查询(例如 SELECT * FROM
)会扫描事件数据存储中的所有数据。为了帮助控制成本,我们建议您通过为查询添加开始和结束 edsID
eventTime
时间戳,来限制查询。以下示例搜索指定事件数据存储中的所有事件,其中事件时间介于(>
)2022 年 1 月 5 日下午 1:51 和(<
)2022 年 1 月 19 日下午 1:51 之间。由于事件数据存储的保留期至少为七天,因此开始和结束 eventTime
值之间的最短时间跨度值也是七天。
SELECT * FROM
eds-ID
WHERE eventtime >='2022-01-05 13:51:00' and eventtime < ='2022-01-19 13:51:00'
在本演练中,我们打开其中一个示例查询,对其进行编辑,以选择值为 userIdentity.principalId
(如 Alice
)以及事件名称为 ConsoleLogin
的事件,然后将其另存为新查询。如果您已保存查询,您也可以在 Saved queries(保存的查询)选项卡上编辑已保存的查询。
-
登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail
。 -
在 CloudTrail 控制台的左侧导航窗格中选择 Lake。
-
在 CloudTrail Lake 页面上,选择 Sample queries(示例查询)选项卡。
-
通过为查询选择 Query SQL(查询 SQL)字符串,打开示例查询 1。这将在 Editor(编辑器)选项卡中打开此查询。
-
在 Editor(编辑器)选项卡中,为
FROM
、WHERE
和GROUP BY
添加行,如以下示例所示。FROM
的值是事件数据存储 ARN 的 ID 部分。当您在下拉列表中选择了要选择的事件数据存储时,ARN 中的事件数据存储 ID 将显示在左侧的 Event data store(事件数据存储)窗格中。选择 Copy(复制)将 ID 复制到剪贴板,以便您可以将其粘贴到查询 SQL 中。SELECT userIdentity.principalId, count(*) FROM 5e2676f8-9fce-46ef-8142-3e36a94e6691 WHERE userIdentity.principalId LIKE '%Alice%' AND eventName = 'ConsoleLogin' GROUP BY userIdentity.principalId
-
您可以运行查询,然后再保存,以验证查询是否有效。要运行查询,请从 Event data store(事件数据存储)下拉列表中选择事件数据存储,然后选择 Run(运行)。查看 Command output(命令输出)选项卡的 Status(状态)列中的活跃查询,以验证查询是否成功运行。
-
在您将行添加到示例查询后,请选择 Save(保存)。
-
在 Save query(保存查询)中,输入查询的名称和描述。选择 Save query(保存查询),将您的更改保存为新查询。要放弃对查询的更改,请选择 Cancel(取消),或者关闭 Save query(保存查询)窗口。
注意 保存的查询已绑定至您的浏览器;如果您使用其它浏览器或设备访问 CloudTrail 控制台,则保存的查询将不可用。
-
打开 Saved queries(已保存查询)选项卡,以查看表中的新查询。
查询编辑器工具
查询编辑器右上角的工具栏提供多个命令,以帮助编写 SQL 查询和对其进行格式化。

下表介绍了工具栏上的命令。
-
Undo(撤消)– 恢复在查询编辑器中所做的上次内容更改。
-
Redo(重做)– 重复在查询编辑器中所做的上次内容更改。
-
Format selected(已选格式)- 根据 SQL 格式和间距惯例,排列查询编辑器内容。