本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudTrail 控制台创建或编辑查询
在本演练中,我们打开其中一个示例查询,对其进行编辑,以查找名为 Alice 的特定用户执行的操作,然后将其另存为新查询。如果您已保存查询,您也可以在 Saved queries(保存的查询)选项卡上编辑已保存的查询。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择查询。
-
在 Query(查询)页面上,选择 Sample queries(示例查询)选项卡。
-
通过选择查询名称打开示例查询。这将在 Editor(编辑器)选项卡中打开此查询。在此示例中,我们将选择名为调查用户操作的查询,然后编辑查询,以查找名为
Alice的特定用户的操作。 -
在编辑器选项卡中,编辑
WHERE行以指定要调查的用户,并根据需要更新eventTime值。的值FROM是事件数据存储 ARN 的 ID 部分,在您选择事件数据存储 CloudTrail 时,会自动填充值。SELECT eventID, eventName, eventSource, eventTime, userIdentity.arn AS user FROMevent-data-store-idWHERE userIdentity.arn LIKE '%Alice%' AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00' -
您可以运行查询,然后再保存,以验证查询是否有效。要运行查询,请从 Event data store(事件数据存储)下拉列表中选择事件数据存储,然后选择 Run(运行)。查看 Command output(命令输出)选项卡的 Status(状态)列中的活跃查询,以验证查询是否成功运行。
-
在您更新示例查询后,请选择保存。
-
在 Save query(保存查询)中,输入查询的名称和描述。选择 Save query(保存查询),将您的更改保存为新查询。要放弃对查询的更改,请选择 Cancel(取消),或者关闭 Save query(保存查询)窗口。
注意
保存的查询已绑定至您的浏览器;如果您使用其它浏览器或设备访问 CloudTrail 控制台,则保存的查询将不可用。
-
打开 Saved queries(已保存查询)选项卡,以查看表中的新查询。
