创建或编辑查询 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建或编辑查询

在本演练中,我们打开其中一个示例查询,对其进行编辑,以查找名为 Alice 的特定用户执行的操作,然后将其另存为新查询。如果您已保存查询,您也可以在 Saved queries(保存的查询)选项卡上编辑已保存的查询。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择查询

  3. Query(查询)页面上,选择 Sample queries(示例查询)选项卡。

  4. 通过选择查询名称打开示例查询。这将在 Editor(编辑器)选项卡中打开此查询。在此示例中,我们将选择名为调查用户操作的查询,然后编辑查询,以查找名为 Alice 的特定用户的操作。

  5. 编辑器选项卡中,编辑 WHERE 行以指定要调查的用户,并根据需要更新 eventTime 值。的值FROM是事件数据存储 ARN 的 ID 部分,在您选择事件数据存储 CloudTrail 时会自动填充。

    SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

  6. 您可以运行查询,然后再保存,以验证查询是否有效。要运行查询,请从 Event data store(事件数据存储)下拉列表中选择事件数据存储,然后选择 Run(运行)。查看 Command output(命令输出)选项卡的 Status(状态)列中的活跃查询,以验证查询是否成功运行。

  7. 在您更新示例查询后,请选择保存

  8. Save query(保存查询)中,输入查询的名称和描述。选择 Save query(保存查询),将您的更改保存为新查询。要放弃对查询的更改,请选择 Cancel(取消),或者关闭 Save query(保存查询)窗口。

    保存已更改的查询
    注意

    保存的查询与您的浏览器绑定;如果您使用不同的浏览器或不同的设备访问 CloudTrail 控制台,则保存的查询不可用。

  9. 打开 Saved queries(已保存查询)选项卡,以查看表中的新查询。

    显示新保存查询的 “已保存查询” 选项卡