本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 CloudTrail 控制台创建或编辑查询
创建或编辑查询

在本演练中，我们打开其中一个示例查询，对其进行编辑，以查找名为 `Alice` 的特定用户执行的操作，然后将其另存为新查询。如果您已保存查询，您也可以在 **Saved queries**（保存的查询）选项卡上编辑已保存的查询。为了帮助控制成本，我们建议您通过为查询添加开始和结束 `eventTime` 时间戳，来限制查询。

1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。

1.  在导航窗格中，在 **Lake** 下，选择**查询**。

1. 在**查询**页面上，选择**示例查询**选项卡。

1. 通过选择**查询名称**打开示例查询。这将在 **Editor**（编辑器）选项卡中打开此查询。在此示例中，我们将选择名为**调查用户操作**的查询，然后编辑查询，以查找名为 `Alice` 的特定用户的操作。

1. 在**编辑器**选项卡中，编辑 `WHERE` 行以指定要调查的用户，并根据需要更新 `eventTime` 值。的值`FROM`是事件数据存储 ARN 的 ID 部分，在您选择事件数据存储 CloudTrail 时会自动填充。

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. 您可以运行查询，然后再保存，以验证查询是否有效。要运行查询，请从 **Event data store**（事件数据存储）下拉列表中选择事件数据存储，然后选择 **Run**（运行）。查看 **Command output**（命令输出）选项卡的 **Status**（状态）列中的活跃查询，以验证查询是否成功运行。

1. 在您更新示例查询后，请选择**保存**。

1. 在 **Save query**（保存查询）中，输入查询的名称和描述。选择 **Save query**（保存查询），将您的更改保存为新查询。要放弃对查询的更改，请选择 **Cancel**（取消），或者关闭 **Save query**（保存查询）窗口。  
![\[保存已更改的查询\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/query-save.png)
**注意**  
保存的查询与您的浏览器绑定；如果您使用不同的浏览器或不同的设备访问 CloudTrail 控制台，则保存的查询不可用。

1. 打开 **Saved queries**（已保存查询）选项卡，以查看表中的新查询。  
![\[显示新保存的查询的“已保存的查询”选项卡\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/query-saved-table.png)