查看查询结果 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看查询结果

查询完成后,您可以查看其结果。查询结果在查询完成后的七天内可用。您可以在 Query results(查询结果)选项卡上查看活跃查询的结果,也可以在 Lake 主页的 Results history(结果历史记录)选项卡上访问所有最近查询的结果。

查询结果可以从较早的查询运行更改为较新的查询,因为可以在查询之间记录查询期间较新的事件。

在保存查询结果时,查询结果可能会先在 CloudTrail 控制台中显示,然后才能在 S3 桶中进行查看,这是因为 CloudTrail 在查询扫描完成后才会传送查询结果。虽然大多数查询会在几分钟内完成,但 CloudTrail 可能需要更长的时间才能将查询结果传送到 S3 存储桶,具体取决于事件数据存储的大小。CloudTrail 会采用 gzip 压缩格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 到 90 秒的延迟。有关寻找和下载已保存查询结果的更多信息,请参阅 获取和下载已保存的查询结果

注意

运行时间超过一小时的查询可能会超时。您仍可获得在查询超时之前处理的部分结果。CloudTrail 不会将部分查询结果传送到 S3 存储桶。要避免超时,您可以通过指定较短的时间范围来优化查询,从而限制扫描的数据量。

  1. 在活跃查询的 Query results(查询结果)选项卡中,每行表示与查询匹配的事件结果。通过在搜索栏中输入全部或部分事件字段值来筛选结果。要复制事件,请选择要复制的事件,然后选择复制

    查询结果

  2. Command output(命令输出)选项卡中,查看有关已运行查询的元数据,例如事件数据存储 ID、运行时间、扫描的结果数以及查询是否成功。如果您将查询结果保存到 Amazon S3 存储桶,则元数据还将包括指向包含已保存查询结果的 S3 存储桶的链接。

    查询命令输出