使用控制台运行查询并保存查询结果 - Amazon CloudTrail
有关已保存查询结果的其他信息示例:将查询结果保存到 Amazon S3 存储桶
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用控制台运行查询并保存查询结果

选择或保存查询后,您可以在事件数据存储中运行查询。

运行查询时,您可以选择将查询结果保存到 Amazon S3 存储桶。在 CloudTrail Lake 中运行查询时,您需要按查询所扫描的数据量付费。将查询结果保存到 S3 存储桶不会产生额外的 CloudTrail Lake 费用,但会产生 S3 存储费用。有关 S3 定价的更多信息,请参阅 Amazon S3 定价

保存查询结果时,查询结果可能会先在 CloudTrail 控制台中显示,然后才能在 S3 存储桶中进行查看,这是因为,查询扫描完成后才会 CloudTrail 传送查询结果。虽然大多数查询会在几分钟内完成,但 S3 存储桶可能需要更长的时间才能将查询结果传送 CloudTrail 到 S3 存储桶,具体取决于事件数据存储的大小。 CloudTrail 将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。

使用 La CloudTrail ke 运行查询

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择查询

  3. 已保存查询示例查询选项卡中,通过选择查询名称来选择要运行的查询。

  4. Editor(编辑器)选项卡的 Event data store(事件数据存储)中,从下拉列表中选择事件数据存储。

  5. (可选)在 Editor(编辑器)选项卡上,选择 Save results to S3(将结果保存到 S3)以将查询结果保存到 S3 存储桶。选择默认 S3 存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择默认 S3 存储桶,则您的 IAM 策略需要包含 s3:PutEncryptionConfiguration 操作的权限,因为默认情况下,存储桶已启用服务器端加密。有关保存查询结果的更多信息,请参阅 有关已保存查询结果的其他信息

    注意

    要使用其他存储桶,请指定存储桶名称,或选择 Browse S3(浏览 S3)以选择存储桶。存储桶策略必须授予向存储桶传送查询结果的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略

  6. Editor(编辑器)选项卡上,选择 Run(运行)。

    根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。Command output(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 Query results(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。

注意

运行时间超过一小时的查询可能会超时。您仍可获得在查询超时之前处理的部分结果。 CloudTrail 不会将部分查询结果传送到 S3 存储桶。要避免超时,您可以通过指定较短的时间范围来优化查询,从而限制扫描的数据量。

有关已保存查询结果的其他信息

保存查询结果后,可从 S3 存储桶下载已保存的查询结果。有关寻找和下载已保存查询结果的更多信息,请参阅 下载已保存的查询结果

您也可以验证已保存的查询结果,以确定查询结果在 CloudTrail 传送后是否已修改、删除或未更改。有关验证已保存查询结果的更多信息,请参阅 验证 CloudTrail Lake 保存的查询结果

示例:将查询结果保存到 Amazon S3 存储桶

此演练为您展示如何将查询结果保存到 S3 存储桶中,然后下载这些查询结果。

将查询结果保存到 Amazon S3 存储桶中

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,在 Lake 下,选择查询

  3. 示例查询已保存的查询选项卡上,通过选择查询名称来选择要运行的查询。在此示例中,我们将选择名为调查用户操作的示例查询。

  4. Editor(编辑器)选项卡的 Event data store(事件数据存储)中,从下拉列表中选择事件数据存储。当从列表中选择事件数据存储时, CloudTrail 会自动在From行中填充事件数据存储 ID。

  5. 在此示例查询中,我们将编辑 userIdentity.ARN 值以指定名为 Admin 的用户,并保留 eventTime 的默认值。运行查询时,您需要按扫描的数据量付费。为了帮助控制成本,我们建议您通过为查询添加开始和结束 eventTime 时间戳,来限制查询。

  6. 选择将结果保存到 S3 中以将查询结果保存到 S3 存储桶中。选择默认 S3 存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择默认 S3 存储桶,则您的 IAM 策略需要包含 s3:PutEncryptionConfiguration 操作的权限,因为默认情况下,存储桶已启用服务器端加密。在此示例中,我们将使用默认的 S3 存储桶。

    注意

    要使用其他存储桶,请指定存储桶名称,或选择 Browse S3(浏览 S3)以选择存储桶。存储桶策略必须授予向存储桶传送查询结果的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略

  7. 选择运行。根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。Command output(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 Query results(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。

  8. 在将保存的查询结果传送到 S3 存储桶中 CloudTrail 后,传送状态列将提供指向 S3 存储桶的链接,其中包含保存的查询结果文件以及可用于验证保存的查询结果的签名文件。选择在 S3 中查看以查看 S3 存储桶中的查询结果文件和签名文件。

    注意

    保存查询结果时,查询结果可能会先在 CloudTrail 控制台中显示,然后才能在 S3 存储桶中进行查看,这是因为,查询结果会在查询扫描完成后才会 CloudTrail 传送查询结果。虽然大多数查询会在几分钟内完成,但 S3 存储桶可能需要更长的时间才能将查询结果传送 CloudTrail 到 S3 存储桶,具体取决于事件数据存储的大小。 CloudTrail 将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。

  9. 要下载查询结果,请选择查询结果文件(在此示例中为 result_1.csv.gz),然后选择下载

有关验证保存的查询结果的信息,请参阅 验证 CloudTrail Lake 保存的查询结果