运行查询并保存查询结果 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

运行查询并保存查询结果

选择或保存查询后,您可以在事件数据存储中运行查询。

运行查询时,您可以选择将查询结果保存到 Amazon S3 存储桶。在 CloudTrail Lake 中运行查询时,您需要按查询所扫描的数据量付费。将查询结果保存到 S3 存储桶不会产生额外的 CloudTrail Lake 费用,但会产生 S3 存储费用。有关 S3 定价的更多信息,请参阅 Amazon S3 定价

在保存查询结果时,查询结果可能会先在 CloudTrail 控制台中显示,然后才能在 S3 桶中进行查看,这是因为 CloudTrail 在查询扫描完成后才会传送查询结果。虽然大多数查询会在几分钟内完成,但 CloudTrail 可能需要更长的时间才能将查询结果传送到 S3 存储桶,具体取决于事件数据存储的大小。CloudTrail 会采用 gzip 压缩格式将查询结果传送到 S3 存储桶。
平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 6 分钟的延迟。

使用 CloudTrail Lake 运行查询

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 在 CloudTrail 控制台的左侧导航窗格中选择 Lake

  3. Saved queries(已保存查询)或 Sample queries(示例查询)选项卡中,通过在 Query SQL(查询 SQL)列中选择该值,选择要运行的查询。

  4. Editor(编辑器)选项卡的 Event data store(事件数据存储)中,从下拉列表中选择事件数据存储。

  5. (可选)在 Editor(编辑器)选项卡上,选择 Save results to S3(将结果保存到 S3)以将查询结果保存到 S3 存储桶。选择默认 S3 存储桶时,CloudTrail 会创建并应用所需的存储桶策略。有关保存查询结果的更多信息,请参阅 有关已保存查询结果的其他信息

    注意

    要使用其他存储桶,请指定存储桶名称,或选择 Browse S3(浏览 S3)以选择存储桶。存储桶策略必须授予 CloudTrail 向存储桶传送查询结果的权限。有关手动编辑存储桶策略的信息,请参阅用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略

  6. Editor(编辑器)选项卡上,选择 Run(运行)。

    根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。Command output(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 Query results(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。

注意

运行时间超过一小时的查询可能会超时。您仍可获得在查询超时之前处理的部分结果。CloudTrail 不会将部分查询结果传送到 S3 存储桶。要避免超时,您可以通过指定较短的时间范围来优化查询,从而限制扫描的数据量。