Erstellen Sie CloudTrail Lake-Abfragen anhand von Eingabeaufforderungen in englischer Sprache - AWS CloudTrail
Erforderliche BerechtigungenRegionsunterstützungEinschränkungenBeispielaufforderungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie CloudTrail Lake-Abfragen anhand von Eingabeaufforderungen in englischer Sprache

Der Abfragegenerator für CloudTrail Lake befindet sich in der Vorschauversion in der Region USA Ost (Nord-Virginia) und kann sich ändern.

Sie können den CloudTrail Lake-Abfragegenerator verwenden, um anhand einer von Ihnen bereitgestellten Eingabeaufforderung in englischer Sprache eine Abfrage zu erstellen. Der Abfragegenerator verwendet generative künstliche Intelligenz (generative KI), um anhand Ihrer Eingabeaufforderung eine ready-to-use SQL-Abfrage zu erstellen, die Sie dann im Abfrageeditor von Lake ausführen oder weiter optimieren können. Sie benötigen keine umfassenden Kenntnisse über SQL oder CloudTrail Ereignisfelder, um den Abfragegenerator verwenden zu können.

Die Aufforderung kann eine Frage oder eine Aussage zu den Ereignisdaten in Ihrem CloudTrail Lake-Ereignisdatenspeicher sein. Sie können beispielsweise Eingabeaufforderungen wie „Was sind meine häufigsten Fehler im letzten Monat?“ eingeben und „Geben Sie mir eine Liste der Benutzer, die SNS verwendet haben.“

Eine Aufforderung kann mindestens 3 Zeichen und maximal 500 Zeichen enthalten.

Für das Generieren von Abfragen fallen keine Gebühren an. Wenn Sie Abfragen ausführen, fallen jedoch Gebühren an, die auf der Menge der gescannten optimierten und komprimierten Daten basieren. Um die Kosten unter Kontrolle zu halten, empfehlen wir, Abfragen einzuschränken, indem Sie den Abfragen Start- und eventTime Endzeitstempel hinzufügen.

Anmerkung

Sie können Feedback zu einer generierten Abfrage geben, indem Sie auf die Schaltfläche „Daumen hoch“ oder „Daumen runter“ klicken, die unter der generierten Abfrage angezeigt wird. Wenn Sie Feedback geben, werden Ihre Eingabeaufforderung und die generierte Abfrage CloudTrail gespeichert.

Nehmen Sie in Ihren Eingabeaufforderungen keine personenbezogenen, vertraulichen oder sensiblen Informationen auf.

Diese Funktion verwendet generative KI-Modelle (Large Language Models, LLMs). Wir empfehlen, die LLM-Antwort noch einmal zu überprüfen.

Um den Abfragegenerator auf der Konsole zu verwenden CloudTrail

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake die Option Abfrage.

  3. Wählen Sie auf der Abfrageseite die Registerkarte Editor aus.

  4. Wählen Sie den Ereignisdatenspeicher aus, für den Sie eine Abfrage erstellen möchten.

  5. Geben Sie im Bereich Abfragegenerator eine Aufforderung in einfachem Englisch ein. Beispiele finden Sie unter Beispielaufforderungen.

  6. Wählen Sie „Abfrage generieren“. Der Abfragegenerator versucht, anhand Ihrer Eingabeaufforderung eine Abfrage zu generieren. Bei Erfolg stellt der Abfragegenerator die SQL-Abfrage im Editor bereit. Wenn die Aufforderung nicht erfolgreich ist, formulieren Sie Ihre Aufforderung neu und versuchen Sie es erneut.

  7. (Optional) Wählen Sie Ausführen, um die Abfrage auszuführen.

    Anmerkung

    Wenn Sie Abfragen ausführen, fallen Gebühren an, die auf der Menge der gescannten optimierten und komprimierten Daten basieren. Um die Kosten unter Kontrolle zu halten, empfehlen wir, Abfragen einzuschränken, indem Sie den Abfragen Start- und eventTime Endzeitstempel hinzufügen.

  8. (Optional) Sie können uns Ihr Feedback zu der generierten Abfrage geben. Um Feedback zu geben, wählen Sie die Schaltfläche „Daumen hoch“ oder „Daumen runter“, die unter der Aufforderung angezeigt wird. Wenn Sie Feedback geben, werden Ihre Aufforderung und die generierte Abfrage CloudTrail gespeichert.

Erforderliche Berechtigungen

Um diese Funktion verwenden zu können, müssen Sie die AWSCloudTrail_FullAccessAdministratorAccessOR-Richtlinie verwenden.

Sie können die cloudtrail:GenerateQuery-Aktion auch in eine neue oder bestehende, vom Kunden verwaltete oder integrierte Richtlinie aufnehmen.

Regionsunterstützung

Diese Funktion ist derzeit nur in der Region USA Ost (Nord-Virginia) verfügbar.

Einschränkungen

Im Folgenden sind die Einschränkungen des Abfragegenerators aufgeführt:

  • Der Abfragegenerator kann nur Eingabeaufforderungen in englischer Sprache akzeptieren.

  • Der Abfragegenerator kann nur Abfragen für Ereignisdatenspeicher generieren, die CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse) sammeln.

  • Der Abfragegenerator kann keine Abfragen für Eingabeaufforderungen generieren, die sich nicht auf CloudTrail Lake-Ereignisdaten beziehen.

Beispielaufforderungen

Dieser Abschnitt enthält Beispielaufforderungen und die aus den Eingabeaufforderungen generierten resultierenden SQL-Abfragen.

Wenn Sie die Beispielabfragen in diesem Abschnitt ausführen möchten, ersetzen Sie eds-id durch die ID des Ereignisdatenspeichers, den Sie abfragen möchten, und ersetzen Sie die Zeitstempel durch die entsprechenden Zeitstempel für Ihren Anwendungsfall. Zeitstempel haben das folgende Format:. YYYY-MM-DD HH:MM:SS

Aufforderung: Was sind meine häufigsten Fehler im letzten Monat?

SQL-Abfrage:

SELECT
    errorMessage,
    COUNT(*) as eventCount
FROM
    eds-id
WHERE
    errorMessage IS NOT NULL
AND eventTime >= timestamp '2024-05-01 00:00:00'
AND eventTime <= timestamp '2024-05-31 23:59:59'
GROUP BY 1
ORDER BY 2 DESC
LIMIT 2;

Aufforderung: Geben Sie mir eine Liste der Benutzer, die SNS verwendet haben.

SQL-Abfrage:

SELECT
    DISTINCT userIdentity.arn AS user
FROM
    eds-id
WHERE
    eventSource = 'sns.amazonaws.com'

Eingabeaufforderung: Wie hoch sind meine täglichen API-Zählungen für Lese- und Schreibereignisse im letzten Monat?

SQL-Abfrage:

SELECT date(eventTime) AS event_date,
    SUM(
        CASE
            WHEN readonly = true THEN 1
            ELSE 0
        END
    ) AS read_events,
    SUM(
        CASE
            WHEN readonly = false THEN 1
            ELSE 0
        END
    ) AS write_events
FROM
    eds-id
WHERE
    eventTime >= timestamp '2024-05-04 00:00:00'
AND eventTime <= timestamp '2024-06-04 23:59:59'
GROUP BY 1
ORDER BY 1 ASC;

Eingabeaufforderung: Zeigt alle Ereignisse der letzten drei Wochen an, bei denen der Zugriff verweigert wurde.

SQL-Abfrage:

SELECT *
FROM 
  eds-id
WHERE
  WHERE (errorCode = 'AccessDenied' OR errorMessage = 'Access Denied')
AND eventTime >= timestamp '2024-05-16 01:00:00'
AND eventTime <= timestamp '2024-06-06 01:00:00'