Cree o edite una consulta con la consola CloudTrail - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree o edite una consulta con la consola CloudTrail

Presentamos una función de vista previa para las consultas de CloudTrail Lake que utiliza capacidades de inteligencia artificial generativa (IA generativa) para producir una consulta SQL a partir de un mensaje en inglés. Para obtener más información, consulte Cree consultas de CloudTrail Lake a partir de mensajes en inglés.

En este tutorial, abrimos una de las consultas de muestra, la editamos para buscar las acciones hechas por un usuario específico llamado Alice y la guardamos como una nueva consulta. También puede editar una consulta guardada en la pestaña Saved queries (Consultas guardadas), en caso de que tenga consultas guardadas Para ayudar a controlar los costos, le recomendamos que restrinja las consultas agregando marcas temporales eventTime de inicio y finalización a las consultas.

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Consulta.

  3. En la página Query (Consultas), elija la pestaña Sample queries (Consultas de ejemplo).

  4. Para abrir una consulta de ejemplo, elija el Nombre de la consulta. Esto abre la consulta en la pestaña Editor. En este ejemplo, seleccionaremos la consulta denominada Investigar acciones de usuarios y editaremos la consulta para buscar las acciones de un usuario específico denominado Alice.

  5. En la pestaña Editor, edite la línea WHERE para especificar el usuario que desea investigar y actualice los valores de eventTime según sea necesario. El valor de FROM es la parte de ID del ARN del banco de datos de eventos y se rellena automáticamente CloudTrail cuando se elige el banco de datos de eventos.

    SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

  6. Puede ejecutar una consulta antes de guardarla, para verificar que ésta funciona. Para ejecutar una consulta, elija un almacén de datos de eventos de la lista desplegable Event data store (Almacén de datos de eventos) y, a continuación, elija Run (Ejecutar). Compruebe la columna Status (Estado) de la pestaña Command output (Resultado del comando) de la consulta activa para verificar que la consulta se ha ejecutado correctamente.

  7. Cuando haya actualizado la consulta de ejemplo, elija Guardar.

  8. En Save query (Guardar consulta), ingrese un nombre y una descripción para la consulta. Elija Save query (Guardar consulta) para guardar los cambios como una nueva consulta. Para descartar los cambios en una consulta, elija Cancel (Cancelar) o cierre la ventana Save query (Guardar consulta).

    Guardar una consulta modificada
    nota

    Las consultas guardadas están vinculadas al navegador; si utiliza otro navegador o un dispositivo diferente para acceder a la CloudTrail consola, las consultas guardadas no estarán disponibles.

  9. Abra la pestaña Saved queries (Consultas guardadas) para ver la nueva consulta en la tabla.

    Pestaña de consultas guardadas que muestra la nueva consulta guardada