Ejecute una consulta y guarde los resultados de la consulta con la consola - AWS CloudTrail
Información adicional sobre los resultados de consultas guardadosEjemplo: guardar los resultados de una consulta en un bucket de Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejecute una consulta y guarde los resultados de la consulta con la consola

Presentamos una función de vista previa para las consultas de CloudTrail Lake que utiliza capacidades de inteligencia artificial generativa (IA generativa) para generar una consulta SQL a partir de un mensaje en inglés. Para obtener más información, consulte Cree consultas de CloudTrail Lake a partir de mensajes en inglés.

Después de elegir o guardar una consulta, puede ejecutarla en un almacén de datos de eventos.

Al ejecutar una consulta, tiene la opción de guardar los resultados de la consulta en un bucket de Amazon S3. Cuando ejecutas consultas en CloudTrail Lake, incurres en cargos en función de la cantidad de datos escaneados por la consulta. No hay cargos adicionales de CloudTrail Lake por guardar los resultados de las consultas en un depósito de S3; sin embargo, sí hay cargos de almacenamiento de S3. Para obtener más información acerca de los precios de S3, consulte Precios de Amazon S3.

Al guardar los resultados de la consulta, es posible que los resultados de la consulta se muestren en la CloudTrail consola antes de que se puedan ver en el depósito de S3, ya que se muestran los resultados de la consulta CloudTrail una vez finalizado el escaneo de la consulta. Si bien la mayoría de las consultas se completan en unos minutos, según el tamaño del banco de datos de eventos, la entrega de los resultados de las consultas CloudTrail al bucket de S3 puede tardar mucho más tiempo. CloudTrail entrega los resultados de la consulta al depósito de S3 en formato gzip comprimido. De media, una vez que se complete el escaneo de la consulta, puede esperar una latencia de 60 a 90 segundos por cada GB de datos que se entregue al bucket de S3.

Para ejecutar una consulta con Lake CloudTrail

  1. Inicie sesión AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Consulta.

  3. En las pestañas Consultas guardadas o Consultas de ejemplo, elija el Nombre de la consulta para elegir una consulta para que se ejecute.

  4. En la pestaña Editor (Editor), para Event data store (Almacén de datos de eventos), seleccione un almacén de datos de eventos de la lista desplegable.

  5. (Opcional) En la pestaña Editor, elija Save results to S3 (Guardar resultados en S3) para guardar los resultados de la consulta en un bucket de S3. Al elegir el bucket de S3 predeterminado, CloudTrail crea y aplica las políticas de bucket requeridas. Si eliges el bucket de S3 predeterminado, tu política de IAM debe incluir el permiso para la s3:PutEncryptionConfiguration acción, ya que, de forma predeterminada, el cifrado del lado del servidor está habilitado para el bucket. Para obtener más información sobre cómo guardar los resultados de consultas, consulte Información adicional sobre los resultados de consultas guardados.

    nota

    Para usar un bucket diferente, especifique un nombre de bucket o elija Browse S3 (Examinar S3) para elegir un bucket. La política del bucket debe conceder CloudTrail permisos para enviar los resultados de las consultas al bucket. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para los resultados de consultas de CloudTrail Lake.

  6. En la pestaña Editor (Editor), seleccione Run (Ejecutar).

    Dependiendo del tamaño de su almacén de datos de eventos y del número de días de datos que incluya, una consulta puede tardar varios minutos en ejecutarse. La pestaña Command output (Resultado del comando) muestra el estado de una consulta y si la consulta ha terminado de ejecutarse. Cuando una consulta haya terminado de ejecutarse, abra Query results (Resultados de la consulta) para ver una tabla de resultados de la consulta activa (la consulta que se muestra actualmente en el editor).

nota

Es posible que las consultas que se ejecuten durante más de una hora agoten el tiempo de espera. Aún puedes obtener resultados parciales que se procesaron antes de que se agotara el tiempo de espera de la consulta. CloudTrail no entrega resultados de consultas parciales a un bucket de S3. Para evitar que se agote el tiempo de espera, puede refinar la consulta para limitar la cantidad de datos escaneados si especifica un intervalo de tiempo más estrecho.

Información adicional sobre los resultados de consultas guardados

Después de guardar los resultados de la consulta, puede descargar los resultados de la consulta guardados desde el bucket de S3. Para obtener más información sobre la búsqueda y descarga de los resultados de consultas guardados, consulte Descarga de los resultados de consultas guardados.

También puede validar los resultados de las consultas guardadas para determinar si los resultados de la consulta se modificaron, eliminaron o no cambiaron después de CloudTrail entregarlos. Para obtener más información sobre la validación de resultados de consultas guardados, consulte Valida los resultados de las consultas guardadas en CloudTrail Lake.

Ejemplo: guardar los resultados de una consulta en un bucket de Amazon S3

En este tutorial, se muestra cómo guardar los resultados de las consultas en un bucket de S3 y, a continuación, descargarlos.

Para guardar los resultados de las consultas en un bucket de Amazon S3

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Consulta.

  3. En las pestañas Consultas guardadas o Consultas guardadas, seleccione el nombre de la consulta para seleccionar una consulta para que se ejecute. En este ejemplo, seleccionaremos la consulta de ejemplo denominada Investigar acciones de usuarios.

  4. En la pestaña Editor (Editor), para Event data store (Almacén de datos de eventos), seleccione un almacén de datos de eventos de la lista desplegable. Al elegir el banco de datos del evento de la lista, rellena CloudTrail automáticamente el ID del banco de datos del evento en la From línea.

  5. En esta consulta de ejemplo, editaremos el valor de userIdentity.ARN para especificar un usuario llamado Admin y dejaremos los valores predeterminados para eventTime. Al ejecutar una consulta, se le cobra por la cantidad de datos que se analizan. Para ayudar a controlar los costos, le recomendamos que restrinja las consultas agregando marcas temporales eventTime de inicio y finalización a las consultas.

    Edita el valor de userIdentity.ARN de una consulta de ejemplo

  6. Seleccione Guardar resultados en S3 para guardar los resultados de la consulta en un bucket de S3. Al elegir el bucket de S3 predeterminado, CloudTrail crea y aplica las políticas de bucket requeridas. Si eliges el bucket de S3 predeterminado, tu política de IAM debe incluir el permiso para la s3:PutEncryptionConfiguration acción, ya que, de forma predeterminada, el cifrado del lado del servidor está habilitado para el bucket. En este ejemplo, utilizaremos el bucket de S3 predeterminado.

    nota

    Para usar un bucket diferente, especifique un nombre de bucket o elija Browse S3 (Examinar S3) para elegir un bucket. La política del bucket debe conceder CloudTrail permisos para enviar los resultados de las consultas al bucket. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para los resultados de consultas de CloudTrail Lake.

    Se eligió un bucket de S3 para guardar los resultados de las consultas.

  7. Elija Ejecutar. Dependiendo del tamaño de su almacén de datos de eventos y del número de días de datos que incluya, una consulta puede tardar varios minutos en ejecutarse. La pestaña Command output (Resultado del comando) muestra el estado de una consulta y si la consulta ha terminado de ejecutarse. Cuando una consulta haya terminado de ejecutarse, abra Query results (Resultados de la consulta) para ver una tabla de resultados de la consulta activa (la consulta que se muestra actualmente en el editor).

  8. Cuando se CloudTrail complete la entrega de los resultados de la consulta guardada al depósito de S3, la columna de estado de entrega proporciona un enlace al depósito de S3 que contiene los archivos de resultados de la consulta guardados, así como un archivo de firmas que puede utilizar para verificar los resultados de las consultas guardadas. Seleccione Ver en S3 para ver los archivos de resultados de las consultas y los archivos de firma del bucket de S3.

    nota

    Al guardar los resultados de la consulta, es posible que los resultados de la consulta se muestren en la CloudTrail consola antes de que se puedan ver en el bucket de S3, ya que muestran los resultados de la consulta CloudTrail una vez finalizado el escaneo de la consulta. Si bien la mayoría de las consultas se completan en unos minutos, según el tamaño del banco de datos de eventos, la entrega de los resultados de las consultas CloudTrail al bucket de S3 puede tardar bastante más tiempo. CloudTrail entrega los resultados de la consulta al depósito de S3 en formato gzip comprimido. De media, una vez que se complete el escaneo de la consulta, puede esperar una latencia de 60 a 90 segundos por cada GB de datos que se entregue al bucket de S3.

    Estado de entrega de la consulta en la pestaña Resultado del comando

  9. Para descargar los resultados de la consulta, seleccione el archivo de resultados de la consulta (en este ejemplo, result_1.csv.gz) y, a continuación, seleccione Descargar.

    Descargar el archivo de resultados de la consulta

Para obtener información sobre la validación de resultados de consultas guardados, consulte Valida los resultados de las consultas guardadas en CloudTrail Lake.