Exécuter une requête et enregistrer les résultats de la requête avec la console

Note

Présentation d'une fonctionnalité d'aperçu pour les requêtes CloudTrail Lake qui utilise des fonctionnalités d'intelligence artificielle générative (IA générative) pour produire une SQL requête à partir d'une invite en anglais. Pour plus d’informations, consultez Créez des requêtes CloudTrail Lake à partir d'instructions en anglais.

Après avoir choisi ou enregistré une requête, vous pouvez l'exécuter sur un magasin de données d'événement.

Lorsque vous exécutez une requête, vous avez la possibilité d'enregistrer les résultats de la requête dans un compartiment Amazon S3. Lorsque vous exécutez des requêtes dans CloudTrail Lake, des frais sont facturés en fonction de la quantité de données numérisées par la requête. Aucun frais CloudTrail Lake supplémentaire n'est facturé pour l'enregistrement des résultats des requêtes dans un compartiment S3, mais des frais de stockage S3 sont facturés. Pour de plus amples informations sur la tarification S3, veuillez consulter Tarification Amazon S3.

Lorsque vous enregistrez des résultats de requête, ils peuvent s'afficher dans la CloudTrail console avant d'être visibles dans le compartiment S3, car ils sont fournis CloudTrail une fois l'analyse des requêtes terminée. Bien que la plupart des requêtes soient traitées en quelques minutes, selon la taille de votre banque de données d'événements, la transmission des résultats des requêtes CloudTrail à votre compartiment S3 peut prendre beaucoup plus de temps. CloudTrail fournit les résultats de la requête au compartiment S3 au format gzip compressé. En moyenne, une fois l'analyse de la requête terminée, vous pouvez vous attendre à une latence de 60 à 90 secondes pour chaque Go de données envoyé vers le compartiment S3.

Pour exécuter une requête à l'aide de CloudTrail Lake

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

2. Dans le panneau de navigation, sous Lake, choisissez Requête.

3. Dans les onglets Requêtes enregistrées ou Exemples de requêtes, choisissez une requête à exécuter en choisissant le nom de la requête.

4. Dans l’onglet Éditeur, pour Magasin de données d’événement, choisissez un magasin de données d’événement dans la liste déroulante.

5. (Facultatif) Dans l'onglet Editor (Éditeur), choisissez Save results to S3 (Enregistrer les résultats dans S3) pour enregistrer les résultats de la requête dans un compartiment S3. Lorsque vous choisissez le compartiment S3 par défaut, il CloudTrail crée et applique les politiques de compartiment requises. Si vous choisissez le compartiment S3 par défaut, votre IAM politique doit inclure l'autorisation pour l's3:PutEncryptionConfigurationaction, car le chiffrement côté serveur est activé par défaut pour le compartiment. Pour plus d'informations sur l'enregistrement des résultats d'une requête, consultez Informations supplémentaires sur les résultats enregistrés d'une requête.

   Note

   Pour utiliser un compartiment différent, indiquez un nom de compartiment ou choisissez Browse S3 (Parcourir S3) pour sélectionner un compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation de fournir les résultats de la requête au compartiment. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez Politique relative aux compartiments Amazon S3 pour les résultats des requêtes CloudTrail Lake.

6. Dans l’onglet Éditeur, choisissez Exécuter.

   Selon la taille de votre magasin de données d'événement et le nombre de jours de données qu'il inclut, l'exécution d'une requête peut prendre plusieurs minutes. L'onglet Command output (Sortie de la commande) affiche l'état d'une requête, et indique si l'exécution d'une requête est terminée. Lorsque l’exécution d’une requête est terminée, ouvrez l’onglet Résultats des requêtes pour afficher un tableau des résultats de la requête active (la requête actuellement affichée dans l’éditeur).

Note

Les requêtes qui s'exécutent pendant plus d'une heure peuvent prendre fin. Vous pouvez toujours obtenir des résultats partiels qui ont été traités avant l'expiration du délai imparti pour la requête. CloudTrail ne fournit pas de résultats de requête partiels à un compartiment S3. Pour éviter un dépassement de délai, vous pouvez affiner votre requête pour limiter la quantité de données analysées en spécifiant une plage de temps plus étroite.

Informations supplémentaires sur les résultats enregistrés d'une requête

Après avoir enregistré les résultats d'une requête, vous pouvez les télécharger depuis le compartiment S3. Pour plus d'informations sur la recherche et le téléchargement des résultats enregistrés d'une requête, consultez Téléchargement des résultats enregistrés d’une requête.

Vous pouvez également valider les résultats de requête enregistrés afin de déterminer s'ils ont été modifiés, supprimés ou inchangés une fois les résultats CloudTrail fournis. Pour plus d'informations sur la validation des résultats enregistrés d'une requête, consultez Valider les résultats de requête enregistrés par CloudTrail Lake.

Exemple : enregistrer les résultats d'une requête dans un compartiment Amazon S3

Cette procédure pas à pas montre comment enregistrer les résultats d'une requête dans un compartiment S3, puis comment télécharger ces résultats de requête.

Pour enregistrer les résultats d'une requête dans un compartiment Amazon S3

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

2. Dans le panneau de navigation, sous Lake, choisissez Requête.

3. Dans les onglets Requêtes enregistrées ou Exemples de requêtes, choisissez une requête à exécuter en choisissant la valeur dans la colonne SQL de la requête. Dans cet exemple, nous allons choisir l'exemple de requête intitulé Investigate user actions.

4. Dans l’onglet Éditeur, pour Magasin de données d’événement, choisissez un magasin de données d’événement dans la liste déroulante. Lorsque vous choisissez le magasin de données d'événements dans la liste, l'ID du magasin de données d'événements est CloudTrail automatiquement renseigné dans la From ligne.

5. Dans cet exemple de requête, nous allons modifier la valeur userIdentity.ARN pour spécifier un utilisateur nommé Admin, et nous allons conserver les valeurs par défaut pour eventTime. Lorsque vous exécutez une requête, la quantité de données analysées vous est facturée. Pour aider à contrôler les coûts, nous vous recommandons de limiter les requêtes en ajoutant des horodatages eventTime de début et de fin aux requêtes.

   

6. Choisissez Enregistrer les résultats dans S3 pour enregistrer les résultats de la requête dans un compartiment S3. Lorsque vous choisissez le compartiment S3 par défaut, il CloudTrail crée et applique les politiques de compartiment requises. Si vous choisissez le compartiment S3 par défaut, votre IAM politique doit inclure l'autorisation pour l's3:PutEncryptionConfigurationaction, car le chiffrement côté serveur est activé par défaut pour le compartiment. Dans cet exemple, nous utiliserons le compartiment S3 par défaut.

   Note

   Pour utiliser un compartiment différent, indiquez un nom de compartiment ou choisissez Parcourir S3 pour sélectionner un compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation de fournir les résultats de la requête au compartiment. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez Politique relative aux compartiments Amazon S3 pour les résultats des requêtes CloudTrail Lake.

   

7. Cliquez sur Exécuter. Selon la taille de votre magasin de données d’événement et le nombre de jours de données qu’il inclut, l’exécution d’une requête peut prendre plusieurs minutes. L'onglet Command output (Sortie de la commande) affiche l'état d'une requête, et indique si l'exécution d'une requête est terminée. Lorsque l’exécution d’une requête est terminée, ouvrez l’onglet Résultats des requêtes pour afficher un tableau des résultats de la requête active (la requête actuellement affichée dans l’éditeur).

8. Lorsque la livraison des résultats de requête enregistrés à votre compartiment S3 est CloudTrail terminée, la colonne État de livraison fournit un lien vers le compartiment S3 qui contient vos fichiers de résultats de requête enregistrés ainsi qu'un fichier de signature que vous pouvez utiliser pour vérifier les résultats de vos requêtes enregistrés. Choisissez Afficher dans S3 pour afficher les fichiers de résultats de la requête et les fichiers de signature dans le compartiment S3.

   Note

   Lorsque vous enregistrez des résultats de requête, ils peuvent s'afficher dans la CloudTrail console avant d'être visibles dans le compartiment S3, car ils sont fournis CloudTrail une fois l'analyse des requêtes terminée. Bien que la plupart des requêtes soient traitées en quelques minutes, selon la taille de votre banque de données d'événements, la transmission des résultats des requêtes CloudTrail à votre compartiment S3 peut prendre beaucoup plus de temps. CloudTrail fournit les résultats de la requête au compartiment S3 au format gzip compressé. En moyenne, une fois l'analyse de la requête terminée, vous pouvez vous attendre à une latence de 60 à 90 secondes pour chaque Go de données envoyé vers le compartiment S3.

   

9. Pour télécharger les résultats de votre requête, choisissez le fichier de résultats de la requête (en l’occurrence result_1.csv.gz), puis choisissez Télécharger.

   

Pour plus d'informations sur la validation des résultats enregistrés d'une requête, veuillez consulter Valider les résultats de requête enregistrés par CloudTrail Lake.