Creazione o modifica di una query - AWS CloudTrail
Strumenti dell'editor di query

Creazione o modifica di una query

Le query in CloudTrail sono create in SQL. È possibile creare una query nella scheda Editor di CloudTrail Lake scrivendo la query in SQL partendo da zero o aprendo una query salvata o di esempio e modificandola. Non è possibile sovrascrivere una query di esempio con le proprie modifiche, ma è possibile salvarla come nuova query. Per ulteriori informazioni sul linguaggio SQL consentito per le query, consultare Vincoli SQL di CloudTrail Lake.

Una query illimitata (come ad esempio SELECT * FROM edsID) scansiona tutti i dati presenti nell'archivio di dati degli eventi. Per semplificare il controllo dei costi, consigliamo di vincolare le query aggiungendovi marche temporali eventTime di inizio e di fine. Di seguito è riportato un esempio che cerca tutti gli eventi in un archivio di dati degli eventi specificato in cui l'ora dell'evento è successiva (>) al 5 gennaio 2022 alle 13:51 e precedente (<) al 19 gennaio 2022 alle 13:51. Poiché un archivio di dati degli eventi ha un periodo di conservazione minimo di sette giorni, il tempo minimo tra l'inizio e la fine dei valori eventTime è di sette giorni.

SELECT *
FROM eds-ID
WHERE
     eventtime >='2022-01-05 13:51:00' and eventtime < ='2022-01-19 13:51:00'

In questa spiegazione passo per passo, apriamo una delle query di esempio, la modifichiamo per selezionare gli eventi che hanno il valore userIdentity.principalId uguale ad Alice e un nome evento di ConsoleLogin e infine la salviamo come nuova query. È possibile modificare una query salvata anche nella scheda Saved queries (Query salvate), se ne hai salvata qualcuna.

  1. Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Dal pannello di navigazione, apri il sottomenu Lake, quindi scegli Query.

  3. Nella pagina Query, scegli la scheda Sample queries (Query di esempio).

  4. Aprire sample query 1 (query di esempio 1) scegliendo la stringa Query SQL (SQL della query) per la query. La query viene visualizzata nella scheda Editor.

  5. Nella scheda Editor, aggiungere righe per FROM, WHERE e GROUP BY come mostrato nell'esempio seguente. Il valore di FROM è la parte dell'ID dell'ARN dell'archivio di dati degli eventi. L'ID dell'archivio di dati degli eventi tratto dall'ARN viene visualizzato nel pannello Event data store (Archivio di dati degli eventi) a sinistra quando seleziona l'archivio di dati degli eventi di proprio interesse nell'elenco a discesa. Scegliere Copy (Copia) per copiare l'ID negli appunti, in modo da poterlo successivamente incollare nell'SQL della query.

    SELECT
     userIdentity.principalId, count(*)
FROM
     5e2676f8-9fce-46ef-8142-3e36a94e6691
WHERE
     userIdentity.principalId LIKE '%Alice%'
     AND eventName = 'ConsoleLogin'
GROUP BY
     userIdentity.principalId

  6. Per verificare che la query funzioni, prima di salvarla è possibile eseguirla. Per eseguire una query, scegliere un archivio di dati degli eventi dall'elenco a discesa Event data store (Archivi di dati degli eventi), quindi scegliere Run (Esegui). Consultare la colonna Status (Stato) della scheda Command output (Output dei comandi) per la query attiva per verificare che sia stata eseguita correttamente.

  7. Dopo avere aggiunto le righe alla query di esempio, scegliere Save (Salva).

  8. In Save query (Salva la query), inserire un nome e una descrizione per la query. Scegliere Save query (Salva la query) per salvare le modifiche come nuova query. Per eliminare le modifiche apportate a una query, scegliere Cancel (Annulla) oppure chiudere la finestra Save query (Salva la query).

    Salvataggio di una query modificata
    Nota

    Le query salvate sono collegate al browser; se utilizzi un browser diverso o un dispositivo diverso per accedere alla console CloudTrail, le query salvate non sono disponibili.

  9. Aprire la scheda Saved queries (Query salvate) per visualizzare la nuova query nella tabella.

    Scheda Query salvate

Strumenti dell'editor di query

Una barra degli strumenti in alto a destra dell'editor di query offre dei comandi che consentono di creare e formattare la query SQL.

Barra degli strumenti dell'editor di query

Di seguito sono elencati i comandi disponibili nella barra degli strumenti.

  • Undo (Annulla): annulla l'ultima modifica del contenuto apportata nell'editor di query.

  • Redo (Ripeti): ripristina l'ultima modifica del contenuto apportata nell'editor di query.

  • Format selected (Formato selezionato): dispone il contenuto dell'editor di query in base alle convenzioni di formattazione e spaziatura di SQL.