Eseguire una query e salvare i risultati della query - AWS CloudTrail

Eseguire una query e salvare i risultati della query

Dopo avere scelto o salvato una query, è possibile eseguirla in un archivio di dati degli eventi.

Quando si esegue query, è possibile salvare i risultati della query in un bucket Amazon S3. Quando si eseguono query in CloudTrail Lake, si incorre in addebiti basati sulla quantità di dati scansionati dalla query. Non sono previsti costi aggiuntivi per CloudTrail Lake per il salvataggio dei risultati della query in un bucket S3, tuttavia sono previsti costi di storage S3. Per ulteriori informazioni sui prezzi, consultare Prezzi di Amazon S3.

Quando salvi i risultati della query, questi potranno essere visualizzati nella console prima di essere visualizzabili nel bucket S3 poiché CloudTrail fornisce i risultati della query al termine della scansione della query. Sebbene la maggior parte delle query venga completata in pochi minuti, a seconda delle dimensioni dell'archivio dati degli eventi, CloudTrail può impiegare molto più tempo per fornire i risultati della query al bucket S3. CloudTrail fornisce i risultati della query al bucket S3 in formato gzip compresso. In media, al termine della scansione delle query, è possibile aspettarsi una latenza di 6 minuti per ogni GB di dati consegnato al bucket S3.

Esecuzione di una query tramite CloudTrail Lake

  1. Accedi alla AWS Management Console e apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Dal pannello di navigazione, apri il sottomenu Lake, quindi scegli Query.

  3. Nelle schede Saved queries (Query salvate) o Sample queries (Query di esempio), scegliere una query da eseguire selezionando il valore nella colonna Query SQL (SQL della query).

  4. Nella scheda Editor, per Event data store (Archivio di dati degli eventi) scegliere un archivio di dati degli eventi dall'elenco a discesa.

  5. (Opzionale) Nella scheda Editor, scegliere Save results to S3 (Salva risultati su S3) per salvare i risultati della query in un bucket S3. Quando si crea un bucket, CloudTrail crea e applica le policy del bucket obbligatorie. Per ulteriori informazioni sui risultati della query, consultare Ulteriori informazioni sui risultati della query salvati.

    Nota

    Per utilizzare un bucket diverso, specificare il nome del bucket o scegliere Browse S3 (Sfoglia S3) per scegliere un bucket. La policy del bucket deve concedere a CloudTrail l'autorizzazione di distribuzione dei risultati della query nel bucket stesso. Per informazioni sulla modifica manuale della policy bucket, consulta Policy del bucket Amazon S3 per i risultati delle query di CloudTrail Lake.

  6. Nella scheda Editor (Modifica), scegliere Run (Esegui).

    A seconda delle dimensioni dell'archivio di dati degli eventi e del numero di giorni di dati inclusi, l'esecuzione di una query può richiedere diversi minuti. La scheda Command output (Output dei comandi) mostra lo stato di una query e se l'esecuzione è terminata. Quando l'esecuzione di una query è terminata, aprire la scheda Query results (Risultati della query) per visualizzare una tabella dei risultati per la query attiva (quella attualmente visualizzata nell'editor).

Nota

Le query che vengono eseguite per più di un'ora potrebbero scadere. È comunque possibile ottenere risultati parziali elaborati prima del timeout della query. CloudTrail non fornisce risultati parziali di query in un bucket S3. Per evitare un timeout, è possibile perfezionare la propria query per limitare la quantità di dati scansionati specificando un intervallo di tempo più ristretto.