クエリを作成または編集する - AWS CloudTrail

クエリを作成または編集する

CloudTrail のクエリは SQL で作成されます。クエリは、CloudTrail Lake の [Editor] (エディタ) タブで、SQL でクエリを最初から記述するか、保存されたクエリ、またはサンプルクエリを開いて編集することによって構築できます。包含されているサンプルクエリを独自の変更で上書きすることはできませんが、新しいクエリとして保存することが可能です。許可される SQL クエリ言語の詳細については、「CloudTrail Lake SQL の制約」を参照してください。

無制限のクエリ (SELECT * FROM edsID など) は、イベントデータストア内のすべてのデータをスキャンします。コストを抑えるため、クエリに開始および終了 eventTime タイムスタンプを追加することで、クエリを制限することをお勧めします。以下は、指定されたイベントデータストア内で、イベント時間が 2022 年 1 月 5 日午後 1 時 51 分より後 (>) で、2022 年 1 月 19 日午後 1 時 51 分より前 (<) のすべてのイベントを検索する例です。イベントデータストアの最小保存期間は 7 日間であるため、開始および終了 eventTime 値の間の最小間隔も 7 日間です。

SELECT * FROM eds-ID WHERE eventtime >='2022-01-05 13:51:00' and eventtime < ='2022-01-19 13:51:00'

このチュートリアルでは、サンプルクエリの 1 つを開き、Alice のような userIdentity.principalId 値と、ConsoleLogin のイベント名を持つイベントを選択するように編集して、新しいクエリとして保存します。クエリを保存している場合は、[Saved queries] (保存されたクエリ) タブで保存されたクエリを編集することもできます。

  1. CloudTrail [Lake] (レイク) ページで、[Sample queries] (サンプルクエリ) タブを開きます。

  2. クエリ用の [Query SQL] (クエリ SQL) 文字列をクリックして [sample query 1] (サンプルクエリ 1) を開きます。そうすると、[Editor] (エディタ) タブでこのクエリが開きます。

  3. 以下の例にあるように、[Editor] (エディタ) タブで FROMWHERE、および GROUP BY の行を追加します。FROM の値は、イベントデータストアの ARN の ID の部分です。ARN からのイベントデータストア ID は、左側の [Event data store] (イベントデータストア) ペインで、ロップダウンリストで目的のイベントデータストアが選択されているときに表示されます。クエリ SQL に貼り付けることができるように、[Copy] (コピー) をクリックして ID をクリップボードにコピーします。

    SELECT userIdentity.principalId, count(*) FROM 5e2676f8-9fce-46ef-8142-3e36a94e6691 WHERE userIdentity.principalId LIKE '%Alice%' AND eventName = 'ConsoleLogin' GROUP BY userIdentity.principalId
  4. クエリは、保存する前に実行して、機能することを確認できます。クエリを実行するには、[Event data store] (イベントデータストア) ドロップダウンリストからイベントデータストアを選択して、[Run] (実行)をクリックします。[Command output] (コマンド出力) タブの [Status] (ステータス) 列でアクティブなクエリを確認して、クエリが正常に実行されたことを確認します。

  5. サンプルクエリに行を追加したら、[Save] (保存) をクリックします。

  6. [Save query] (クエリを保存) で、クエリの名前と説明を入力します。[Save query] (クエリを保存) をクリックして、変更を新しいクエリとして保存します。クエリに対する変更を破棄するには、[Cancel] (キャンセル) をクリックするか、[Save query] (クエリを保存) ウィンドウを閉じます。

    
                        変更されたクエリの保存
    注記

    保存されたクエリはブラウザに関連付けられています。異なるブラウザ、または異なるデバイスを使用して CloudTrail コンソールにアクセスする場合、保存されたクエリは使用できません。

  7. [Saved queries] (保存されたクエリ) タブを開くと、表に新しいクエリが表示されます。

    
                        保存されたクエリのタブ

クエリエディタツール

クエリエディタの右上にあるツールバーは、SQL クエリの作成とフォーマットに役立つコマンドを提供します。


                    クエリエディタのツールバー

以下のリストは、ツールバーのコマンドの説明です。

  • [Undo] (元に戻す) – クエリエディタで最後に行ったコンテンツの変更を元に戻します。

  • [Redo] (再実行) – クエリエディタで行った最後のコンテンツ変更を繰り返します。

  • [Format selected] (選択部分のフォーマット) – クエリエディタの内容を SQL のフォーマット規則とスペース規則に従って配列します。