クエリの例 - AWS CloudTrail
コンソールでのサンプルクエリの表示例: 2023 年 1 月 22 日に CreateBucket の呼び出しを行った、すべてのプリンシパルユーザーの ID を検索する例: あるユーザーが 2023 年 1 月 22 日に呼び出しを行った、すべての API を検索する例: 2023 年 1 月 1 日以降の API 呼び出し数を、eventName と eventSource でグループ化して検索する例: 一連のリージョンでコンソールにサインインしたすべてのユーザーを検索する例: 2023 年 1 月中に実行された、すべての CloudTrail Lake クエリを検索する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クエリの例

このセクションでは、CloudTrail コンソールでサンプルクエリにアクセスする方法を説明し、使用を開始するために役立つ CloudTrail Lake クエリの例をいくつか示します。

注記

また、GitHub コミュニティが作成したクエリも表示することができます。詳細と、これらのサンプルクエリの表示については、GitHub ウェブサイトの「CloudTrail Lake sample queries」(CloudTrail Lake サンプルクエリ) を参照してください。AWS CloudTrail では、GitHub にあるクエリの評価を行っていません。

CloudTrail コンソールでのサンプルクエリの表示

CloudTrail コンソールには、独自クエリの作成を開始するために役立つ、サンプルクエリが多数用意されています。

CloudTrail コンソールでサンプルクエリにアクセスするには

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudtrail/で CloudTrail コンソールを開きます。

  2. ナビゲーションペインの [Lake] で、[クエリ] を選択します。

  3. [Sample queries] (サンプルクエリ) タブを開きます。

  4. サンプルクエリを編集するには、クエリ名を選択します。クエリ実行の詳細については、「クエリを実行し、クエリ結果を保存する」を参照してください。

例: 2023 年 1 月 22 日に CreateBucket の呼び出しを行った、すべてのプリンシパルユーザーの ID を検索する

SELECT 
    userIdentity.principalid, 
    eventName 
FROM 
    event_data_store_ID
WHERE 
    userIdentity.principalid IS NOT NULL 
AND 
    eventTime > '2023-01-22 00:00:00' 
AND 
    eventTime < '2023-01-23 00:00:00' 
AND 
    eventName='CreateBucket'

結果

{
    "QueryStatus": "FINISHED",
    "QueryStatistics": {
        "ResultsCount": 1,
        "TotalResultsCount": 1,
        "BytesScanned": 25077
    },
    "QueryResultRows": [
        [
            {
                "principalid": "principal_ID"
            },
            {
                "eventName": "CreateBucket"
            }
        ]
    ]
}

例: あるユーザーが 2023 年 1 月 22 日に呼び出しを行った、すべての API を検索する

SELECT 
    eventID, 
    eventName, 
    eventSource, 
    eventTime
FROM 
    event_data_store_ID
WHERE 
    userIdentity.username = 'bob' 
AND 
    eventTime > '2023-01-22 00:00:00' 
AND 
    eventTime < '2023-01-23 00:00:00'

結果

{
    "QueryStatus": "FINISHED",
    "QueryStatistics": {
        "ResultsCount": 2,
        "TotalResultsCount": 2,
        "BytesScanned": 13287
    },
    "QueryResultRows": [
        [
            {
                "eventID": "EXAMPLE-c3b6-43e4-aa35-b2490EXAMPLE"
            },
            {
                "eventName": "DescribeQuery"
            },
            {
                "eventSource": "cloudtrail.amazonaws.com"
            },
            {
                "eventTime": "2023-01-22 16:53:53.000"
            }
        ],
        [
            {
                "eventID": "EXAMPLE6-ac95-4b37-b587-76a80EXAMPLE"
            },
            {
                "eventName": "ListBuckets"
            },
            {
                "eventSource": "s3.amazonaws.com"
            },
            {
                "eventTime": "2023-01-22 20:25:01.000"
            }
        ]
    ]
}

例: 2023 年 1 月 1 日以降の API 呼び出し数を、eventNameeventSource でグループ化して検索する

SELECT 
    eventSource, 
    eventName, 
    COUNT(*) AS apiCount
FROM 
    event_data_store_ID
WHERE 
    eventTime > '2023-01-01 00:00:00' 
GROUP BY 
    eventSource, eventName 
ORDER BY 
    apiCount DESC

結果

{
    "QueryStatus": "FINISHED",
    "QueryStatistics": {
        "ResultsCount": 3,
        "TotalResultsCount": 3,
        "BytesScanned": 10442
    },
    "QueryResultRows": [
        [
            {
                "eventSource": "s3.amazonaws.com"
            },
            {
                "eventName": "PutObject"
            },
            {
                "apiCount": "96059"
            }
        ],
        [
            {
                "eventSource": "dynamodb.amazonaws.com"
            },
            {
                "eventName": "DescribeTable"
            },
            {
                "apiCount": "49426"
            }
        ],
        [
            {
                "eventSource": "sts.amazonaws.com"
            },
            {
                "eventName": "AssumeRole"
            },
            {
                "apiCount": "45617"
            }
        ]
    ]
}

例: 一連のリージョンでコンソールにサインインしたすべてのユーザーを検索する

SELECT 
    eventTime, 
    useridentity.arn, 
    awsRegion
FROM 
    event_data_store_ID
WHERE 
    awsRegion in ('us-east-1', 'us-west-2') 
AND
    eventName = 'ConsoleLogin'

結果

{
    "QueryStatus": "FINISHED",
    "QueryStatistics": {
        "ResultsCount": 2,
        "TotalResultsCount": 2,
        "BytesScanned": 15580
    },
    "QueryResultRows": [
        [
            {
                "eventTime": "2022-02-08 19:54:44.000"
            },
            {
                "arn": "arn:aws:sts::123456789012:assumed-role/example-identity"
            },
            {
                "awsRegion": "us-east-1"
            }
        ],
        [
            {
                "eventTime": "2022-01-21 16:38:27.000"
            },
            {
                "arn": "arn:aws:sts::123456789012:assumed-role/example-identity"
            },
            {
                "awsRegion": "us-west-2"
            }
        ]
    ]
}

例: 2023 年 1 月中に実行された、すべての CloudTrail Lake クエリを検索する

SELECT 
    element_at(responseElements, 'queryId'), 
    element_at(requestParameters, 'queryStatement')
FROM 
    event_data_store_ID
WHERE 
    eventName='StartQuery' 
AND 
    eventSource = 'cloudtrail.amazonaws.com' 
AND 
    responseElements IS NOT NULL
AND 
    eventTime > '2023-01-01 00:00:00' 
AND 
    eventTime < '2023-02-01 00:00:00'

結果

{
    "QueryStatus": "FINISHED",
    "QueryStatistics": {
        "ResultsCount": 1,
        "TotalResultsCount": 1,
        "BytesScanned": 13002
    },
    "QueryResultRows": [
        [
            {
                "_col0": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE"
            },
            {
                "_col1": "select * from event_data_store_ID limit 1;"
            }
        ]
    ]
}