クエリ結果を表示する

クエリが終了したら、その結果を表示できます。クエリの結果は、クエリの終了後 7 日間使用できます。アクティブなクエリの結果は、[Query results] (クエリ結果) タブで表示できます。または、[Lake] ホームページの [Results history] (結果履歴) タブで、最近のクエリすべての結果にアクセスすることができます。

クエリとクエリの間にクエリ期間内の後続イベントがログに記録される場合があるため、クエリの結果は古いクエリ実行と新しいクエリ実行で変化する場合があります。

CloudTrail はクエリスキャンの完了後にクエリ結果を配信するため、クエリ結果を保存する場合、S3 バケットに表示される前にクエリ結果が CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分内で完了しますが、イベントデータストアのサイズによっては、CloudTrail がクエリ結果を S3 バケットに配信するまでに長く時間がかかる場合があります。CloudTrail はクエリ結果を gzip 圧縮形式で S3 バケットに配信します。クエリスキャンの完了後は、S3 バケットに配信されるデータ 1 GB ごとに平均 60～90 秒のレイテンシーの発生が予想されます。保存したクエリ結果の検索とダウンロードの詳細については、「保存したクエリ結果の取得とダウンロード」を参照してください。

注記

1 時間以上実行するクエリは、タイムアウトすることがあります。クエリがタイムアウトする前に、処理済みの部分的な結果を取得することはできます。CloudTrail は S3 バケットに部分的なクエリ結果を配信しません。タイムアウトを回避するには、クエリを絞り込んでスキャンされるデータ量を制限する時間範囲を狭くすることができます。

1. アクティブなクエリの [Query results] (クエリ結果) タブでは、各行がクエリに一致したイベント結果を表しています。検索バーにイベントフィールドの値を全部または一部入力して、結果をフィルタリングします。イベントをコピーするには、コピーするイベントを選択し、[コピー] をクリックします。

   

2. [Command output] (コマンド出力) タブで、イベントデータストア ID、実行時間、スキャンされた結果の数、およびクエリが成功したかどうかなど、実行されたクエリに関するメタデータを表示します。クエリ結果を Amazon S3 バケットに保存した場合、メタデータには保存されたクエリ結果を含む S3 バケットへのリンクも含まれます。