쿼리 생성 또는 편집 - AWS CloudTrail

쿼리 생성 또는 편집

CloudTrail의 쿼리는 SQL로 작성됩니다. 처음부터 SQL로 쿼리를 작성하거나 저장된 쿼리 또는 샘플 쿼리를 열어서 CloudTrail Lake 편집기(Editor) 탭에서 쿼리를 빌드할 수 있습니다. 포함된 샘플 쿼리를 변경 사항으로 덮어쓸 수는 없지만 새 쿼리로 저장할 수 있습니다. 허용되는 SQL 쿼리 언어에 대한 자세한 내용은 CloudTrail Lake SQL 제약 단원을 참조하세요.

무제한 쿼리(예: SELECT * FROM edsID)는 이벤트 데이터 스토어의 모든 데이터를 검색합니다. 비용을 제어하려면 쿼리에 시작 및 끝 eventTime 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다. 다음은 이벤트 시간이 2022년 1월 5일 오후 1시 51분 이후(>)부터 2022년 1월 19일 오후 1시 51분 이전(<)까지 지정된 이벤트 데이터 스토어의 모든 이벤트를 검색하는 예제입니다. 이벤트 데이터 스토어의 최소 보존 기간은 7일이므로 시작 및 종료 eventTime 값 사이의 최소 시간 범위도 7일입니다.

SELECT * FROM eds-ID WHERE eventtime >='2022-01-05 13:51:00' and eventtime < ='2022-01-19 13:51:00'

이 연습에서는 편집하여 샘플 쿼리 중 하나를 Alice와 같은 userIdentity.principalId 값 및 이벤트 이름 ConsoleLogin인 이벤트를 선택하고 새 쿼리로 저장합니다. 저장된 쿼리(Saved queries) 탭에서 저장된 쿼리를 편집할 수도 있습니다(쿼리를 저장한 경우).

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/cloudtrail/에서 CloudTrail 콘솔을 엽니다.

  2. CloudTrail 콘솔의 왼쪽 탐색 창에서 Lake를 선택합니다.

  3. CloudTrail Lake 페이지에서 Sample queries(샘플 쿼리) 탭을 선택합니다.

  4. 쿼리에 대해 SQL 쿼리(Query SQL) 문자열을 선택하여 샘플 쿼리 1(sample query 1)을 엽니다. 그러면 편집기(Editor) 탭의 쿼리가 열립니다.

  5. 편집기(Editor) 탭에서 다음 예제와 같이 FROM, WHERE, 및 GROUP BY에 대한 라인을 추가합니다. 값 FROM은 이벤트 데이터 스토어 ARN의 ID 부분입니다. ARN의 이벤트 데이터 스토어 ID는, 드롭다운 목록에서 선택하려는 이벤트 데이터 저장소가 있는 경우, 왼쪽의 이벤트 데이터 스토어(Event data store) 창에 표시됩니다. 복사(Copy)를 선택하여 쿼리 SQL에 붙여넣을 수 있도록 ID를 클립보드에 복사합니다.

    SELECT userIdentity.principalId, count(*) FROM 5e2676f8-9fce-46ef-8142-3e36a94e6691 WHERE userIdentity.principalId LIKE '%Alice%' AND eventName = 'ConsoleLogin' GROUP BY userIdentity.principalId
  6. 쿼리를 저장하기 전에 쿼리를 실행하여 쿼리가 작동하는지 확인할 수 있습니다. 쿼리를 실행하려면 이벤트 데이터 스토어(Event data store) 드롭다운 목록에서 이벤트 데이터 스토어를 선택한 다음 실행(Run)을 선택합니다. 활성화된 쿼리에 대해 명령 출력(Command output) 탭의 상태(Status) 열을 검토하여 쿼리가 성공적으로 실행되었는지 확인합니다.

  7. 샘플 쿼리에 라인을 추가한 경우 저장(Save)을 선택합니다.

  8. 쿼리 저장(Save query)에서 쿼리에 대한 이름 및 설명을 입력합니다. 쿼리 저장(Save query)을 선택하여 변경 사항을 새 쿼리로 저장합니다. 쿼리에 대한 변경 사항을 취소하려면 취소(Cancel)를 선택하거나 쿼리 저장(Save query) 창을 닫습니다.

    
                        변경된 쿼리 저장
    참고

    저장된 쿼리는 사용자 브라우저에 연결됩니다. 다른 브라우저 또는 다른 장치를 사용하여 CloudTrail 콘솔에 액세스하는 경우 저장된 쿼리를 사용할 수 없습니다.

  9. 저장된 쿼리(Saved queries) 탭을 열고 테이블에서 새 쿼리를 볼 수 있습니다.

    
                        저장된 쿼리 탭

쿼리 편집기 도구

쿼리 편집기의 오른쪽 상단에 있는 도구 모음은 SQL 쿼리를 작성하고 서식을 지정하는 데 도움이 되는 명령을 제공합니다.


                    쿼리 편집기 도구 모음

다음 단원에서는 도구의 명령에 대해 설명합니다.

  • Undo(실행 취소) - 쿼리 편집기에서 마지막으로 변경한 내용을 되돌립니다.

  • Redo(다시 실행) - 쿼리 편집기에서 마지막으로 변경한 내용을 반복합니다.

  • Format selected(선택한 형식) - SQL 서식 및 띄어쓰기 규칙에 따라 쿼리 편집기 내용을 정렬합니다.