Crie consultas CloudTrail do Lake a partir de solicitações em linguagem natural

Você pode usar o gerador de consultas CloudTrail Lake para produzir uma consulta a partir de um prompt em inglês fornecido por você. O gerador de consultas usa inteligência artificial generativa (IA generativa) para produzir uma consulta ready-to-use SQL a partir do seu prompt, que você pode optar por executar no editor de consultas do Lake ou ajustar ainda mais. Você não precisa ter amplo conhecimento de SQL ou campos de CloudTrail eventos para usar o gerador de consultas.

A solicitação pode ser uma pergunta ou uma declaração sobre os dados do evento em seu armazenamento de dados de eventos do CloudTrail Lake. Por exemplo, você pode inserir prompts como "What are my top errors in the past month?" and “Give me a list of users that used SNS.”

Um prompt pode ter no mínimo 3 caracteres e no máximo 500 caracteres de extensão.

Não há cobranças por gerar consultas. No entanto, ao executar consultas, você receberá cobranças com base na quantidade de dados examinados que foram otimizados e compactados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

nota

Você pode fornecer feedback sobre uma consulta gerada clicando no botão de polegar para cima ou para baixo exibido abaixo da consulta gerada. Ao fornecer feedback, CloudTrail salva sua solicitação e a consulta gerada.

Não inclua informações pessoais, confidenciais ou sigilosas em seus prompts.

Esse recurso usa modelos generativos de linguagem grande de IA (LLMs); recomendamos verificar novamente a resposta do LLM.

Você pode acessar o gerador de consultas usando o CloudTrail console AWS CLI e.

CloudTrail console

Para usar o gerador de consultas no CloudTrail console

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. No painel de navegação, em Lake, escolha Consulta.

3. Na página Consulta, selecione a guia Editor.

4. Escolha o armazenamento de dados de eventos para o qual deseja criar uma consulta.

5. Na área Gerador de consultas, insira um prompt simples em inglês. Para obter exemplos, consulte Exemplos de prompts.

6. Escolha Gerar consulta. O gerador de consultas tentará gerar uma consulta a partir do prompt. Se for bem-sucedido, o gerador de consultas fornecerá a consulta SQL no editor. Se o prompt não for bem-sucedido, reformule-o e tente novamente.

7. (Opcional) Você pode fornecer feedback sobre a consulta gerada. Para fornecer feedback, clique no botão de polegar para cima ou para baixo exibido abaixo do prompt. Ao fornecer feedback, CloudTrail salva sua solicitação e a consulta gerada.

8. (Opcional) Escolha Executar para executar a consulta.

   nota

   Ao executar consultas, você é cobrado de acordo com a quantidade de dados examinados que foram otimizados e compactados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

9. (Opcional) Se você executar a consulta e houver resultados, poderá escolher Resumir resultados para gerar um resumo em inglês dos resultados da consulta. Essa opção usa inteligência artificial generativa (IA generativa) para produzir o resumo. Para obter mais informações sobre essa opção, consulte Resuma os resultados da consulta em linguagem natural.

   Você pode fornecer feedback sobre o resumo escolhendo o botão de polegar para cima ou para baixo que aparece abaixo do resumo gerado.

   nota

   O recurso de resumo de consultas está na versão prévia do CloudTrail Lake e está sujeito a alterações. Esse recurso está disponível nas seguintes regiões: Ásia-Pacífico (Tóquio), Leste dos EUA (Norte da Virgínia) e Oeste dos EUA (Oregon).

AWS CLI

Para gerar uma consulta com o AWS CLI

Execute o generate-query comando para gerar uma consulta a partir de um prompt em inglês. Para--event-data-stores, forneça o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos que você deseja consultar. Você só pode especificar um armazenamento de dados de eventos. Para--prompt, forneça o aviso em inglês.

aws cloudtrail generate-query 
--event-data-stores arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE \
--prompt "Show me all console login events for the past week?"

Se for bem-sucedido, o comando gera uma instrução SQL e fornece uma QueryAlias que você usará com o start-query comando para executar a consulta em seu armazenamento de dados de eventos.

{
  "QueryStatement": "SELECT * FROM $EDS_ID WHERE eventname = 'ConsoleLogin' AND eventtime >= timestamp '2024-09-16 00:00:00' AND eventtime <= timestamp '2024-09-23 00:00:00' AND eventSource = 'signin.amazonaws.com'",
  "QueryAlias": "AWSCloudTrail-UUID"
}                            

Para executar uma consulta com o AWS CLI

Execute o start-query comando com a QueryAlias saída do generate-query comando no exemplo anterior. Você também tem a opção de executar o start-query comando fornecendo QueryStatement o.

aws cloudtrail start-query --query-alias AWSCloudTrail-UUID

A resposta é uma string de QueryId. Para obter o status de uma consulta, execute describe-query usando o valor QueryId retornado por start-query. Se a consulta tiver êxito, você poderá executar get-query-results para obter os resultados.

{
    "QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE"
}

nota

Consultas que são executadas por mais de uma hora podem expirar. No entanto, ainda é possível obter resultados parciais que foram processados antes do tempo limite da consulta esgotar.

Se você estiver entregando os resultados da consulta para um bucket do S3 usando o --delivery-s3uri parâmetro opcional, a política do bucket deverá conceder CloudTrail permissão para entregar os resultados da consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta do CloudTrail Lake.

Permissões obrigatórias

Tanto as políticas quanto as AdministratorAccessgerenciadas fornecem as permissões necessárias para usar esse recurso. AWSCloudTrail_FullAccess

Você também pode incluir a ação cloudtrail:GenerateQuery em uma política nova ou atual gerenciada pelo cliente ou em uma política em linha.

Suporte de região

Esse recurso é suportado no seguinte Regiões da AWS:

• Região da Ásia-Pacífico (Mumbai) (ap-south-1)

• Região da Ásia-Pacífico (Sydney) (ap-southeast-2)

• Região da Ásia-Pacífico (Tóquio) (ap-northeast-1)

• Região do Canadá (Central) (ca-central-1)

• Região da Europa (Londres) (eu-west-2)

• Região Leste dos EUA (Norte da Virgínia) (us-east-1)

• Região Oeste dos EUA (Oregon) (us-west-2)

Limitações

A seguir estão as limitações do gerador de consultas:

• O gerador de consultas só aceita prompts em inglês.

• O gerador de consultas só pode gerar consultas para armazenamentos de dados de eventos que coletam CloudTrail eventos (eventos de gerenciamento, eventos de dados, eventos de atividade de rede).

• O gerador de consultas não pode gerar consultas para solicitações que não pertençam aos dados do evento CloudTrail Lake.

Exemplos de prompts

Esta seção fornece exemplos de prompts e as consultas SQL resultantes geradas a partir desses prompts.

Se você optar por executar as consultas de exemplo nesta seção, eds-id substitua pelo ID do armazenamento de dados de eventos que você deseja consultar e substitua os carimbos de data e hora pelos carimbos de data/hora apropriados para seu caso de uso. Os carimbos de data e hora têm o seguinte formato: YYYY-MM-DD HH:MM:SS.

Aviso: What are my top errors in the past month?

Consulta SQL:

SELECT
    errorMessage,
    COUNT(*) as eventCount
FROM
    eds-id
WHERE
    errorMessage IS NOT NULL
AND eventTime >= timestamp '2024-05-01 00:00:00'
AND eventTime <= timestamp '2024-05-31 23:59:59'
GROUP BY 1
ORDER BY 2 DESC
LIMIT 2;

Aviso: Give me a list of users that used SNS.

Consulta SQL:

SELECT
    DISTINCT userIdentity.arn AS user
FROM
    eds-id
WHERE
    eventSource = 'sns.amazonaws.com'

Aviso: What are my API counts each day for read and write events in the past month?

Consulta SQL:

SELECT date(eventTime) AS event_date,
    SUM(
        CASE
            WHEN readonly = true THEN 1
            ELSE 0
        END
    ) AS read_events,
    SUM(
        CASE
            WHEN readonly = false THEN 1
            ELSE 0
        END
    ) AS write_events
FROM
    eds-id
WHERE
    eventTime >= timestamp '2024-05-04 00:00:00'
AND eventTime <= timestamp '2024-06-04 23:59:59'
GROUP BY 1
ORDER BY 1 ASC;

Aviso: Show any events with access denied errors for the past three weeks.

Consulta SQL:

SELECT *
FROM 
  eds-id
WHERE
  WHERE (errorCode = 'AccessDenied' OR errorMessage = 'Access Denied')
AND eventTime >= timestamp '2024-05-16 01:00:00'
AND eventTime <= timestamp '2024-06-06 01:00:00'