Crie ou edite uma consulta com o CloudTrail console - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie ou edite uma consulta com o CloudTrail console

Apresentando um recurso de pré-visualização para consultas do CloudTrail Lake que usa recursos de inteligência artificial generativa (IA generativa) para produzir uma consulta SQL a partir de um prompt em inglês. Para ter mais informações, consulte Crie consultas CloudTrail do Lake a partir de instruções em inglês.

Neste passo a passo, abrimos uma das consultas de exemplo, a editamos para encontrar ações realizadas por um usuário específico chamado Alice e a salvamos como uma nova consulta. Você também pode editar uma consulta salva na guia Saved queries (Consultas salvas), caso tenha consultas salvas. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Na página Query (Consulta), escolha a guia Sample queries (Consultas de exemplo).

  4. Abra uma consulta de exemplo escolhendo o Nome da consulta. Isso abre a consulta na guia Editor. Neste exemplo, selecionaremos a consulta chamada Investigar ações do usuário e editaremos a consulta para encontrar as ações de um usuário específico chamado Alice.

  5. Na guia Editor, edite a linha WHERE para especificar o usuário que você deseja investigar e atualize os eventTime valores conforme necessário. O valor de FROM é a parte da ID do ARN do armazenamento de dados do evento e é preenchido automaticamente CloudTrail quando você escolhe o armazenamento de dados do evento.

    SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

  6. Você pode executar uma consulta antes de salvá-la para verificar se a consulta funciona. Para executar uma consulta, escolha um armazenamento de dados de eventos na lista suspensa Event data store (Armazenamentos de dados de eventos) e, em seguida, escolha Run (Executar). Veja a coluna Status da guia Command output (Saída do comando) para a consulta ativa para verificar se uma consulta foi executada com êxito.

  7. Depois de atualizar a consulta de exemplo, escolha Salvar.

  8. Em Save query (Salvar consulta), insira um nome e uma descrição para a consulta. Escolha Save query (Salvar consulta) para salvar suas alterações como a nova consulta. Para descartar as alterações em uma consulta, escolha Cancel (Cancelar) ou feche a janela Save query (Salvar consulta).

    Salvamento de uma consulta alterada
    nota

    As consultas salvas estão vinculadas ao seu navegador; se você usar um navegador ou dispositivo diferente para acessar o CloudTrail console, as consultas salvas não estarão disponíveis.

  9. Abra a guia Saved queries (Consultas salvas) para ver a nova consulta na tabela.

    Aba de consultas salvas mostrando a nova consulta salva