Executar uma consulta e salvar os resultados de consulta - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Executar uma consulta e salvar os resultados de consulta

Após escolher ou salvar uma consulta, você poderá executar uma consulta em um armazenamento de dados de eventos.

Ao executar uma consulta, você tem a opção de salvar os resultados de consulta em um bucket do Amazon S3. Ao executar consultas no CloudTrail Lake, você receberá cobranças com base na quantidade de dados varrida por uma consulta. Não há cobranças adicionais do CloudTrail Lake para salvar os resultados de consulta em um bucket do S3, no entanto, há cobranças de armazenamento do S3. Para obter mais informações sobre os preços, consulte Preços do Amazon S3.

Quando você salva os resultados de consulta, é possível exibi-los no console do CloudTrail antes que seja possível visualizá-los no bucket do S3, pois o CloudTrail fornece os resultados de consulta após a conclusão da verificação da consulta. Embora a maioria das consultas seja concluída em alguns minutos, dependendo do tamanho do seu armazenamento de dados de eventos, a entrega dos resultados de consulta ao seu bucket do S3 por parte do CloudTrail pode levar muito mais tempo. O CloudTrail entrega os resultados de consulta ao bucket do S3 no formato gzip compactado. Em média, após a conclusão da análise da consulta, você pode esperar uma latência de 60 a 90 segundos para cada GB de dados entregue ao bucket do S3.

Para executar uma consulta usando o CloudTrail Lake

  1. Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Nas guias Consultas de exemplo ou Consultas salvas, escolha uma consulta a ser executada escolhendo o valor na coluna Nome da consulta.

  4. Na guia Editor, em Event data store (Armazenamento de dados de eventos), escolha um armazenamento de dados de eventos na lista suspensa.

  5. (Opcional) Na guia Editor, escolha Save results to S3 (Salvar resultados no S3) para salvar os resultados de consulta em um bucket do S3. Ao escolher o bucket padrão do S3, o CloudTrail cria e aplica as políticas necessárias do bucket. Para obter mais informações sobre como salvar resultados de consulta, acesse Informações adicionais sobre resultados de consultas salvas.

    nota

    Para usar um bucket diferente, especifique um nome de bucket ou escolha Browse S3 (Procurar S3) para escolher um bucket. A política de bucket precisa conceder permissão para que o CloudTrail forneça os resultados de consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta do CloudTrail Lake.

  6. Na guia Editor, escolha Run (Executar).

    Dependendo do tamanho do armazenamento de dados do evento e do número de dias de dados que ele inclui, uma consulta pode levar vários minutos para ser executada. A guia Command output (Saída do comando) mostra o status de uma consulta e se uma consulta tem a execução concluída. Quando uma consulta terminar de ser executada, abra a guia Query results (Resultados da consulta) para ver uma tabela de resultados para a consulta ativa (a consulta atualmente mostrada no editor).

nota

Consultas que são executadas por mais de uma hora podem expirar. No entanto, ainda é possível obter resultados parciais que foram processados antes do tempo limite da consulta esgotar. O CloudTrail não fornece resultados parciais de consultas para um bucket do S3. Para evitar atingir um tempo limite, você pode refinar sua consulta a fim de limitar a quantidade de dados digitalizados especificando um intervalo de tempo mais restrito.