Execute uma consulta e salve os resultados da consulta com o console - AWS CloudTrail
Informações adicionais sobre resultados de consultas salvasExemplo: salvar os resultados da consulta em um bucket do Amazon S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Execute uma consulta e salve os resultados da consulta com o console

nota

Apresentando um recurso de pré-visualização para consultas do CloudTrail Lake que usa recursos de inteligência artificial generativa (IA generativa) para produzir uma SQL consulta a partir de um prompt em inglês. Para ter mais informações, consulte Crie consultas CloudTrail do Lake a partir de instruções em inglês.

Após escolher ou salvar uma consulta, você poderá executar uma consulta em um armazenamento de dados de eventos.

Ao executar uma consulta, você tem a opção de salvar os resultados de consulta em um bucket do Amazon S3. Ao executar consultas no CloudTrail Lake, você incorre em cobranças com base na quantidade de dados digitalizados pela consulta. Não há cobranças adicionais do CloudTrail Lake para salvar os resultados da consulta em um bucket do S3. No entanto, há cobranças de armazenamento do S3. Para obter mais informações sobre os preços, consulte Preços do Amazon S3.

Quando você salva os resultados da consulta, os resultados da consulta podem ser exibidos no CloudTrail console antes de serem visualizados no bucket do S3, pois CloudTrail entregam os resultados da consulta após a conclusão da verificação da consulta. Embora a maioria das consultas seja concluída em alguns minutos, dependendo do tamanho do seu armazenamento de dados de eventos, pode levar muito mais tempo para entregar os resultados da consulta CloudTrail ao seu bucket do S3. CloudTrail entrega os resultados da consulta ao bucket do S3 no formato gzip compactado. Em média, após a conclusão da análise da consulta, você pode esperar uma latência de 60 a 90 segundos para cada GB de dados entregue ao bucket do S3.

Para executar uma consulta usando o CloudTrail Lake

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Nas guias Consultas de exemplo ou Consultas salvas, escolha uma consulta a ser executada escolhendo o valor na coluna Nome da consulta.

  4. Na guia Editor, em Event data store (Armazenamento de dados de eventos), escolha um armazenamento de dados de eventos na lista suspensa.

  5. (Opcional) Na guia Editor, escolha Save results to S3 (Salvar resultados no S3) para salvar os resultados de consulta em um bucket do S3. Quando você escolhe o bucket S3 padrão, CloudTrail cria e aplica as políticas de bucket necessárias. Se você escolher o bucket S3 padrão, sua IAM política precisará incluir permissão para a s3:PutEncryptionConfiguration ação porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Para obter mais informações sobre como salvar resultados de consulta, acesse Informações adicionais sobre resultados de consultas salvas.

    nota

    Para usar um bucket diferente, especifique um nome de bucket ou escolha Browse S3 (Procurar S3) para escolher um bucket. A política do bucket deve conceder CloudTrail permissão para entregar os resultados da consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake.

  6. Na guia Editor, escolha Run (Executar).

    Dependendo do tamanho do armazenamento de dados do evento e do número de dias de dados que ele inclui, uma consulta pode levar vários minutos para ser executada. A guia Command output (Saída do comando) mostra o status de uma consulta e se uma consulta tem a execução concluída. Quando uma consulta terminar de ser executada, abra a guia Query results (Resultados da consulta) para ver uma tabela de resultados para a consulta ativa (a consulta atualmente mostrada no editor).

nota

Consultas que são executadas por mais de uma hora podem expirar. Você ainda pode obter resultados parciais que foram processados antes do tempo limite da consulta. CloudTrail não fornece resultados de consulta parciais para um bucket do S3. Para evitar atingir um tempo limite, você pode refinar sua consulta a fim de limitar a quantidade de dados digitalizados especificando um intervalo de tempo mais restrito.

Informações adicionais sobre resultados de consultas salvas

Após salvar os resultados de consulta, você pode baixar os resultados de consulta salvos diretamente do bucket do S3. Para obter mais informações sobre como localizar e baixar resultados de consultas salvas, acesse Baixar resultados de consulta salvos.

Você também pode validar os resultados da consulta salvos para determinar se os resultados da consulta foram modificados, excluídos ou inalterados após a CloudTrail entrega dos resultados da consulta. Para obter mais informações sobre validação de resultados de consultas salvas, acesse Validar os resultados da consulta salva pelo CloudTrail Lake.

Exemplo: salvar os resultados da consulta em um bucket do Amazon S3

Este passo a passo mostra como você pode salvar os resultados da consulta em um bucket do S3 e, em seguida, fazer o download desses resultados.

Para salvar resultados de consultas em um bucket do Amazon S3

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Nas guias Consultas de exemplo ou Consultas salvas, escolha uma consulta a ser executada escolhendo o valor na coluna Nome da consulta. Neste exemplo, escolheremos a consulta de exemplo chamada Investigar ações do usuário.

  4. Na guia Editor, em Event data store (Armazenamento de dados de eventos), escolha um armazenamento de dados de eventos na lista suspensa. Quando você escolhe o armazenamento de dados do evento na lista, preenche CloudTrail automaticamente o ID do armazenamento de dados do evento na From linha.

  5. Nesta consulta de exemplo, editaremos o valor userIdentity.ARN para especificar um usuário chamado Admin e mantermos os valores padrão para eventTime. Ao executar uma consulta, você é cobrado pela quantidade de dados examinados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

    Editar o valor userIdentity.ARN na consulta de exemplo

  6. Escolha Salvar resultados no S3 para salvar os resultados da consulta em um bucket do S3. Quando você escolhe o bucket S3 padrão, CloudTrail cria e aplica as políticas de bucket necessárias. Se você escolher o bucket S3 padrão, sua IAM política precisará incluir permissão para a s3:PutEncryptionConfiguration ação porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Neste exemplo, usaremos o bucket do S3 padrão.

    nota

    Para usar um bucket diferente, especifique um nome de bucket ou escolha Browse S3 (Procurar S3) para escolher um bucket. A política do bucket deve conceder CloudTrail permissão para entregar os resultados da consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake.

    Bucket S3 escolhido para salvar os resultados da consulta.

  7. Escolha Executar. Dependendo do tamanho do armazenamento de dados do evento e do número de dias de dados que ele inclui, uma consulta pode levar vários minutos para ser executada. A guia Command output (Saída do comando) mostra o status de uma consulta e se uma consulta tem a execução concluída. Quando uma consulta terminar de ser executada, abra a guia Query results (Resultados da consulta) para ver uma tabela de resultados para a consulta ativa (a consulta atualmente mostrada no editor).

  8. Ao CloudTrail concluir a entrega dos resultados da consulta salva no bucket do S3, a coluna Status da entrega fornece um link para o bucket do S3 que contém os arquivos de resultados da consulta salvos, bem como um arquivo de sinal que você pode usar para verificar os resultados da consulta salva. Escolha Visualizar no S3 para visualizar os arquivos de resultados da consulta e os arquivos de assinatura no bucket do S3.

    nota

    Quando você salva os resultados da consulta, os resultados da consulta podem ser exibidos no CloudTrail console antes de serem visualizados no bucket do S3, pois CloudTrail entregam os resultados da consulta após a conclusão da verificação da consulta. Embora a maioria das consultas seja concluída em alguns minutos, dependendo do tamanho do seu armazenamento de dados de eventos, pode levar muito mais tempo para entregar os resultados da consulta CloudTrail ao seu bucket do S3. CloudTrail entrega os resultados da consulta ao bucket do S3 no formato gzip compactado. Em média, após a conclusão da análise da consulta, você pode esperar uma latência de 60 a 90 segundos para cada GB de dados entregue ao bucket do S3.

    Status de entrega da consulta na guia Saída do comando

  9. Para baixar os resultados da consulta, escolha o arquivo de resultados da consulta (neste exemplo, result_1.csv.gz) e escolha Baixar.

    Baixar arquivo de resultados da consulta

Para obter mais informações sobre validação de resultados de consultas salvas, acesse Validar os resultados da consulta salva pelo CloudTrail Lake.