Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail

In dieser Schritt-für-Schritt-Anleitung öffnen wir eine der Beispielabfragen, bearbeiten sie, um die Aktionen eines bestimmten Benutzers namens Alice zu finden, und speichern sie als neue Abfrage. Sie können auch eine gespeicherte Abfrage auf der Registerkarte Gespeicherte Abfragen bearbeiten, wenn Sie gespeicherte Abfragen haben. Um die Kosten zu kontrollieren, empfehlen wir Ihnen, Abfragen einzuschränken, indem Sie eventTime-Start- und Ende-Zeitstempel zu Abfragen hinzufügen.

  1. Melden Sie sich bei an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake die Option Abfrage aus.

  3. Wählen Sie auf der Seite Abfrage die Registerkarte Beispielabfragen aus.

  4. Öffnen Sie eine Beispielabfrage, indem Sie den Abfragenamen auswählen. Dies öffnet die Abfrage in der Registerkarte Editor. In diesem Beispiel wählen wir die Abfrage mit dem Namen Benutzeraktionen untersuchen aus und bearbeiten die Abfrage, um die Aktionen für einen bestimmten Benutzer namens Alice zu finden.

  5. Bearbeiten Sie auf der Registerkarte Editor die Zeile WHERE, um den zu untersuchenden Benutzer anzugeben, und aktualisieren Sie die eventTime-Werte nach Bedarf. Der Wert von FROM ist der ID-Teil des Ereignisdatenspeichers ARN und wird automatisch aufgefüllt, CloudTrail wenn Sie den Ereignisdatenspeicher auswählen.

    SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

  6. Sie können eine Abfrage ausführen, bevor Sie sie speichern, um zu überprüfen, ob die Abfrage funktioniert. Um eine Abfrage auszuführen, wählen Sie einen Ereignisdatenspeicher aus der Dropdown-Liste Datenspeicher aus und wählen Sie dann Ausführen aus. Sehen Sie sich die Spalte Status auf der Registerkarte Befehlsausgabe für die aktive Abfrage an, um zu überprüfen, ob eine Abfrage erfolgreich ausgeführt wurde.

  7. Wenn Sie die Beispielabfrage aktualisiert haben, wählen Sie Speichern aus.

  8. Geben Sie unter Abfrage speichern einen Namen und eine Beschreibung für die Abfrage ein. Wählen Sie Abfrage speichern aus, um Ihre Änderungen als neue Abfrage zu speichern. Um Änderungen an einer Abfrage zu verwerfen, wählen Sie Abbrechen oder schließen Sie das Fenster Abfrage speichern.

    Speichern einer geänderten Abfrage
    Anmerkung

    Gespeicherte Abfragen sind an Ihren Browser gebunden. Wenn Sie einen anderen Browser oder ein anderes Gerät für den Zugriff auf die CloudTrail Konsole verwenden, sind die gespeicherten Abfragen nicht verfügbar.

  9. Öffnen Sie die Registerkarte Gespeicherte Abfragen, um die neue Abfrage in der Tabelle anzuzeigen.

    Registerkarte „Gespeicherte Abfragen“, auf der die neue gespeicherte Abfrage angezeigt wird