Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail
<a name="query-create-edit-query"></a>

In dieser Schritt-für-Schritt-Anleitung öffnen wir eine der Beispielabfragen, bearbeiten sie, um die Aktionen eines bestimmten Benutzers namens `Alice` zu finden, und speichern sie als neue Abfrage. Sie können auch eine gespeicherte Abfrage auf der Registerkarte **Gespeicherte Abfragen** bearbeiten, wenn Sie gespeicherte Abfragen haben. Um die Kosten zu kontrollieren, empfehlen wir Ihnen, Abfragen einzuschränken, indem Sie `eventTime`-Start- und Ende-Zeitstempel zu Abfragen hinzufügen.

1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im Navigationsbereich unter **Lake** die Option **Abfrage** aus. 

1. Wählen Sie auf der Seite **Abfrage** die Registerkarte **Beispielabfragen** aus.

1. Öffnen Sie eine Beispielabfrage, indem Sie den **Abfragenamen** auswählen. Dies öffnet die Abfrage in der Registerkarte **Editor**. In diesem Beispiel wählen wir die Abfrage mit dem Namen **Benutzeraktionen untersuchen** aus und bearbeiten die Abfrage, um die Aktionen für einen bestimmten Benutzer namens `Alice` zu finden.

1. Bearbeiten Sie auf der Registerkarte **Editor** die Zeile `WHERE`, um den zu untersuchenden Benutzer anzugeben, und aktualisieren Sie die `eventTime`-Werte nach Bedarf. Der Wert von `FROM` ist der ID-Teil des ARN des Ereignisdatenspeichers und wird automatisch aufgefüllt, CloudTrail wenn Sie den Ereignisdatenspeicher auswählen.

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. Sie können eine Abfrage ausführen, bevor Sie sie speichern, um zu überprüfen, ob die Abfrage funktioniert. Um eine Abfrage auszuführen, wählen Sie einen Ereignisdatenspeicher aus der Dropdown-Liste **Datenspeicher** aus und wählen Sie dann **Ausführen** aus. Sehen Sie sich die Spalte **Status** auf der Registerkarte **Befehlsausgabe** für die aktive Abfrage an, um zu überprüfen, ob eine Abfrage erfolgreich ausgeführt wurde.

1. Wenn Sie die Beispielabfrage aktualisiert haben, wählen Sie **Speichern** aus.

1. Geben Sie unter **Abfrage speichern** einen Namen und eine Beschreibung für die Abfrage ein. Wählen Sie **Abfrage speichern** aus, um Ihre Änderungen als neue Abfrage zu speichern. Um Änderungen an einer Abfrage zu verwerfen, wählen Sie **Abbrechen** oder schließen Sie das Fenster **Abfrage speichern**.  
![\[Speichern einer geänderten Abfrage\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/query-save.png)
**Anmerkung**  
Gespeicherte Abfragen sind an Ihren Browser gebunden. Wenn Sie einen anderen Browser oder ein anderes Gerät für den Zugriff auf die CloudTrail Konsole verwenden, sind die gespeicherten Abfragen nicht verfügbar.

1. Öffnen Sie die Registerkarte **Gespeicherte Abfragen**, um die neue Abfrage in der Tabelle anzuzeigen.  
![\[Registerkarte „Gespeicherte Abfragen“ mit der neuen gespeicherten Abfrage\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/query-saved-table.png)