Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Führen Sie eine Abfrage aus und speichern Sie die Abfrageergebnisse mit der Konsole
Anmerkung
Wir stellen eine Vorschaufunktion für CloudTrail Lake-Abfragen vor, die Funktionen der generativen künstlichen Intelligenz (generative KI) nutzt, um anhand einer Eingabeaufforderung in englischer Sprache eine SQL Abfrage zu erstellen. Weitere Informationen finden Sie unter Erstellen Sie CloudTrail Lake-Abfragen anhand von Eingabeaufforderungen in englischer Sprache.
Nachdem Sie eine Abfrage ausgewählt oder gespeichert haben, können Sie eine Abfrage in einem Ereignisdatenspeicher ausführen.
Wenn Sie eine Abfrage ausführen, haben Sie die Möglichkeit, die Abfrageergebnisse in einem Amazon S3-Bucket zu speichern. Wenn Sie Abfragen in CloudTrail Lake ausführen, fallen Gebühren an, die auf der Menge der mit der Abfrage gescannten Daten basieren. Für das Speichern von Abfrageergebnissen in einem S3-Bucket fallen keine zusätzlichen CloudTrail Lake-Gebühren an, es fallen jedoch S3-Speichergebühren an. Weitere Informationen zu S3-Preisen finden Sie unter Preise für Amazon S3
Wenn Sie Abfrageergebnisse speichern, werden die Abfrageergebnisse möglicherweise in der CloudTrail Konsole angezeigt, bevor sie im S3-Bucket angezeigt werden, da CloudTrail die Abfrageergebnisse erst nach Abschluss des Abfragescans angezeigt werden. Die meisten Abfragen werden zwar je nach Größe Ihres Ereignisdatenspeichers innerhalb weniger Minuten abgeschlossen, es kann jedoch erheblich länger dauern, CloudTrail bis Abfrageergebnisse an Ihren S3-Bucket übermittelt werden. CloudTrail übermittelt die Abfrageergebnisse im komprimierten Gzip-Format an den S3-Bucket. Im Durchschnitt können Sie nach Abschluss des Abfragescans mit einer Latenz von 60 bis 90 Sekunden für jedes GB an Daten rechnen, das an den S3-Bucket übermittelt wird.
Um eine Abfrage mit CloudTrail Lake auszuführen
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Wählen Sie im Navigationsbereich unter Lake die Option Abfrage aus.
-
Wählen Sie auf den Registerkarten Gespeicherte Abfragen oder Beispielabfragen eine Abfrage aus, die ausgeführt werden soll, indem Sie den Abfragenamen auswählen.
-
Wählen Sie auf der Registerkarte Editor für Ereignisdatenspeicher einen Ereignisdatenspeicher aus der Dropdown-Liste aus.
-
(Optional) Wählen Sie auf der Registerkarte Editor die Option Ergebnisse in S3 speichern, um die Abfrageergebnisse in einem S3-Bucket zu speichern. Wenn Sie den Standard-S3-Bucket auswählen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie den Standard-S3-Bucket wählen, muss Ihre IAM Richtlinie die Genehmigung für die
s3:PutEncryptionConfiguration
Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist. Weitere Informationen zum Speichern von Abfrageergebnissen finden Sie unter Zusätzliche Informationen über gespeicherte Abfrageergebnisse.Anmerkung
Um einen anderen Bucket zu verwenden, geben Sie einen Bucket-Namen an oder wählen Sie S3 durchsuchen, um einen Bucket auszuwählen. Die Bucket-Richtlinie muss die CloudTrail Erlaubnis erteilen, Abfrageergebnisse an den Bucket zu übermitteln. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon S3 S3-Bucket-Richtlinie für CloudTrail Lake-Abfrageergebnisse.
-
Wählen Sie auf der Registerkarte Editor die Option Ausführen aus.
Abhängig von der Größe Ihres Ereignisdatenspeichers und der Anzahl der darin enthaltenen Daten kann die Ausführung einer Abfrage mehrere Minuten dauern. Die Registerkarte Befehlsausgabe zeigt den Status einer Abfrage an und ob eine Abfrage abgeschlossen ist. Wenn eine Abfrage abgeschlossen ist, öffnen Sie die Option Abfrageergebnisse, um eine Ergebnistabelle für die aktive Abfrage anzuzeigen (die derzeit im Editor angezeigte Abfrage).
Anmerkung
Abfragen, die länger als eine Stunde laufen, können ablaufen. Sie können immer noch Teilergebnisse abrufen, die vor dem Timeout der Abfrage verarbeitet wurden. CloudTrail liefert keine unvollständigen Abfrageergebnisse an einen S3-Bucket. Um eine Zeitüberschreitung zu vermeiden, können Sie Ihre Abfrage verfeinern, um die Menge der gescannten Daten zu begrenzen, indem Sie einen kürzeren Zeitbereich angeben.
Zusätzliche Informationen über gespeicherte Abfrageergebnisse
Nachdem Sie die Abfrageergebnisse gespeichert haben, können Sie die gespeicherten Abfrageergebnisse aus dem S3-Bucket herunterladen. Weitere Informationen zum Suchen und Herunterladen von gespeicherten Abfrageergebnissen finden Sie unter Gespeicherte Abfrageergebnisse herunterladen.
Sie können auch gespeicherte Abfrageergebnisse überprüfen, um festzustellen, ob die Abfrageergebnisse nach CloudTrail der Übermittlung der Abfrageergebnisse geändert, gelöscht oder unverändert wurden. Weitere Informationen zum Validieren von gespeicherten Abfrageergebnissen finden Sie unter In CloudTrail Lake gespeicherte Abfrageergebnisse validieren.
Beispiel: Abfrageergebnisse in einem Amazon S3 S3-Bucket speichern
Diese exemplarische Vorgehensweise zeigt, wie Sie Abfrageergebnisse in einem S3-Bucket speichern und diese Abfrageergebnisse dann herunterladen können.
Speichern von Abfrageergebnissen in einen Amazon-S3-Bucket
-
Melden Sie sich bei an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Wählen Sie im Navigationsbereich unter Lake die Option Abfrage.
-
Wählen Sie auf den Registerkarten Beispielabfragen oder Gespeicherte Abfragen eine Abfrage aus, die ausgeführt werden soll, indem Sie den Abfragenamen auswählen. In diesem Beispiel wählen wir die Beispielabfrage mit dem Namen Benutzeraktionen untersuchen aus.
-
Wählen Sie auf der Registerkarte Editor für Ereignisdatenspeicher einen Ereignisdatenspeicher aus der Dropdown-Liste aus. Wenn Sie den Ereignisdatenspeicher aus der Liste auswählen, CloudTrail wird automatisch die ID des Ereignisdatenspeichers in die
From
Zeile eingetragen. -
In dieser Beispielabfrage bearbeiten wir den
userIdentity.ARN
-Wert, um einen Benutzer mit dem NamenAdmin
anzugeben. Wir behalten die Standardwerte füreventTime
bei. Wenn Sie eine Abfrage ausführen, wird Ihnen die Menge der gescannten Daten berechnet. Um die Kosten zu kontrollieren, empfehlen wir Ihnen, Abfragen einzuschränken, indem SieeventTime
-Start- und Ende-Zeitstempel zu Abfragen hinzufügen. -
Wählen Sie die Option Ergebnisse in S3 speichern, um die Abfrageergebnisse in einem S3-Bucket zu speichern. Wenn Sie den Standard-S3-Bucket auswählen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie den Standard-S3-Bucket wählen, muss Ihre IAM Richtlinie die Genehmigung für die
s3:PutEncryptionConfiguration
Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist. In diesem Beispiel wird der standardmäßige S3-Bucket verwendet.Anmerkung
Um einen anderen Bucket zu verwenden, geben Sie einen Bucket-Namen an oder wählen Sie S3 durchsuchen, um einen Bucket auszuwählen. Die Bucket-Richtlinie muss die CloudTrail Erlaubnis erteilen, Abfrageergebnisse an den Bucket zu übermitteln. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon S3 S3-Bucket-Richtlinie für CloudTrail Lake-Abfrageergebnisse.
-
Wählen Sie Ausführen aus. Abhängig von der Größe Ihres Ereignisdatenspeichers und der Anzahl der darin enthaltenen Daten kann die Ausführung einer Abfrage mehrere Minuten dauern. Die Registerkarte Befehlsausgabe zeigt den Status einer Abfrage an und ob eine Abfrage abgeschlossen ist. Wenn eine Abfrage abgeschlossen ist, öffnen Sie die Option Abfrageergebnisse, um eine Ergebnistabelle für die aktive Abfrage anzuzeigen (die derzeit im Editor angezeigte Abfrage).
-
Wenn die Übermittlung der gespeicherten Abfrageergebnisse an Ihren S3-Bucket CloudTrail abgeschlossen ist, enthält die Spalte Lieferstatus einen Link zum S3-Bucket, der Ihre gespeicherten Abfrageergebnisdateien sowie eine Signierdatei enthält, mit der Sie Ihre gespeicherten Abfrageergebnisse überprüfen können. Wählen Sie In S3 anzeigen, um die Abfrageergebnisdateien anzuzeigen und Dateien im S3-Bucket zu signieren.
Anmerkung
Wenn Sie Abfrageergebnisse speichern, werden die Abfrageergebnisse möglicherweise in der CloudTrail Konsole angezeigt, bevor sie im S3-Bucket sichtbar sind, da CloudTrail die Abfrageergebnisse erst nach Abschluss des Abfragescans angezeigt werden. Die meisten Abfragen werden zwar je nach Größe Ihres Ereignisdatenspeichers innerhalb weniger Minuten abgeschlossen, es kann jedoch erheblich länger dauern, CloudTrail bis Abfrageergebnisse an Ihren S3-Bucket übermittelt werden. CloudTrail übermittelt die Abfrageergebnisse im komprimierten Gzip-Format an den S3-Bucket. Im Durchschnitt können Sie nach Abschluss des Abfragescans mit einer Latenz von 60 bis 90 Sekunden für jedes GB an Daten rechnen, das an den S3-Bucket übermittelt wird.
-
Um Ihre Abfrageergebnisse herunterzuladen, wählen Sie die Abfrageergebnisdatei (in diesem Beispiel
result_1.csv.gz
) und klicken Sie dann auf Herunterladen.
Informationen zum Validieren von gespeicherten Abfrageergebnissen finden Sie unter In CloudTrail Lake gespeicherte Abfrageergebnisse validieren.