Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cree o edite una consulta con la consola CloudTrail
<a name="query-create-edit-query"></a>

En este tutorial, abrimos una de las consultas de muestra, la editamos para buscar las acciones hechas por un usuario específico llamado `Alice` y la guardamos como una nueva consulta. También puede editar una consulta guardada en la pestaña **Saved queries** (Consultas guardadas), en caso de que tenga consultas guardadas Para ayudar a controlar los costos, le recomendamos que restrinja las consultas agregando marcas temporales `eventTime` de inicio y finalización a las consultas.

1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  En el panel de navegación, en **Lago**, elija **Consulta**. 

1. En la página **Query** (Consultas), elija la pestaña **Sample queries** (Consultas de ejemplo).

1. Para abrir una consulta de ejemplo, elija el **Nombre de la consulta**. Esto abre la consulta en la pestaña **Editor**. En este ejemplo, seleccionaremos la consulta denominada **Investigar acciones de usuarios** y editaremos la consulta para buscar las acciones de un usuario específico denominado `Alice`.

1. En la pestaña **Editor**, edite la línea `WHERE` para especificar el usuario que desea investigar y actualice los valores de `eventTime` según sea necesario. El valor de `FROM` es la parte de ID del ARN del banco de datos de eventos y se rellena automáticamente CloudTrail cuando se elige el banco de datos de eventos.

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. Puede ejecutar una consulta antes de guardarla, para verificar que ésta funciona. Para ejecutar una consulta, elija un almacén de datos de eventos de la lista desplegable **Event data store** (Almacén de datos de eventos) y, a continuación, elija **Run** (Ejecutar). Compruebe la columna **Status** (Estado) de la pestaña **Command output** (Resultado del comando) de la consulta activa para verificar que la consulta se ha ejecutado correctamente.

1. Cuando haya actualizado la consulta de ejemplo, elija **Guardar**.

1. En **Save query** (Guardar consulta), ingrese un nombre y una descripción para la consulta. Elija **Save query** (Guardar consulta) para guardar los cambios como una nueva consulta. Para descartar los cambios en una consulta, elija **Cancel** (Cancelar) o cierre la ventana **Save query** (Guardar consulta).  
![\[Guardar una consulta modificada\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/query-save.png)
**nota**  
Las consultas guardadas están vinculadas al navegador; si utiliza otro navegador o un dispositivo diferente para acceder a la CloudTrail consola, las consultas guardadas no estarán disponibles.

1. Abra la pestaña **Saved queries** (Consultas guardadas) para ver la nueva consulta en la tabla.  
![\[Pestaña de consultas guardadas que muestra la nueva consulta guardada\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/query-saved-table.png)