Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Ejecutar una consulta y guardar los resultados de la consulta con la consola

PDF
RSS
Modo de enfoque
Ejecutar una consulta y guardar los resultados de la consulta con la consola - AWS CloudTrail
Información adicional sobre los resultados de consultas guardadosEjemplo: guardar los resultados de las consultas en un bucket de Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Después de elegir o guardar una consulta, puede ejecutarla en un almacén de datos de eventos.

Al ejecutar una consulta, tiene la opción de guardar los resultados de la consulta en un bucket de Amazon S3. Cuando ejecuta consultas en CloudTrail Lake, incurre en cargos en función de la cantidad de datos escaneados por la consulta. No hay cargos adicionales de CloudTrail Lake por guardar los resultados de las consultas en un depósito de S3; sin embargo, sí hay cargos de almacenamiento de S3. Para obtener más información acerca de los precios de S3, consulte Precios de Amazon S3.

Al guardar los resultados de la consulta, es posible que los resultados de la consulta se muestren en la CloudTrail consola antes de que se puedan ver en el depósito de S3, ya que se muestran los resultados de la consulta CloudTrail una vez finalizado el escaneo de la consulta. Si bien la mayoría de las consultas se completan en unos minutos, según el tamaño del banco de datos de eventos, la entrega de los resultados de las consultas CloudTrail al bucket de S3 puede tardar mucho más tiempo. CloudTrail entrega los resultados de la consulta al depósito de S3 en formato gzip comprimido. De media, una vez que se complete el escaneo de la consulta, puede esperar una latencia de 60 a 90 segundos por cada GB de datos que se entregue al bucket de S3.

Para ejecutar una consulta con Lake CloudTrail

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Consulta.

  3. En las pestañas Consultas guardadas o Consultas de ejemplo, elija el Nombre de la consulta para elegir una consulta para que se ejecute.

  4. En la pestaña Editor (Editor), para Event data store (Almacén de datos de eventos), seleccione un almacén de datos de eventos de la lista desplegable.

  5. (Opcional) En la pestaña Editor, elija Save results to S3 (Guardar resultados en S3) para guardar los resultados de la consulta en un bucket de S3. Al elegir el bucket de S3 predeterminado, CloudTrail crea y aplica las políticas de bucket requeridas. Si elige el bucket de S3 predeterminado, su política de IAM debe incluir permiso para la acción s3:PutEncryptionConfiguration, porque el cifrado en el servidor está habilitado de forma predeterminada para el bucket. Para obtener más información sobre cómo guardar los resultados de consultas, consulte Información adicional sobre los resultados de consultas guardados.

    nota

    Para usar un bucket diferente, especifique un nombre de bucket o elija Browse S3 (Examinar S3) para elegir un bucket. La política del bucket debe conceder CloudTrail permiso para entregar los resultados de las consultas al bucket. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para los resultados de consultas de CloudTrail Lake.

  6. En la pestaña Editor (Editor), seleccione Run (Ejecutar).

    Dependiendo del tamaño de su almacén de datos de eventos y del número de días de datos que incluya, una consulta puede tardar varios minutos en ejecutarse. La pestaña Command output (Resultado del comando) muestra el estado de una consulta y si la consulta ha terminado de ejecutarse. Cuando una consulta haya terminado de ejecutarse, abra Query results (Resultados de la consulta) para ver una tabla de resultados de la consulta activa (la consulta que se muestra actualmente en el editor).

nota

Es posible que las consultas que se ejecuten durante más de una hora agoten el tiempo de espera. Aún puedes obtener resultados parciales que se procesaron antes de que se agotara el tiempo de espera de la consulta. CloudTrail no entrega resultados de consultas parciales a un bucket de S3. Para evitar que se agote el tiempo de espera, puede refinar la consulta para limitar la cantidad de datos escaneados si especifica un intervalo de tiempo más estrecho.

Información adicional sobre los resultados de consultas guardados

Después de guardar los resultados de la consulta, puede descargar los resultados de la consulta guardados desde el bucket de S3. Para obtener más información sobre la búsqueda y descarga de los resultados de consultas guardados, consulte Descargar los resultados de consultas guardados.

También puede validar los resultados de las consultas guardadas para determinar si los resultados de la consulta se modificaron, eliminaron o no cambiaron después de CloudTrail entregarlos. Para obtener más información sobre la validación de resultados de consultas guardados, consulte Valida los resultados de las consultas guardadas en CloudTrail Lake.

Ejemplo: guardar los resultados de las consultas en un bucket de Amazon S3

En este tutorial se muestra cómo guardar los resultados de las consultas en un bucket de S3 y, a continuación, descargarlos.

Para guardar los resultados de las consultas en un bucket de Amazon S3

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Consulta.

  3. En las pestañas Consultas guardadas o Consultas guardadas, seleccione el nombre de la consulta para seleccionar una consulta para que se ejecute. En este ejemplo, seleccionaremos la consulta de ejemplo denominada Investigar acciones de usuarios.

  4. En la pestaña Editor (Editor), para Event data store (Almacén de datos de eventos), seleccione un almacén de datos de eventos de la lista desplegable. Al elegir el banco de datos del evento de la lista, rellena CloudTrail automáticamente el ID del banco de datos del evento en la From línea.

  5. En esta consulta de ejemplo, editaremos el valor de userIdentity.ARN para especificar un usuario llamado Admin y dejaremos los valores predeterminados para eventTime. Al ejecutar una consulta, se le cobra por la cantidad de datos que se analizan. Para ayudar a controlar los costos, le recomendamos que restrinja las consultas agregando marcas temporales eventTime de inicio y finalización a las consultas.

    Edita el valor de userIdentity.ARN de una consulta de ejemplo

  6. Seleccione Guardar resultados en S3 para guardar los resultados de la consulta en un bucket de S3. Al elegir el bucket de S3 predeterminado, CloudTrail crea y aplica las políticas de bucket requeridas. Si elige el bucket de S3 predeterminado, su política de IAM debe incluir permiso para la acción s3:PutEncryptionConfiguration, porque el cifrado en el servidor está habilitado de forma predeterminada para el bucket. En este ejemplo, utilizaremos el bucket de S3 predeterminado.

    nota

    Para usar un bucket diferente, especifique un nombre de bucket o elija Browse S3 (Examinar S3) para elegir un bucket. La política del bucket debe conceder CloudTrail permiso para entregar los resultados de las consultas al bucket. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para los resultados de consultas de CloudTrail Lake.

    Bucket de S3 elegido para guardar los resultados de las consultas.

  7. Seleccione Ejecutar. Dependiendo del tamaño de su almacén de datos de eventos y del número de días de datos que incluya, una consulta puede tardar varios minutos en ejecutarse. La pestaña Command output (Resultado del comando) muestra el estado de una consulta y si la consulta ha terminado de ejecutarse. Cuando una consulta haya terminado de ejecutarse, abra Query results (Resultados de la consulta) para ver una tabla de resultados de la consulta activa (la consulta que se muestra actualmente en el editor).

  8. Cuando CloudTrail termine de enviar los resultados de las consultas guardadas a su bucket de S3, la columna de estado de entrega proporciona un enlace al bucket de S3 que contiene los archivos de resultados de las consultas guardadas, así como un archivo de firma que puede usar para verificar los resultados de las consultas guardadas. Seleccione Ver en S3 para ver los archivos de resultados de las consultas y los archivos de firma del bucket de S3.

    nota

    Al guardar los resultados de la consulta, es posible que los resultados de la consulta se muestren en la CloudTrail consola antes de que se puedan ver en el bucket de S3, ya que muestran los resultados de la consulta CloudTrail una vez finalizado el escaneo de la consulta. Si bien la mayoría de las consultas se completan en unos minutos, según el tamaño del banco de datos de eventos, la entrega de los resultados de las consultas CloudTrail al bucket de S3 puede tardar bastante más tiempo. CloudTrail entrega los resultados de la consulta al depósito de S3 en formato gzip comprimido. De media, una vez que se complete el escaneo de la consulta, puede esperar una latencia de 60 a 90 segundos por cada GB de datos que se entregue al bucket de S3.

    Estado de entrega de la consulta en la pestaña Resultado del comando

  9. Para descargar los resultados de la consulta, seleccione el archivo de resultados de la consulta (en este ejemplo, result_1.csv.gz) y, a continuación, seleccione Descargar.

    Descargar el archivo de resultados de la consulta

Para obtener información sobre la validación de resultados de consultas guardados, consulte Valida los resultados de las consultas guardadas en CloudTrail Lake.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.