Esegui una query e salva i risultati della query con la console

1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

2. Dal pannello di navigazione, in Lake, scegli Query.

3. Nelle schede Query salvate o Query di esempio, scegli una query da eseguire selezionando il valore in Nome query.

4. Nella scheda Editor, per Event data store (Archivio di dati degli eventi) scegliere un archivio di dati degli eventi dall'elenco a discesa.

5. (Opzionale) Nella scheda Editor, scegliere Save results to S3 (Salva risultati su S3) per salvare i risultati della query in un bucket S3. Quando scegli il bucket S3 predefinito, CloudTrail crea e applica le politiche di bucket richieste. Se scegli il bucket S3 predefinito, la tua IAM policy deve includere l'autorizzazione per l's3:PutEncryptionConfigurationazione perché per impostazione predefinita è abilitata la crittografia lato server per il bucket. Per ulteriori informazioni sui risultati della query, consultare Ulteriori informazioni sui risultati della query salvati.

   Nota

   Per utilizzare un bucket diverso, specificare il nome del bucket o scegliere Browse S3 (Sfoglia S3) per scegliere un bucket. La policy del bucket deve concedere l' CloudTrail autorizzazione a fornire i risultati delle query al bucket. Per informazioni sulla modifica manuale della policy bucket, consulta Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake.

6. Nella scheda Editor (Modifica), scegliere Run (Esegui).

   A seconda delle dimensioni dell'archivio di dati degli eventi e del numero di giorni di dati inclusi, l'esecuzione di una query può richiedere diversi minuti. La scheda Command output (Output dei comandi) mostra lo stato di una query e se l'esecuzione è terminata. Quando l'esecuzione di una query è terminata, aprire la scheda Query results (Risultati della query) per visualizzare una tabella dei risultati per la query attiva (quella attualmente visualizzata nell'editor).

Salvataggio dei risultati della query in un bucket Amazon S3

1. Accedi a AWS Management Console e apri la console all'indirizzo. CloudTrail https://console.aws.amazon.com/cloudtrail/

2. Dal pannello di navigazione, in Lake, scegli Query.

3. Nelle schede Query salvate o Query di esempio, scegli una query da eseguire selezionando il valore in Nome query. In questo esempio, sceglieremo la query di esempio denominata Indaga azioni utente.

4. Nella scheda Editor, per Event data store (Archivio di dati degli eventi) scegliere un archivio di dati degli eventi dall'elenco a discesa. Quando scegli l'Event Data Store dall'elenco, compila CloudTrail automaticamente l'ID dell'Event Data Store nella From riga.

5. In questa query di esempio, modificheremo il valore di userIdentity.ARN per specificare un utente denominato Admin e lasceremo i valori predefiniti per eventTime. Quando si esegue una query, viene addebitata la quantità di dati scansionati. Per semplificare il controllo dei costi, consigliamo di vincolare le query aggiungendovi marche temporali eventTime di inizio e di fine.

   

6. Scegli Salva risultati in S3 per salvare i risultati della query in un bucket S3. Quando scegli il bucket S3 predefinito, CloudTrail crea e applica le politiche di bucket richieste. Se scegli il bucket S3 predefinito, la tua IAM policy deve includere l'autorizzazione per l's3:PutEncryptionConfigurationazione perché per impostazione predefinita è abilitata la crittografia lato server per il bucket. In questo esempio, utilizzeremo il bucket S3 predefinito.

   Nota

   Per utilizzare un bucket diverso, specificare il nome del bucket o scegliere Browse S3 (Sfoglia S3) per scegliere un bucket. La policy del bucket deve concedere l' CloudTrail autorizzazione a fornire i risultati delle query al bucket. Per informazioni sulla modifica manuale della policy bucket, consulta Policy sui bucket di Amazon S3 per CloudTrail i risultati delle query Lake.

   

7. Seleziona Esegui. A seconda delle dimensioni dell'archivio di dati degli eventi e del numero di giorni di dati inclusi, l'esecuzione di una query può richiedere diversi minuti. La scheda Command output (Output dei comandi) mostra lo stato di una query e se l'esecuzione è terminata. Quando l'esecuzione di una query è terminata, aprire la scheda Query results (Risultati della query) per visualizzare una tabella dei risultati per la query attiva (quella attualmente visualizzata nell'editor).

8. Una volta CloudTrail completata la consegna dei risultati delle query salvate nel bucket S3, la colonna Delivery status fornisce un collegamento al bucket S3 che contiene i file dei risultati delle query salvate e un file di segno che è possibile utilizzare per verificare i risultati delle query salvate. Scegli Visualizza in S3 per visualizzare i file dei risultati delle query e i file di firma nel bucket S3.

   Nota

   Quando salvi i risultati delle query, i risultati delle query possono essere visualizzati nella CloudTrail console prima di essere visualizzati nel bucket S3, in quanto CloudTrail fornisce i risultati della query dopo il completamento della scansione della query. Sebbene la maggior parte delle query venga completata in pochi minuti, a seconda delle dimensioni dell'archivio dati degli eventi, la consegna dei risultati delle query CloudTrail al bucket S3 può richiedere molto più tempo. CloudTrail fornisce i risultati delle query al bucket S3 in formato gzip compresso. In media, al termine della scansione delle query, è possibile aspettarsi una latenza di 60-90 secondi per ogni GB di dati consegnato al bucket S3.

   

9. Per scaricare i risultati della query, scegli il file dei risultati della query (in questo esempio, result_1.csv.gz), quindi scegli Scarica.