Crie ou edite uma consulta com o CloudTrail console - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie ou edite uma consulta com o CloudTrail console

Neste passo a passo, abrimos uma das consultas de exemplo, a editamos para encontrar ações realizadas por um usuário específico chamado Alice e a salvamos como uma nova consulta. Você também pode editar uma consulta salva na guia Saved queries (Consultas salvas), caso tenha consultas salvas. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Na página Query (Consulta), escolha a guia Sample queries (Consultas de exemplo).

  4. Abra uma consulta de exemplo escolhendo o Nome da consulta. Isso abre a consulta na guia Editor. Neste exemplo, selecionaremos a consulta chamada Investigar ações do usuário e editaremos a consulta para encontrar as ações de um usuário específico chamado Alice.

  5. Na guia Editor, edite a linha WHERE para especificar o usuário que você deseja investigar e atualize os eventTime valores conforme necessário. O valor de FROM é a parte da ID do armazenamento de dados do evento ARN e é preenchido automaticamente CloudTrail quando você escolhe o armazenamento de dados do evento.

    SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

  6. Você pode executar uma consulta antes de salvá-la para verificar se a consulta funciona. Para executar uma consulta, escolha um armazenamento de dados de eventos na lista suspensa Event data store (Armazenamentos de dados de eventos) e, em seguida, escolha Run (Executar). Veja a coluna Status da guia Command output (Saída do comando) para a consulta ativa para verificar se uma consulta foi executada com êxito.

  7. Depois de atualizar a consulta de exemplo, escolha Salvar.

  8. Em Save query (Salvar consulta), insira um nome e uma descrição para a consulta. Escolha Save query (Salvar consulta) para salvar suas alterações como a nova consulta. Para descartar as alterações em uma consulta, escolha Cancel (Cancelar) ou feche a janela Save query (Salvar consulta).

    Salvamento de uma consulta alterada
    nota

    As consultas salvas estão vinculadas ao seu navegador; se você usar um navegador ou dispositivo diferente para acessar o CloudTrail console, as consultas salvas não estarão disponíveis.

  9. Abra a guia Saved queries (Consultas salvas) para ver a nova consulta na tabela.

    Guia de consultas salvas mostrando a nova consulta salva