As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Crie ou edite uma consulta com o CloudTrail console
<a name="query-create-edit-query"></a>

Neste passo a passo, abrimos uma das consultas de exemplo, a editamos para encontrar ações realizadas por um usuário específico chamado `Alice` e a salvamos como uma nova consulta. Você também pode editar uma consulta salva na guia **Saved queries** (Consultas salvas), caso tenha consultas salvas. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora `eventTime` de início e término nas consultas.

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  No painel de navegação, em **Lake**, escolha **Consulta**. 

1. Na página **Query** (Consulta), escolha a guia **Sample queries** (Consultas de exemplo).

1. Abra uma consulta de exemplo escolhendo o **Nome da consulta**. Isso abre a consulta na guia **Editor**. Neste exemplo, selecionaremos a consulta chamada **Investigar ações do usuário** e editaremos a consulta para encontrar as ações de um usuário específico chamado `Alice`.

1. Na guia **Editor**, edite a linha `WHERE` para especificar o usuário que você deseja investigar e atualize os `eventTime` valores conforme necessário. O valor de `FROM` é a parte da ID do ARN do armazenamento de dados do evento e é preenchido automaticamente CloudTrail quando você escolhe o armazenamento de dados do evento.

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. Você pode executar uma consulta antes de salvá-la para verificar se a consulta funciona. Para executar uma consulta, escolha um armazenamento de dados de eventos na lista suspensa **Event data store** (Armazenamentos de dados de eventos) e, em seguida, escolha **Run** (Executar). Veja a coluna **Status** da guia **Command output** (Saída do comando) para a consulta ativa para verificar se uma consulta foi executada com êxito.

1. Depois de atualizar a consulta de exemplo, escolha **Salvar**.

1. Em **Save query** (Salvar consulta), insira um nome e uma descrição para a consulta. Escolha **Save query** (Salvar consulta) para salvar suas alterações como a nova consulta. Para descartar as alterações em uma consulta, escolha **Cancel** (Cancelar) ou feche a janela **Save query** (Salvar consulta).  
![\[Salvamento de uma consulta alterada\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/query-save.png)
**nota**  
As consultas salvas estão vinculadas ao seu navegador; se você usar um navegador ou dispositivo diferente para acessar o CloudTrail console, as consultas salvas não estarão disponíveis.

1. Abra a guia **Saved queries** (Consultas salvas) para ver a nova consulta na tabela.  
![\[Guia de consultas salvas mostrando a nova consulta salva\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/query-saved-table.png)