本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudTrail 主控台建立或編輯查詢
在這次逐步解說中,我們會打開其中一個範例查詢,進行編輯以查找名為 Alice 的特定使用者所做的動作,然後將其儲存為新查詢。您也可以在 Saved queries (已儲存的查詢) 索引標籤編輯已儲存的查詢 (如果有已儲存的查詢)。為了協助控制成本,我們建議您對查詢新增開始和結束 eventTime 時間戳記來限制查詢。
-
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/cloudtrail/
開啟 CloudTrail 主控台。 -
在導覽窗格中,選擇 Lake 下方的查詢。
-
在 Query (查詢) 頁面上,選擇 Sample queries (範例查詢) 索引標籤。
-
選擇查詢名稱以打開範例查詢。這會在 Editor (編輯器) 索引標籤中開啟查詢。在此範例中,我們將選取名為調查使用者動作的查詢,然後編輯該查詢以查找名為
Alice的特定使用者所做的動作。 -
在編輯器索引標籤中,編輯
WHERE列以指定您想要調查的使用者,並視需要更新eventTime值。FROM的值是事件資料存放區 ARN 的 ID 部分,會在您選擇該事件資料存放區時由 CloudTrail 自動填入。SELECT eventID, eventName, eventSource, eventTime, userIdentity.arn AS user FROMevent-data-store-idWHERE userIdentity.arn LIKE '%Alice%' AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00' -
您可以在儲存查詢之前執行查詢,以驗證查詢是否正常運作。若執行查詢,請從Event data store (事件資料存放區) 下拉式清單中選擇事件資料存放區,然後選擇 Run (執行)。檢視 Command output (命令輸出) 索引標籤的 Status (狀態) 欄,以驗證查詢是否成功執行。
-
如果您已更新範例查詢,請選擇儲存。
-
在儲存查詢中,輸入查詢的名稱和描述。選擇 Save query (儲存查詢) 將變更另存為新查詢。若要放棄對查詢的變更,請選擇 Cancel (取消),或關閉 Save query (儲存查詢) 視窗。
注意
已儲存的查詢與您的瀏覽器相關;如果您使用不同的瀏覽器或其他裝置存取 CloudTrail 主控台,則無法存取先前已儲存的查詢。
-
開啟 Saved queries(已儲存的查詢) 索引標籤以查看表格中的新查詢。
