使用主控台執行查詢並儲存查詢結果 - AWS CloudTrail
已儲存查詢結果的其他相關資訊範例:將查詢結果儲存至 Amazon S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台執行查詢並儲存查詢結果

選擇或儲存查詢後,您就可以對事件資料存放區執行查詢。

執行查詢時,您可以選擇將查詢結果儲存到 Amazon S3 儲存貯體。當您在 CloudTrail Lake 中執行查詢時,會根據查詢所掃描的資料量而產生費用。將查詢結果儲存到 S3 儲存貯體不會產生額外的 CloudTrail Lake 費用,不過需支付 S3 儲存費用。如需 S3 定價的詳細資訊,請參閱 Amazon S3 定價

儲存查詢結果時,查詢結果可能會先顯示在 CloudTrail 主控台中,隨後才能在 S3 儲存貯體中檢視,因為 CloudTrail 會在查詢掃描完成後傳送查詢結果。儘管大多數查詢會在幾分鐘內完成,但視事件資料存放區的大小而定,CloudTrail 將查詢結果傳送到 S3 儲存貯體可能需要更長的時間。CloudTrail 會以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言,查詢掃描完成後,每傳遞 1 GB 的資料到 S3 儲存貯體,可能會有 60 到 90 秒的延遲。

使用 CloudTrail Lake 執行查詢

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/cloudtrail/ 開啟 CloudTrail 主控台。

  2. 在導覽窗格中,選擇 Lake 下方的查詢

  3. 已儲存的查詢範例查詢索引標籤上,選擇查詢名稱以選擇要執行的查詢。

  4. Editor (編輯器) 索引標籤,針對 Event data store (事件資料存放區),從下拉式清單中選擇事件資料存放區。

  5. (選擇性) 在 Editor (編輯器) 索引標籤,選擇 Save results to S3 (將結果儲存至 S3),將查詢結果儲存至 S3 儲存貯體。當您選擇預設 S3 儲存貯體時,CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體,您的 IAM 政策需要包含s3:PutEncryptionConfiguration動作的許可,因為預設會為儲存貯體啟用伺服器端加密。如需有關儲存查詢結果的詳細資訊,請參閱已儲存查詢結果的其他相關資訊

    注意

    若要使用不同的儲存貯體,請指定儲存貯體名稱,或選擇 Browse S3 (瀏覽 S3) 以選擇儲存貯體。儲存貯體政策必須授予 CloudTrail 許可,才能將查詢結果傳送至儲存貯體。如需手動編輯儲存貯體政策的資訊,請參閱「適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策」。

  6. Editor (編輯器) 標籤上,選擇 Run (執行)。

    根據事件資料存放區的大小及其中包含的資料天數,查詢可能需要幾分鐘才能執行。所以 Command output (命令輸出) 索引標籤會顯示查詢的狀態,以及查詢是否已完成執行。查詢完成執行後,開啟 Query results (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

注意

執行時間超過一小時的查詢可能會逾時。您仍然可以取得在查詢逾時之前處理的部分結果。CloudTrail 不會將部分查詢結果傳送至 S3 儲存貯體。若要避免逾時,您可以透過指定較短的時間範圍來調整查詢,以限制掃描的資料量。

已儲存查詢結果的其他相關資訊

儲存查詢結果後,您可以從 S3 儲存貯體下載已儲存的查詢結果。如需有關尋找和下載已儲存查詢結果的詳細資訊,請參閱下載已儲存的查詢結果

您也可以驗證已儲存的查詢結果,以判斷在 CloudTrail 傳送查詢結果之後,查詢結果是否經過修改、遭到刪除或保持不變。如需有關驗證已儲存查詢結果的詳細資訊,請參閱驗證 CloudTrail Lake 儲存的查詢結果

範例:將查詢結果儲存至 Amazon S3 儲存貯體

此逐步解說說明如何將查詢結果儲存到 S3 儲存貯體,然後下載這些查詢結果。

若要將查詢結果儲存至 Amazon S3 儲存貯體

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/cloudtrail/ 開啟 CloudTrail 主控台。

  2. 在導覽窗格中,選擇 Lake 下方的查詢

  3. 範例查詢已儲存的查詢索引標籤上,選擇查詢名稱以選擇要執行的查詢。在此範例中,我們將選擇名為調查使用者動作的範例查詢。

  4. Editor (編輯器) 索引標籤,針對 Event data store (事件資料存放區),從下拉式清單中選擇事件資料存放區。當您在清單中選擇事件資料存放區時,CloudTrail 會自動在 From 列填入事件資料存放區 ID。

  5. 在此範例查詢中,我們將編輯 userIdentity.ARN 值以指定名為 Admin 的使用者,然後我們將保留 eventTime 的預設值。執行查詢時,您將為掃描的資料量支付費用。為了協助控制成本,我們建議您對查詢新增開始和結束 eventTime 時間戳記來限制查詢。

    編輯範例查詢中的 userIdentity.ARN 值

  6. 選擇將結果儲存至 S3,以便將查詢結果儲存至 S3 儲存貯體。當您選擇預設 S3 儲存貯體時,CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體,您的 IAM 政策需要包含s3:PutEncryptionConfiguration動作的許可,因為預設會為儲存貯體啟用伺服器端加密。在此範例中,我們使用預設的 S3 儲存貯體。

    注意

    若要使用不同的儲存貯體,請指定儲存貯體名稱,或選擇 Browse S3 (瀏覽 S3) 以選擇儲存貯體。儲存貯體政策必須授予 CloudTrail 許可,才能將查詢結果傳送至儲存貯體。如需手動編輯儲存貯體政策的資訊,請參閱「適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策」。

    為已儲存的查詢結果選擇 S3 儲存貯體。

  7. 選擇執行。根據事件資料存放區的大小及其中包含的資料天數,查詢可能需要幾分鐘才能執行。所以 Command output (命令輸出) 索引標籤會顯示查詢的狀態,以及查詢是否已完成執行。查詢完成執行後,開啟 Query results (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

  8. 當 CloudTrail 完成將儲存的查詢結果傳遞至您的 S3 儲存貯體時,傳遞狀態欄會提供一個包含已儲存查詢結果檔案的 S3 儲存貯體連結,以及一個您可以用來驗證已儲存查詢結果的簽署檔案。選擇在 S3 中檢視,在 S3 儲存貯體中檢視查詢結果檔案和簽署檔案。

    注意

    儲存查詢結果時,查詢結果可能會先顯示在 CloudTrail 主控台中,隨後才能在 S3 儲存貯體中檢視,因為 CloudTrail 會在查詢掃描完成後傳遞查詢結果。儘管大多數查詢會在幾分鐘內完成,但視事件資料存放區的大小而定,CloudTrail 將查詢結果傳送到 S3 儲存貯體可能需要更長的時間。CloudTrail 會以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言,查詢掃描完成後,每傳遞 1 GB 的資料到 S3 儲存貯體,可能會有 60 到 90 秒的延遲。

    命令輸出索引標籤上的查詢傳遞狀態

  9. 若要下載您的查詢結果,選擇查詢結果檔案 (在此範例中為 result_1.csv.gz),然後選擇下載

    下載查詢結果檔案

如需有關驗證已儲存查詢結果的資訊,請參閱 驗證 CloudTrail Lake 儲存的查詢結果