Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création ou modification d'une requête à l'aide de la CloudTrail console
<a name="query-create-edit-query"></a>

Dans cette procédure guidée, nous ouvrons l’un des exemples de requêtes, puis nous le modifions pour trouver les actions entreprises par un utilisateur spécifique nommé `Alice`, et nous l’enregistrons comme une nouvelle requête. Vous pouvez également modifier une requête enregistrée sur l’onglet **Requêtes enregistrées**, si vous avez enregistré des requêtes. Pour aider à contrôler les coûts, nous vous recommandons de limiter les requêtes en ajoutant des horodatages `eventTime` de début et de fin aux requêtes.

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Dans le panneau de navigation, sous **Lake**, choisissez **Requête**. 

1. Sur la page **Requête**, sélectionnez l’onglet **Exemples de requêtes**.

1. Ouvrez un exemple de requête en choisissant le **nom de la requête**. Cela ouvre la requête dans l’onglet **Éditeur**. Dans cet exemple, nous allons sélectionner la requête intitulée **Investigate user actions** et modifier la requête pour trouver les actions d'un utilisateur spécifique nommé `Alice`.

1. Dans l'onglet **Éditeur**, modifiez la ligne `WHERE` pour spécifier l'utilisateur que vous souhaitez étudier et mettez à jour les valeurs `eventTime` selon les besoins. La valeur de `FROM` est la partie ID de l'ARN du magasin de données d'événements et est automatiquement renseignée CloudTrail lorsque vous choisissez le magasin de données d'événements.

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. Vous pouvez exécuter une requête avant de l’enregistrer, pour vérifier que la requête fonctionne. Pour exécuter une requête, choisissez un magasin de données d'événement dans la liste déroulante **Event data store** (Magasin de données d'événement), puis choisissez **Run** (Exécuter). Affichez la colonne **Statut** de l’onglet **Sortie de la commande** pour la requête active afin de vérifier qu’une requête s’est exécutée correctement.

1. Lorsque vous avez mis à jour l'exemple de requête, choisissez **Enregistrer**.

1. Dans **Enregistrer la requête**, saisissez un nom et une description pour la requête. Choisissez **Save query** (Enregistrer la requête) pour enregistrer vos modifications en tant que nouvelle requête. Pour ignorer les modifications apportées à une requête, choisissez **Cancel** (Annuler) ou fermez la fenêtre **Save query** (Enregistrer la requête).  
![\[Enregistrement d'une requête modifiée\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/query-save.png)
**Note**  
Les requêtes enregistrées sont liées à votre navigateur ; si vous utilisez un autre navigateur ou un autre appareil pour accéder à la CloudTrail console, les requêtes enregistrées ne sont pas disponibles.

1. Ouvrez l'onglet **Saved queries** (Requêtes enregistrées) pour voir la nouvelle requête dans la table.  
![\[onglet Requêtes enregistrées affichant la nouvelle requête enregistrée\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/query-saved-table.png)