翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クエリを実行し、クエリ結果をコンソールに保存する
クエリを選択または保存したら、イベントデータストアでクエリを実行できます。
クエリを実行すると、オプションとしてクエリ結果を Amazon S3 バケットに保存できます。CloudTrail Lake でクエリを実行すると、クエリによってスキャンされるデータ量に基づいて課金されます。クエリ結果を S3 バケットに保存する場合、CloudTrail Lake に対して追加料金は発生しませんが、S3 ストレージには料金が発生します。S3 の価格設定に関する詳細については、「[Amazon S3 pricing](https://aws.amazon.com/s3/pricing/)」(Amazon S3 価格設定) を参照してください。
CloudTrail はクエリスキャンの完了後にクエリ結果を配信するため、クエリ結果を保存する場合、S3 バケットに表示される前にクエリ結果が CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分内で完了しますが、イベントデータストアのサイズによっては、CloudTrail がクエリ結果を S3 バケットに配信するまでに長く時間がかかる場合があります。CloudTrail はクエリ結果を、圧縮された gzip 形式で S3 バケットに配信します。クエリスキャンの完了後、S3 バケットに配信されるデータは、1 GB あたり平均 60~90 秒の遅延が見込まれます。
**CloudTrail Lake を使用してクエリを実行するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[クエリ]** を選択します。
1. **[保存されたクエリ]** または **[サンプルクエリ]** タブ で、**クエリ名**を選択して実行するクエリを選択します。
1. **[Event data store]** (イベントデータストア) の **[Editor]** (エディタ) タブで、ドロップダウンリストからイベントデータストアを選択します。
1. (オプション) **[Editor]** (エディタ) タブで **[Save results to S3]** (結果を S3 に保存) を選択し、クエリ結果を S3 バケットに保存します。デフォルトの S3 バケットを選択すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。デフォルトの S3 バケットを選択した場合、バケットに対してサーバー側の暗号化がデフォルトで有効になるため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。クエリ結果保存の詳細については、「[保存されたクエリ結果に関する追加情報](#save-query-results)」を参照してください。
**注記**
別のバケットを使用するには、バケット名を指定するか、**[Browse S3]** (S3 を閲覧) を選択してバケットを選択します。バケットポリシーでは、クエリ結果をバケットに配信するアクセス権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、[CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー](s3-bucket-policy-lake-query-results.md) を参照してください。
1. **[Editor]** (エディタ) タブで、**[Run]** (実行) をクリックします。
イベントデータストアのサイズと、それに含まれるデータの日数によっては、クエリの実行に数分かかる場合があります。**[Command output]** (コマンド出力) タブには、クエリのステータスと、クエリの実行が終了したかどうかが表示されます。クエリの実行が終了したら、**[Query results]** (クエリ結果) タブを開いて、アクティブなクエリ (現在エディタに表示されているクエリ) の結果の表を表示します。
**注記**
1 時間以上実行するクエリは、タイムアウトすることがあります。クエリがタイムアウトする前に、処理済みの部分的な結果を取得することはできます。CloudTrail は S3 バケットに部分的なクエリ結果を配信しません。タイムアウトを回避するには、クエリを絞り込んでスキャンされるデータ量を制限する時間範囲を狭くすることができます。
## 保存されたクエリ結果に関する追加情報
クエリ結果の保存後、保存したクエリ結果を S3 バケットからダウンロードできるようになります。保存したクエリ結果の検索とダウンロードの詳細については、「[保存されたクエリ結果のダウンロード](view-download-cloudtrail-lake-query-results.md)」を参照してください。
保存したクエリ結果を検証して、CloudTrail がクエリ結果を配信した後にクエリ結果が変更、削除、または変更されなかったかどうかを判断することもできます。保存したクエリ結果の検証の詳細については、「[CloudTrail Lake の保存されたクエリ結果を検証する](cloudtrail-query-results-validation.md)」を参照してください。
## 例: クエリ結果を Amazon S3 バケットに保存する
このチュートリアルでは、クエリ結果を S3 バケットに保存し、これらのクエリ結果をダウンロードする方法を示します。
**CloudTrail Lake のクエリ結果を Amazon S3 バケットに保存する**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) で CloudTrail コンソールを開きます。
1. ナビゲーションペインの **[Lake]** で、**[クエリ]** を選択します。
1. **[サンプルクエリ]** または **[保存したクエリ]** タブ で、**[クエリ名]** を選択して実行するクエリを選択します。この例では、**[ユーザーアクションの調査]** という名前のサンプルクエリを選択します。
1. **[Event data store]** (イベントデータストア) の **[Editor]** (エディタ) タブで、ドロップダウンリストからイベントデータストアを選択します。リストからイベントデータストアを選択すると、CloudTrail は自動的にイベントデータストア ID を `From` 行に入力します。
1. このサンプルクエリでは、`userIdentity.ARN` 値を編集し、`Admin` という名前のユーザーを指定し、`eventTime` の値はデフォルトのままとします。クエリを実行すると、スキャンされたデータ量に応じて料金が発生します。コストを抑えるため、クエリに開始および終了 `eventTime` タイムスタンプを追加することで、クエリを制限することをお勧めします。
![\[サンプルクエリの userIdentity.ARN 値を編集する\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/sample-query-edit.png)
1. **[結果を S3 に保存]** を選択し、クエリ結果を S3 バケットに保存します。デフォルトの S3 バケットを選択すると、CloudTrail によって必要なバケットポリシーが作成され、適用されます。デフォルトの S3 バケットを選択した場合、バケットに対してサーバー側の暗号化がデフォルトで有効になるため、IAM ポリシーに `s3:PutEncryptionConfiguration` アクションへのアクセス許可を含める必要があります。この例では、デフォルトの S3 バケットを使用します。
**注記**
別のバケットを使用するには、バケット名を指定するか、**[Browse S3]** (S3 を閲覧) を選択してバケットを選択します。バケットポリシーでは、クエリ結果をバケットに配信するアクセス権限を CloudTrail に付与する必要があります。バケットポリシーを手動で編集する方法については、[CloudTrail Lake クエリ結果の Amazon S3 バケットポリシー](s3-bucket-policy-lake-query-results.md) を参照してください。
![\[保存するクエリ結果用に選択された S3 バケット。\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/save-query-results.png)
1. **[Run]** (実行) を選択します。イベントデータストアのサイズと、それに含まれるデータの日数によっては、クエリの実行に数分かかる場合があります。**[Command output]** (コマンド出力) タブには、クエリのステータスと、クエリの実行が終了したかどうかが表示されます。クエリの実行が終了したら、**[Query results]** (クエリ結果) タブを開いて、アクティブなクエリ (現在エディタに表示されているクエリ) の結果の表を表示します。
1. CloudTrail が保存されたクエリ結果を S3 に配信し終えたら、**[配信ステータス]** 列に S3 バケットへのリンクが表示されます。内容は、保存したクエリ結果および、保存したクエリ結果を検証するための[署名ファイル](cloudtrail-query-results-validation.md#cloudtrail-results-file-validation-sign-file-structure)です。**[S3 で表示]** を選択すると、S3 バケット内のクエリ結果ファイルと署名ファイルが表示されます。
**注記**
CloudTrail はクエリスキャンの完了後にクエリ結果を配信するため、クエリ結果を保存すると、クエリ結果が S3 バケットに表示される前に CloudTrail コンソールに表示されることがあります。ほとんどのクエリは数分内で完了しますが、イベントデータストアのサイズによっては、CloudTrail がクエリ結果を S3 バケットに配信するまでに長く時間がかかる場合があります。CloudTrail はクエリ結果を、圧縮された gzip 形式で S3 バケットに配信します。クエリスキャンの完了後、S3 バケットに配信されるデータは、1 GB あたり平均 60~90 秒の遅延が見込まれます。
![\[[コマンド出力] タブに表示されたクエリ配信ステータス\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/query-delivery-status.png)
1. クエリ結果をダウンロードするには、クエリ結果ファイル (この例では、`result_1.csv.gz`) を選択し、**[ダウンロード]** を選択します。
![\[クエリの結果ファイルをダウンロードする\]](http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/images/download-query-results.png)
保存したクエリ結果の検証の詳細については、「[CloudTrail Lake の保存されたクエリ結果を検証する](cloudtrail-query-results-validation.md)」を参照してください。