Consultas do CloudTrail Lake

As consultas no CloudTrail são criadas em SQL. Você pode compilar uma consulta na guia Editor do CloudTrail Lake escrevendo a consulta do zero em SQL, abrindo e editando uma consulta salva ou um exemplo de consulta, ou usando o gerador de consultas para produzir uma consulta a partir de um prompt em português. Você não pode sobrescrever uma consulta de exemplo incluída por suas alterações, mas você pode salvá-la como uma nova consulta. Para obter mais informações sobre a linguagem de consulta SQL permitida, consulte Restrições de SQL do CloudTrail Lake.

Uma consulta ilimitada (como SELECT * FROM edsID) verifica todos os dados no armazenamento de dados do seu evento. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas. Veja a seguir um exemplo que pesquisa todos os eventos em um armazenamento de dados de eventos especificado, onde a hora do evento é depois de (>) 5 de janeiro de 2023 às 13h51 e antes de (<) 19 de janeiro de 2023 às 13h51. Como um armazenamento de dados de eventos tem um período de retenção mínimo de sete dias, o intervalo de tempo mínimo entre valores eventTime de início e término também é de sete dias.

SELECT *
FROM eds-ID
WHERE
     eventtime >='2023-01-05 13:51:00' and eventtime < ='2023-01-19 13:51:00'

Para obter mais informações sobre como otimizar as consultas, consulte Otimizar consultas do CloudTrail Lake.

Ferramentas do editor de consultas

Uma barra de ferramentas no canto superior direito do editor de consultas oferece comandos para ajudar a criar e formatar sua consulta de SQL.

As seções a seguir descreve os comandos da barra de ferramentas.