Criar ou editar uma consulta com o console do CloudTrail

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

No painel de navegação, em Lake, escolha Consulta.

Na página Query (Consulta), escolha a guia Sample queries (Consultas de exemplo).

Abra uma consulta de exemplo escolhendo o Nome da consulta. Isso abre a consulta na guia Editor. Neste exemplo, selecionaremos a consulta chamada Investigar ações do usuário e editaremos a consulta para encontrar as ações de um usuário específico chamado Alice.

Na guia Editor, edite a linha WHERE para especificar o usuário que você deseja investigar e atualize os eventTime valores conforme necessário. O valor de FROM é a parte de ID do ARN do armazenamento de dados de eventos e é preenchido automaticamente pelo CloudTrail quando você escolhe o armazenamento de dados de eventos.

SELECT
    eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
    event-data-store-id
WHERE
    userIdentity.arn LIKE '%Alice%'
    AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'

Você pode executar uma consulta antes de salvá-la para verificar se a consulta funciona. Para executar uma consulta, escolha um armazenamento de dados de eventos na lista suspensa Event data store (Armazenamentos de dados de eventos) e, em seguida, escolha Run (Executar). Veja a coluna Status da guia Command output (Saída do comando) para a consulta ativa para verificar se uma consulta foi executada com êxito.

Depois de atualizar a consulta de exemplo, escolha Salvar.

Em Save query (Salvar consulta), insira um nome e uma descrição para a consulta. Escolha Save query (Salvar consulta) para salvar suas alterações como a nova consulta. Para descartar as alterações em uma consulta, escolha Cancel (Cancelar) ou feche a janela Save query (Salvar consulta).

Abra a guia Saved queries (Consultas salvas) para ver a nova consulta na tabela.