Executar uma consulta e salvar os resultados de consulta com o console

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

2. No painel de navegação, em Lake, escolha Consulta.

3. Nas guias Consultas de exemplo ou Consultas salvas, escolha uma consulta a ser executada escolhendo o valor na coluna Nome da consulta.

4. Na guia Editor, em Event data store (Armazenamento de dados de eventos), escolha um armazenamento de dados de eventos na lista suspensa.

5. (Opcional) Na guia Editor, escolha Save results to S3 (Salvar resultados no S3) para salvar os resultados de consulta em um bucket do S3. Ao escolher o bucket padrão do S3, o CloudTrail cria e aplica as políticas necessárias do bucket. Se você escolher o bucket do S3 padrão, sua política do IAM precisará incluir permissão para a ação s3:PutEncryptionConfiguration porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Para obter mais informações sobre como salvar resultados de consulta, acesse Informações adicionais sobre resultados de consultas salvas.

   nota

   Para usar um bucket diferente, especifique um nome de bucket ou escolha Browse S3 (Procurar S3) para escolher um bucket. A política de bucket precisa conceder permissão para que o CloudTrail forneça os resultados de consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta do CloudTrail Lake.

6. Na guia Editor, escolha Run (Executar).

   Dependendo do tamanho do armazenamento de dados do evento e do número de dias de dados que ele inclui, uma consulta pode levar vários minutos para ser executada. A guia Command output (Saída do comando) mostra o status de uma consulta e se uma consulta tem a execução concluída. Quando uma consulta terminar de ser executada, abra a guia Query results (Resultados da consulta) para ver uma tabela de resultados para a consulta ativa (a consulta atualmente mostrada no editor).

Para salvar resultados de consultas em um bucket do Amazon S3

1. Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

2. No painel de navegação, em Lake, escolha Consulta.

3. Nas guias Consultas de exemplo ou Consultas salvas, escolha uma consulta a ser executada escolhendo o valor na coluna Nome da consulta. Neste exemplo, escolheremos a consulta de exemplo chamada Investigar ações do usuário.

4. Na guia Editor, em Event data store (Armazenamento de dados de eventos), escolha um armazenamento de dados de eventos na lista suspensa. Quando você escolhe o armazenamento de dados de eventos na lista, o CloudTrail preenche automaticamente o ID do armazenamento de dados de eventos na linha From.

5. Nesta consulta de exemplo, editaremos o valor userIdentity.ARN para especificar um usuário chamado Admin e mantermos os valores padrão para eventTime. Ao executar uma consulta, você é cobrado pela quantidade de dados examinados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

   

6. Escolha Salvar resultados no S3 para salvar os resultados da consulta em um bucket do S3. Ao escolher o bucket padrão do S3, o CloudTrail cria e aplica as políticas necessárias do bucket. Se você escolher o bucket do S3 padrão, sua política do IAM precisará incluir permissão para a ação s3:PutEncryptionConfiguration porque, por padrão, a criptografia do lado do servidor está habilitada para o bucket. Neste exemplo, usaremos o bucket do S3 padrão.

   nota

   Para usar um bucket diferente, especifique um nome de bucket ou escolha Browse S3 (Procurar S3) para escolher um bucket. A política de bucket precisa conceder permissão para que o CloudTrail forneça os resultados de consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta do CloudTrail Lake.

   

7. Escolha Executar. Dependendo do tamanho do armazenamento de dados do evento e do número de dias de dados que ele inclui, uma consulta pode levar vários minutos para ser executada. A guia Command output (Saída do comando) mostra o status de uma consulta e se uma consulta tem a execução concluída. Quando uma consulta terminar de ser executada, abra a guia Query results (Resultados da consulta) para ver uma tabela de resultados para a consulta ativa (a consulta atualmente mostrada no editor).

8. Quando o CloudTrail conclui a entrega dos resultados da consulta salva no bucket do S3, a coluna Status da entrega fornece um link para o bucket do S3 que contém os arquivos de resultados da consulta salvos, bem como um arquivo de assinatura que pode ser usado para verificar os resultados da consulta salva. Escolha Visualizar no S3 para visualizar os arquivos de resultados da consulta e os arquivos de assinatura no bucket do S3.

   nota

   Quando você salva os resultados da consulta, é possível exibi-los no console do CloudTrail antes que eles se tornem visíveis no bucket do S3 porque o CloudTrail fornece os resultados de consulta após a conclusão da verificação da consulta. Embora a maioria das consultas seja concluída em alguns minutos, dependendo do tamanho do seu armazenamento de dados de eventos, a entrega dos resultados de consulta ao seu bucket do S3 por parte do CloudTrail pode levar muito mais tempo. O CloudTrail entrega os resultados de consulta ao bucket do S3 no formato gzip compactado. Em média, após a conclusão da análise da consulta, você pode esperar uma latência de 60 a 90 segundos para cada GB de dados entregue ao bucket do S3.

   

9. Para baixar os resultados da consulta, escolha o arquivo de resultados da consulta (neste exemplo, result_1.csv.gz) e escolha Baixar.