本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用控制台运行查询并保存查询结果
选择或保存查询后,您可以在事件数据存储中运行查询。
运行查询时,您可以选择将查询结果保存到 Amazon S3 存储桶。在 CloudTrail Lake 中运行查询时,会根据查询扫描的数据量产生费用。将查询结果保存到 S3 存储桶不会产生额外的 CloudTrail Lake 费用,但会收取 S3 存储费用。有关 S3 定价的更多信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
保存查询结果时,查询结果可能会先显示在 CloudTrail 控制台中,然后才能在 S3 存储桶中查看,因为查询扫描完成后才会 CloudTrail 提供查询结果。虽然大多数查询会在几分钟内完成,但根据事件数据存储的大小,将查询结果传送 CloudTrail 到 S3 存储桶可能需要更长的时间。 CloudTrail 以压缩的 gzip 格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。
**使用 La CloudTrail ke 运行查询**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**查询**。
1. 在**已保存查询**或**示例查询**选项卡中,通过选择**查询名称**来选择要运行的查询。
1. 在 **Editor**(编辑器)选项卡的 **Event data store**(事件数据存储)中,从下拉列表中选择事件数据存储。
1. (可选)在 **Editor**(编辑器)选项卡上,选择 **Save results to S3**(将结果保存到 S3)以将查询结果保存到 S3 存储桶。当您选择默认 S3 存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择默认 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。有关保存查询结果的更多信息,请参阅 [有关已保存查询结果的其他信息](#save-query-results)。
**注意**
要使用其他存储桶,请指定存储桶名称,或选择 **Browse S3**(浏览 S3)以选择存储桶。存储桶策略必须授予向存储桶传送查询结果的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅[适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略](s3-bucket-policy-lake-query-results.md)。
1. 在 **Editor**(编辑器)选项卡上,选择 **Run**(运行)。
根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。**Command output**(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 **Query results**(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。
**注意**
运行时间超过一小时的查询可能会超时。您仍然可以获得在查询超时之前处理的部分结果。 CloudTrail 不会将部分查询结果传送到 S3 存储桶。要避免超时,您可以通过指定较短的时间范围来优化查询,从而限制扫描的数据量。
## 有关已保存查询结果的其他信息
保存查询结果后,可从 S3 存储桶下载已保存的查询结果。有关寻找和下载已保存查询结果的更多信息,请参阅 [下载已保存的查询结果](view-download-cloudtrail-lake-query-results.md)。
您还可以验证已保存的查询结果,以确定查询结果在 CloudTrail 传送查询结果后是已修改、删除还是未更改。有关验证已保存查询结果的更多信息,请参阅 [验证 CloudTrail Lake 保存的查询结果](cloudtrail-query-results-validation.md)。
## 示例:将查询结果保存到 Amazon S3 存储桶
此演练为您展示如何将查询结果保存到 S3 存储桶中,然后下载这些查询结果。
**将查询结果保存到 Amazon S3 存储桶中**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**查询**。
1. 在**示例查询**或**已保存的查询**选项卡上,通过选择**查询名称**来选择要运行的查询。在此示例中,我们将选择名为**调查用户操作**的示例查询。
1. 在 **Editor**(编辑器)选项卡的 **Event data store**(事件数据存储)中,从下拉列表中选择事件数据存储。从列表中选择事件数据存储时, CloudTrail 会自动填充`From`行中的事件数据存储 ID。
1. 在此示例查询中,我们将编辑 `userIdentity.ARN` 值以指定名为 `Admin` 的用户,并保留 `eventTime` 的默认值。运行查询时,您需要按扫描的数据量付费。为了帮助控制成本,我们建议您通过为查询添加开始和结束 `eventTime` 时间戳,来限制查询。
![\[编辑示例查询中的 userIdentity.ARN 值\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/sample-query-edit.png)
1. 选择**将结果保存到 S3 中**以将查询结果保存到 S3 存储桶中。当您选择默认 S3 存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择默认 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。在此示例中,我们将使用默认的 S3 存储桶。
**注意**
要使用其他存储桶,请指定存储桶名称,或选择 **Browse S3**(浏览 S3)以选择存储桶。存储桶策略必须授予向存储桶传送查询结果的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅[适用于 CloudTrail Lake 查询结果的 Amazon S3 存储桶策略](s3-bucket-policy-lake-query-results.md)。
![\[为保存的查询结果选择了 S3 存储桶。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/save-query-results.png)
1. 选择**运行**。根据事件数据存储的大小及其包含的数据天数,运行查询可能需要几分钟时间。**Command output**(命令输出)选项卡用于显示查询的状态以及查询是否已完成运行。在完成运行查询后,打开 **Query results**(查询结果)选项卡,以查看活跃查询(编辑器中当前显示的查询)的结果表。
1. 将保存的查询结果传送到您的 S3 存储桶 CloudTrail 后,“**交付状态**” 列将提供指向 S3 存储桶的链接,其中包含您保存的查询结果[文件以及可用于验证保存的查询结果的签名文件](cloudtrail-query-results-validation.md#cloudtrail-results-file-validation-sign-file-structure)。选择**在 S3 中查看**以查看 S3 存储桶中的查询结果文件和签名文件。
**注意**
保存查询结果时,查询结果可能会先显示在 CloudTrail 控制台中,然后才能在 S3 存储桶中查看,因为查询扫描完成后才会 CloudTrail 提供查询结果。虽然大多数查询会在几分钟内完成,但根据事件数据存储的大小,将查询结果传送 CloudTrail 到 S3 存储桶可能需要更长的时间。 CloudTrail 以压缩的 gzip 格式将查询结果传送到 S3 存储桶。平均而言,查询扫描完成后,传送到 S3 存储桶的每 GB 数据预计将出现 60 至 90 秒的延迟。
![\[命令输出选项卡上的查询传送状态\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/query-delivery-status.png)
1. 要下载查询结果,请选择查询结果文件(在此示例中为 `result_1.csv.gz`),然后选择**下载**。
![\[下载查询结果文件\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/download-query-results.png)
有关验证保存的查询结果的信息,请参阅 [验证 CloudTrail Lake 保存的查询结果](cloudtrail-query-results-validation.md)。