本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Detective 中查询原始日志
<a name="query-raw-logs-detective"></a>

将 Detective 与 Security Lake 集成后，Detective 开始从安全湖提取与 AWS CloudTrail 管理事件和亚马逊虚拟私有云（亚马逊 VPC）流日志相关的原始日志。

**注意**  
在 Detective 中查询原始日志不会产生额外费用。包括亚马逊 Athena 在内的其他 AWS 服务的使用费仍按公布费率收取。

AWS CloudTrail 管理事件适用于以下配置文件：
+ AWS 账户
+ AWS 用户
+ AWS 角色
+ AWS 角色会话
+ Amazon EC2 实例
+ 亚马逊 S3 存储桶
+ IP 地址
+ Kubernetes 集群
+ Kubernetes 容器组（pod）
+ Kubernetes 主题
+ IAM 角色
+ IAM 角色会话
+ IAM 用户

Amazon VPC FLow 日志适用于以下配置文件：
+ Amazon EC2 实例
+ Kubernetes 容器组（pod）

要演示如何使用 Detective 控制台将 Amazon Detective 与 Amazon Security Lake 配合使用，请观看以下视频：

[![AWS Videos](http://img.youtube.com/vi/A_EWd2lvVW0/0.jpg)](http://www.youtube.com/watch?v=A_EWd2lvVW0)


**查询 AWS 账户的原始日志**

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 在导航窗格中，选择**搜索**，然后搜索 `AWS account`。

1. 在 **API 调用总量**部分中，选择**显示范围时间的详细信息**。

1. 在此处，您可以开始**查询原始日志**。

![在原始日志预览表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/query-raw-logs-awsaccount.png)


在**原始日志预览**表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。

![在原始日志预览表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/query-raw-log-table.png)


在查询原始日志表中，您可以**取消查询请求**，**在 Amazon Athena 中查看结果**，并**下载结果** [下载为逗号分隔值（.csv）文件]。

如果您在 Detective 中看到日志，但查询未返回任何结果，则可能是由于以下原因而引起的。
+ 原始日志可能会先在 Detective 中可用，然后才显示在 Security Lake 日志表中。请稍后重试。
+ Security Lake 中可能缺少日志。如果您等待了很长时间，则表示 Security Lake 中缺少日志。要解决该问题，请联系您的 Security Lake 管理员。

**Topics**
+ [查询 AWS 角色的原始日志](#query-log-geo-location)
+ [查询 Amazon EKS 集群的原始日志](#query-log-eks-cluster)
+ [查询 Amazon EC2 实例的原始日志](#query-log-vpc)

## 查询 AWS 角色的原始日志
<a name="query-log-geo-location"></a>

如果您想了解新地理位置中 AWS 角色的活动，可以在 Detective 控制台中进行操作。



**查询 AWS 角色的原始日志**

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 在 Detective **Su** mm **ary 页面的 “新观察到的地理位置**” 部分，记下该 AWS 角色。

1. 在导航窗格中，选择**搜索**，然后搜索 `AWS role`。

1.  对于该 AWS 角色，展开资源以显示该资源从该 IP 地址发出的特定 API 调用。

1. 选择要调查的 API 调用旁边的放大镜图标，以打开**原始日志预览**表。  
![在原始日志预览表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/query-raw-logs-awsrole.png)

## 查询 Amazon EKS 集群的原始日志
<a name="query-log-eks-cluster"></a>

1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 从 Detective **摘要**页面**创建的 pod 最多的容器集群**部分，导航到 Amazon EKS 集群。

1. 在 **Amazon EKS 集群详情**页面中，选择 **Kubernetes API** 活动选项卡。

1. 在涉及**此 Amazon EKS 集群的 Kubernetes API 总体活动**部分中，选择范围**时间的显示详情。**

1. 在此处，您可以开始**查询原始日志**。

## 查询 Amazon EC2 实例的原始日志
<a name="query-log-vpc"></a>



1. 打开 Detective 控制台，网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. 在导航窗格中，选择**搜索**，然后搜索 `Amazon EC2 instance`。

1. 在 **VPC 的总流量**部分，选择要调查的 API 调用旁边的放大镜图标，以打开**原始日志预览**表。

1. 在此处，您可以开始**查询原始日志**。  
![在原始日志预览表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/query-raw-log-vpc.png)

在**原始日志预览**表中，您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息，您可以查看 Amazon Athena 中显示的数据。

在查询原始日志表中，您可以**取消查询请求**，**在 Amazon Athena 中查看结果**，并**下载结果** [下载为逗号分隔值（.csv）文件]。