本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 CloudTrail 主控台建立或編輯查詢
<a name="query-create-edit-query"></a>

在這次逐步解說中，我們會打開其中一個範例查詢，進行編輯以查找名為 `Alice` 的特定使用者所做的動作，然後將其儲存為新查詢。您也可以在 **Saved queries** (已儲存的查詢) 索引標籤編輯已儲存的查詢 (如果有已儲存的查詢)。為了協助控制成本，我們建議您對查詢新增開始和結束 `eventTime` 時間戳記來限制查詢。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1.  在導覽窗格中，選擇 **Lake** 下方的**查詢**。

1. 在 **Query** (查詢) 頁面上，選擇 **Sample queries** (範例查詢) 索引標籤。

1. 選擇**查詢名稱**以打開範例查詢。這會在 **Editor** (編輯器) 索引標籤中開啟查詢。在此範例中，我們將選取名為**調查使用者動作**的查詢，然後編輯該查詢以查找名為 `Alice` 的特定使用者所做的動作。

1. 在**編輯器**索引標籤中，編輯 `WHERE` 列以指定您想要調查的使用者，並視需要更新 `eventTime` 值。`FROM` 的值是事件資料存放區 ARN 的 ID 部分，會在您選擇該事件資料存放區時由 CloudTrail 自動填入。

   ```
   SELECT
       eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
   FROM
       event-data-store-id
   WHERE
       userIdentity.arn LIKE '%Alice%'
       AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
   ```

1. 您可以在儲存查詢之前執行查詢，以驗證查詢是否正常運作。若執行查詢，請從**Event data store** (事件資料存放區) 下拉式清單中選擇事件資料存放區，然後選擇 **Run** (執行)。檢視 **Command output** (命令輸出) 索引標籤的 **Status** (狀態) 欄，以驗證查詢是否成功執行。

1. 如果您已更新範例查詢，請選擇**儲存**。

1. 在**儲存查詢**中，輸入查詢的名稱和描述。選擇 **Save query** (儲存查詢) 將變更另存為新查詢。若要放棄對查詢的變更，請選擇 **Cancel** (取消)，或關閉 **Save query** (儲存查詢) 視窗。  
![\[儲存變更的查詢\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/query-save.png)
**注意**  
已儲存的查詢與您的瀏覽器相關；如果您使用不同的瀏覽器或其他裝置存取 CloudTrail 主控台，則無法存取先前已儲存的查詢。

1. 開啟 **Saved queries**(已儲存的查詢) 索引標籤以查看表格中的新查詢。  
![\[已儲存的查詢索引標籤，顯示新的已儲存查詢\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/query-saved-table.png)