本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用主控台執行查詢並儲存查詢結果
<a name="query-run-query"></a>

選擇或儲存查詢後，您就可以對事件資料存放區執行查詢。

 執行查詢時，您可以選擇將查詢結果儲存到 Amazon S3 儲存貯體。當您在 CloudTrail Lake 中執行查詢時，會根據查詢所掃描的資料量而產生費用。將查詢結果儲存到 S3 儲存貯體不會產生額外的 CloudTrail Lake 費用，不過需支付 S3 儲存費用。如需 S3 定價的詳細資訊，請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。

 儲存查詢結果時，查詢結果可能會先顯示在 CloudTrail 主控台中，隨後才能在 S3 儲存貯體中檢視，因為 CloudTrail 會在查詢掃描完成後傳送查詢結果。儘管大多數查詢會在幾分鐘內完成，但視事件資料存放區的大小而定，CloudTrail 將查詢結果傳送到 S3 儲存貯體可能需要更長的時間。CloudTrail 會以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言，查詢掃描完成後，每傳遞 1 GB 的資料到 S3 儲存貯體，可能會有 60 到 90 秒的延遲。

**使用 CloudTrail Lake 執行查詢**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1.  在導覽窗格中，選擇 **Lake** 下方的**查詢**。

1. 在**已儲存的查詢**或**範例查詢**索引標籤上，選擇**查詢名稱**以選擇要執行的查詢。

1. 在 **Editor** (編輯器) 索引標籤，針對 **Event data store** (事件資料存放區)，從下拉式清單中選擇事件資料存放區。

1. (選擇性) 在 **Editor** (編輯器) 索引標籤，選擇 **Save results to S3** (將結果儲存至 S3)，將查詢結果儲存至 S3 儲存貯體。當您選擇預設 S3 儲存貯體時，CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體，您的 IAM 政策需要包含 `s3:PutEncryptionConfiguration`動作的許可，因為預設會為儲存貯體啟用伺服器端加密。如需有關儲存查詢結果的詳細資訊，請參閱[已儲存查詢結果的其他相關資訊](#save-query-results)。
**注意**  
 若要使用不同的儲存貯體，請指定儲存貯體名稱，或選擇 **Browse S3** (瀏覽 S3) 以選擇儲存貯體。儲存貯體政策必須授予 CloudTrail 許可，才能將查詢結果傳送至儲存貯體。如需手動編輯儲存貯體政策的資訊，請參閱「[適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策](s3-bucket-policy-lake-query-results.md)」。

1. 在 **Editor** (編輯器) 標籤上，選擇 **Run** (執行)。

   根據事件資料存放區的大小及其中包含的資料天數，查詢可能需要幾分鐘才能執行。所以 **Command output** (命令輸出) 索引標籤會顯示查詢的狀態，以及查詢是否已完成執行。查詢完成執行後，開啟 **Query results** (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

**注意**  
執行時間超過一小時的查詢可能會逾時。您仍然可以取得在查詢逾時之前處理的部分結果。CloudTrail 不會將部分查詢結果傳送至 S3 儲存貯體。若要避免逾時，您可以透過指定較短的時間範圍來調整查詢，以限制掃描的資料量。

## 已儲存查詢結果的其他相關資訊
<a name="save-query-results"></a>

儲存查詢結果後，您可以從 S3 儲存貯體下載已儲存的查詢結果。如需有關尋找和下載已儲存查詢結果的詳細資訊，請參閱[下載已儲存的查詢結果](view-download-cloudtrail-lake-query-results.md)。

您也可以驗證已儲存的查詢結果，以判斷在 CloudTrail 傳送查詢結果之後，查詢結果是否經過修改、遭到刪除或保持不變。如需有關驗證已儲存查詢結果的詳細資訊，請參閱[驗證 CloudTrail Lake 儲存的查詢結果](cloudtrail-query-results-validation.md)。

## 範例：將查詢結果儲存至 Amazon S3 儲存貯體
<a name="scenario-lake-save-queries"></a>

此逐步解說說明如何將查詢結果儲存到 S3 儲存貯體，然後下載這些查詢結果。

**若要將查詢結果儲存至 Amazon S3 儲存貯體**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1.  在導覽窗格中，選擇 **Lake** 下方的**查詢**。

1. 在**範例查詢**或**已儲存的查詢**索引標籤上，選擇**查詢名稱**以選擇要執行的查詢。在此範例中，我們將選擇名為**調查使用者動作**的範例查詢。

1. 在 **Editor** (編輯器) 索引標籤，針對 **Event data store** (事件資料存放區)，從下拉式清單中選擇事件資料存放區。當您在清單中選擇事件資料存放區時，CloudTrail 會自動在 `From` 列填入事件資料存放區 ID。

1. 在此範例查詢中，我們將編輯 `userIdentity.ARN` 值以指定名為 `Admin` 的使用者，然後我們將保留 `eventTime` 的預設值。執行查詢時，您將為掃描的資料量支付費用。為了協助控制成本，我們建議您對查詢新增開始和結束 `eventTime` 時間戳記來限制查詢。  
![\[編輯範例查詢中的 userIdentity.ARN 值\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/sample-query-edit.png)

1. 選擇**將結果儲存至 S3**，以便將查詢結果儲存至 S3 儲存貯體。當您選擇預設 S3 儲存貯體時，CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體，您的 IAM 政策需要包含 `s3:PutEncryptionConfiguration`動作的許可，因為預設會為儲存貯體啟用伺服器端加密。在此範例中，我們使用預設的 S3 儲存貯體。
**注意**  
 若要使用不同的儲存貯體，請指定儲存貯體名稱，或選擇 **Browse S3** (瀏覽 S3) 以選擇儲存貯體。儲存貯體政策必須授予 CloudTrail 許可，才能將查詢結果傳送至儲存貯體。如需手動編輯儲存貯體政策的資訊，請參閱「[適用於 CloudTrail Lake 查詢結果的 Amazon S3 儲存貯體政策](s3-bucket-policy-lake-query-results.md)」。  
![\[為儲存的查詢結果選擇 S3 儲存貯體。\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/save-query-results.png)

1. 選擇**執行**。根據事件資料存放區的大小及其中包含的資料天數，查詢可能需要幾分鐘才能執行。所以 **Command output** (命令輸出) 索引標籤會顯示查詢的狀態，以及查詢是否已完成執行。查詢完成執行後，開啟 **Query results** (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

1. 當 CloudTrail 完成將儲存的查詢結果傳遞至您的 S3 儲存貯體時，**傳遞狀態**欄會提供一個包含已儲存查詢結果檔案的 S3 儲存貯體連結，以及一個您可以用來驗證已儲存查詢結果的[簽署檔案](cloudtrail-query-results-validation.md#cloudtrail-results-file-validation-sign-file-structure)。選擇**在 S3 中檢視**，在 S3 儲存貯體中檢視查詢結果檔案和簽署檔案。
**注意**  
 儲存查詢結果時，查詢結果可能會先顯示在 CloudTrail 主控台中，隨後才能在 S3 儲存貯體中檢視，因為 CloudTrail 會在查詢掃描完成後傳遞查詢結果。儘管大多數查詢會在幾分鐘內完成，但視事件資料存放區的大小而定，CloudTrail 將查詢結果傳送到 S3 儲存貯體可能需要更長的時間。CloudTrail 會以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言，查詢掃描完成後，每傳遞 1 GB 的資料到 S3 儲存貯體，可能會有 60 到 90 秒的延遲。  
![\[命令輸出索引標籤上的查詢傳遞狀態\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/query-delivery-status.png)

1. 若要下載您的查詢結果，選擇查詢結果檔案 (在此範例中為 `result_1.csv.gz`)，然後選擇**下載**。  
![\[下載查詢結果檔案\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/download-query-results.png)

如需有關驗證已儲存查詢結果的資訊，請參閱 [驗證 CloudTrail Lake 儲存的查詢結果](cloudtrail-query-results-validation.md)。