本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWS-QueryCloudTrailLogs` **Description** `AWS-QueryCloudTrailLogs` Runbook 會從您選擇的 Amazon Simple Storage Service (Amazon S3) 儲存貯體建立 Amazon Athena 資料表,其中包含 AWS CloudTrail (CloudTrail) 日誌。Amazon S3 建立資料表後,自動化會執行您指定的 SQL 查詢,然後刪除資料表。 [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-QueryCloudTrailLogs) **文件類型**  自動化 **擁有者** Amazon **平台** 資料庫 **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。 + Query 類型:字串 描述:(必要) 您要執行的 SQL 查詢。 + SourceBucketPath 類型:字串 描述:(必要) Amazon S3 儲存貯體的名稱,其中包含您要查詢的 CloudTrail 日誌檔案。 + TableName 類型:字串 描述:(選用) 自動化建立的 Athena 資料表名稱。 預設:Cloudtrail\_logs **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `athena:GetQueryResults` + `athena:GetQueryExecution` + `athena:StartQueryExecution` + `glue:CreateTable` + `glue:DeleteTable` + `glue:GetDatabase` + `glue:GetPartitions` + `glue:GetTable` + `s3:AbortMultipartUpload` + `s3:CreateBucket` + `s3:GetBucketLocation` + `s3:GetObject` + `s3:ListBucket` + `s3:ListBucketMultipartUploads` + `s3:ListMultipartUploadParts` + `s3:PutObject` **文件步驟** + `aws:executeAwsApi` - 建立 Athena 資料表。 + `aws:executeAwsApi` - 執行您在 `Query` 參數中指定的查詢字串。 + `aws:executeScript` - 輪詢並等待查詢完成。 + `aws:executeAwsApi` - 取得查詢的結果。 + `aws:executeAwsApi` - 刪除自動化建立的資料表。