Crie consultas CloudTrail do Lake a partir de solicitações em linguagem natural - AWS CloudTrail
Permissões obrigatóriasSuporte de regiãoLimitaçõesExemplos de prompts

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie consultas CloudTrail do Lake a partir de solicitações em linguagem natural

Você pode usar o gerador de consultas CloudTrail Lake para produzir uma consulta a partir de um prompt em inglês fornecido por você. O gerador de consultas usa inteligência artificial generativa (IA generativa) para produzir uma consulta ready-to-use SQL a partir do seu prompt, que você pode optar por executar no editor de consultas do Lake ou ajustar ainda mais. Você não precisa ter amplo conhecimento de SQL ou campos de CloudTrail eventos para usar o gerador de consultas.

A solicitação pode ser uma pergunta ou uma declaração sobre os dados do evento em seu armazenamento de dados de eventos do CloudTrail Lake. Por exemplo, você pode inserir prompts como "What are my top errors in the past month?" e “Give me a list of users that used SNS.”

Um prompt pode ter no mínimo 3 caracteres e no máximo 500 caracteres de extensão.

Não há cobranças por gerar consultas. No entanto, ao executar consultas, você receberá cobranças com base na quantidade de dados examinados que foram otimizados e compactados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

nota

Você pode fornecer feedback sobre uma consulta gerada clicando no botão de polegar para cima ou para baixo exibido abaixo da consulta gerada. Ao fornecer feedback, CloudTrail salva sua solicitação e a consulta gerada.

Não inclua informações pessoais, confidenciais ou sigilosas em seus prompts.

Esse recurso usa modelos generativos de linguagem grande de IA (LLMs); recomendamos verificar novamente a resposta do LLM.

nota

CloudTrail selecionará automaticamente a região ideal em sua geografia para processar solicitações de inferência enquanto resume as consultas. Isso maximiza os recursos computacionais disponíveis, a disponibilidade do modelo e oferece a melhor experiência ao cliente. Seus dados permanecerão armazenados somente na região de origem da solicitação. No entanto, as solicitações de entrada e os resultados de saída podem ser processados fora dessa região. Todos os dados serão transmitidos criptografados pela rede segura da Amazon.

CloudTrail encaminhará com segurança suas solicitações de inferência para os recursos computacionais disponíveis na área geográfica em que a solicitação foi originada, da seguinte forma:

  • Solicitações de inferência originadas nos Estados Unidos da América serão processadas nos Estados Unidos.

  • Solicitações de inferência originadas no Japão serão processadas no Japão

  • Solicitações de inferência originadas na Austrália serão processadas na Austrália.

  • Solicitações de inferência originadas na União Europeia serão processadas dentro da União Europeia

  • Solicitações de inferência originadas na Índia serão processadas na Índia

Para desativar o recurso de resumo de consultas, você pode negar ou remover explicitamente a cloudtrail:GenerateQueryResultsSummary ação da política do iam que você está usando.

Você pode acessar o gerador de consultas usando o CloudTrail console AWS CLI e.

CloudTrail console
Para usar o gerador de consultas no CloudTrail console

  1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Consulta.

  3. Na página Consulta, selecione a guia Editor.

  4. Escolha o armazenamento de dados de eventos para o qual deseja criar uma consulta.

  5. Na área Gerador de consultas, insira um prompt simples em inglês. Para obter exemplos, consulte Exemplos de prompts.

  6. Escolha Gerar consulta. O gerador de consultas tentará gerar uma consulta a partir do prompt. Se for bem-sucedido, o gerador de consultas fornecerá a consulta SQL no editor. Se o prompt não for bem-sucedido, reformule-o e tente novamente.

  7. (Opcional) Você pode oferecer feedback sobre a consulta gerada. Para fornecer feedback, clique no botão de polegar para cima ou para baixo exibido abaixo do prompt. Ao fornecer feedback, CloudTrail salva sua solicitação e a consulta gerada.

  8. (Opcional) Escolha Executar para executar a consulta.

    nota

    Ao executar consultas, você é cobrado de acordo com a quantidade de dados examinados que foram otimizados e compactados. Para ajudar a controlar os custos, recomendamos que você restrinja as consultas adicionando carimbos de data/hora eventTime de início e término nas consultas.

  9. (Opcional) Se executar a consulta e obtiver resultados, você poderá escolher Resumir os resultados para gerar um resumo em linguagem natural em inglês dos resultados da consulta. Essa opção usa inteligência artificial generativa (IA generativa) para produzir o resumo. Para obter mais informações sobre essa opção, consulte Resumir os resultados da consulta em linguagem natural.

    Você pode fornecer feedback sobre o resumo escolhendo o botão de polegar para cima ou para baixo exibido abaixo do resumo gerado.

    nota

    O recurso de resumo de consultas está na versão prévia do CloudTrail Lake e está sujeito a alterações. Esse atributo está disponível para o público em geral nas seguintes regiões: Ásia-Pacífico (Tóquio), Leste dos EUA (Norte da Virgínia)e Oeste dos EUA (Oregon).

AWS CLI

Para gerar uma consulta com o AWS CLI

Execute o comando generate-query para gerar uma consulta a partir de um prompt em inglês. Em --event-data-stores, forneça o ARN (ou o sufixo de ID do ARN) do datastore de eventos que você deseja consultar. Você pode especificar apenas um único datastore de eventos. Em --prompt, forneça o prompt em inglês. 

aws cloudtrail generate-query 
--event-data-stores arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE \
--prompt "Show me all console login events for the past week?"

Se for bem-sucedido, o comando gerará uma instrução SQL e fornecerá um QueryAlias que você usará com o comando start-query para executar a consulta em seu datastore de eventos.

{
  "QueryStatement": "SELECT * FROM $EDS_ID WHERE eventname = 'ConsoleLogin' AND eventtime >= timestamp '2024-09-16 00:00:00' AND eventtime <= timestamp '2024-09-23 00:00:00' AND eventSource = 'signin.amazonaws.com'",
  "QueryAlias": "AWSCloudTrail-UUID"
}

Para executar uma consulta com o AWS CLI

Execute o comando start-query com a saída QueryAlias do comando generate-query no exemplo anterior. Você também tem a opção de executar o comando start-query fornecendo a QueryStatement.

aws cloudtrail start-query --query-alias AWSCloudTrail-UUID

A resposta é uma string de QueryId. Para obter o status de uma consulta, execute describe-query usando o valor QueryId retornado por start-query. Se a consulta tiver êxito, você poderá executar get-query-results para obter os resultados.

{
    "QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE"
}
nota

Consultas que são executadas por mais de uma hora podem expirar. No entanto, ainda é possível obter resultados parciais que foram processados antes do tempo limite da consulta esgotar.

Se você estiver entregando os resultados da consulta para um bucket do S3 usando o --delivery-s3uri parâmetro opcional, a política do bucket deverá conceder CloudTrail permissão para entregar os resultados da consulta ao bucket. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para resultados de consulta CloudTrail do Lake.

Permissões obrigatórias

Ambas as políticas gerenciadas AWSCloudTrail_FullAccess e AdministratorAccess fornecem as permissões necessárias para usar esse atributo.

Você também pode incluir a ação cloudtrail:GenerateQuery em uma política nova ou atual gerenciada pelo cliente ou em uma política em linha.

Suporte de região

Esse recurso é suportado no seguinte Regiões da AWS:

  • Região da Ásia-Pacífico (Mumbai) (ap-south-1)

  • Região da Ásia-Pacífico (Sydney) (ap-southeast-2)

  • Região da Ásia-Pacífico (Tóquio) (ap-northeast-1)

  • Região do Canadá (Central) (ca-central-1)

  • Região da Europa (Londres) (eu-west-2)

  • Região Leste dos EUA (Norte da Virgínia) (us-east-1)

  • Região Oeste dos EUA (Oregon) (us-west-2)

Limitações

A seguir estão as limitações do gerador de consultas:

  • O gerador de consultas só aceita prompts em inglês.

  • O gerador de consultas só pode gerar consultas para armazenamentos de dados de eventos que coletam CloudTrail eventos (eventos de gerenciamento, eventos de dados, eventos de atividade de rede).

  • O gerador de consultas não pode gerar consultas para solicitações que não pertençam aos dados do evento CloudTrail Lake.

Exemplos de prompts

Esta seção fornece exemplos de prompts e as consultas SQL resultantes geradas a partir desses prompts.

Se você optar por executar as consultas de exemplo nesta seção, eds-id substitua pelo ID do armazenamento de dados de eventos que você deseja consultar e substitua os carimbos de data e hora pelos carimbos de data/hora apropriados para seu caso de uso. Os carimbos de data e hora têm o seguinte formato: YYYY-MM-DD HH:MM:SS.

Prompt: What are my top errors in the past month?

Consulta SQL:

SELECT
    errorMessage,
    COUNT(*) as eventCount
FROM
    eds-id
WHERE
    errorMessage IS NOT NULL
AND eventTime >= timestamp '2024-05-01 00:00:00'
AND eventTime <= timestamp '2024-05-31 23:59:59'
GROUP BY 1
ORDER BY 2 DESC
LIMIT 2;

Prompt: Give me a list of users that used Amazon SNS.

Consulta SQL:

SELECT
    DISTINCT userIdentity.arn AS user
FROM
    eds-id
WHERE
    eventSource = 'sns.amazonaws.com'

Prompt: What are my API counts each day for read and write events in the past month?

Consulta SQL:

SELECT date(eventTime) AS event_date,
    SUM(
        CASE
            WHEN readonly = true THEN 1
            ELSE 0
        END
    ) AS read_events,
    SUM(
        CASE
            WHEN readonly = false THEN 1
            ELSE 0
        END
    ) AS write_events
FROM
    eds-id
WHERE
    eventTime >= timestamp '2024-05-04 00:00:00'
AND eventTime <= timestamp '2024-06-04 23:59:59'
GROUP BY 1
ORDER BY 1 ASC;

Prompt: Show any events with access denied errors for the past three weeks.

Consulta SQL:

SELECT *
FROM 
  eds-id
WHERE
  WHERE (errorCode = 'AccessDenied' OR errorMessage = 'Access Denied')
AND eventTime >= timestamp '2024-05-16 01:00:00'
AND eventTime <= timestamp '2024-06-06 01:00:00'

Prompt: Query the number of calls each operator performed on the date 2024-05-01. The operator is a principal tag.

Consulta SQL:

SELECT element_at(
        eventContext.tagContext.principalTags,
        'operator'
    ) AS operator,
    COUNT(*) AS eventCount
FROM
    eds-id
WHERE eventtime >= '2024-05-01 00:00:00'
    AND eventtime < '2024-05-01 23:59:59'
GROUP BY 1
ORDER BY 2 DESC;

Prompt: Give me all event IDs that touched resources within the CloudFormation stack with name myStack on the date 2024-05-01.

Consulta SQL:

SELECT eventID
FROM
    eds-id
WHERE any_match(
        eventContext.tagcontext.resourcetags,
        rt->element_at(rt.tags, 'aws:cloudformation:stack-name') = 'myStack'
    )
    AND eventtime >= '2024-05-01 00:00:00'
    AND eventtime < '2024-05-01 23:59:59'

Prompt: Count the number of events grouped by resource tag 'solution' values, listing them in descending order of count.

Consulta SQL:

SELECT element_at(rt.tags, 'solution'),
    count(*) as event_count
FROM
    eds-id,
    unnest(eventContext.tagContext.resourceTags) as rt
WHERE eventtime < '2025-05-14 19:00:00'
GROUP BY 1
ORDER BY 2 DESC;

Prompt: Find all Amazon S3 data events where resource tag Environment has value prod.

Consulta SQL:

SELECT *
FROM
    eds-id
WHERE eventCategory = 'Data'
    AND eventSource = 's3.amazonaws.com'
    AND eventtime >= '2025-05-14 00:00:00'
    AND eventtime < '2025-05-14 20:00:00'
    AND any_match(
        eventContext.tagContext.resourceTags,
        rt->element_at(rt.tags, 'Environment') = 'prod'
    )