AWS CloudTrail-Protokolle abfragen
AWS CloudTrail ist ein Service zur Erfassung von AWS-API-Aufrufen und Ereignissen für Amazon-Web-Services-Konten.
Die CloudTrail-Protokolle enthalten Details zu jedem API-Aufruf, der an Ihre AWS-Services erfolgte, einschließlich der Konsole. CloudTrail generiert verschlüsselte Protokolldateien und speichert diese in Amazon S3. Weitere Informationen finden Sie im AWS CloudTrail-Benutzerhandbuch.
Anmerkung
Wenn Sie SQL-Abfragen für CloudTrail-Ereignisinformationen über Konten, Regionen und Daten hinweg durchführen möchten, ziehen Sie die Verwendung von CloudTrail Lake in Betracht. CloudTrail Lake ist eine AWS-Alternative zum Erstellen von Trails, die Informationen von einem Unternehmen in einem einzigen, durchsuchbaren Ereignisdatenspeicher zusammenfasst. Anstatt Amazon-S3-Bucket-Speicher zu verwenden, speichert es Ereignisse in einem Data Lake, was umfangreichere und schnellere Abfragen ermöglicht. Sie können damit SQL-Abfragen erstellen, die Ereignisse in Organisationen, Regionen und innerhalb benutzerdefinierter Zeitbereiche suchen. Da Sie CloudTrail-Lake-Abfragen innerhalb der CloudTrail-Konsole selbst durchführen, ist Athena für die Verwendung von CloudTrail Lake nicht erforderlich. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail Lake.
Die Verwendung von Athena mit CloudTrail-Protokollen bietet eine ausgezeichnete Möglichkeit, die Analyse der AWS-Service-Aktivitäten zu optimieren. Beispielsweise können Sie mithilfe von Abfragen Trends ermitteln und Vorgänge nach Attributen (z. B. Quell-IP-Adresse oder Benutzer) trennen.
In der Regel werden CloudTrail-Protokolle zur Analyse der betriebsbezogenen Vorgänge für Sicherheit und Compliance herangezogen. Informationen zu einem detaillierten Beispiel finden Sie im AWS Big-Data-Blogbeitrag unter Analysieren von Sicherheit, Compliance und Betriebsaktivitäten mit AWS CloudTrail und Amazon Athena
Mithilfe von Athena können Sie diese Protokolldateien direkt aus Amazon S3 abrufen, wenn Sie die LOCATION der Protokolldateien angeben. Dafür stehen Ihnen zwei Optionen zur Verfügung:
-
Sie können Tabellen für CloudTrail direkt von der CloudTrail-Konsole aus erstellen.
-
Sie können Tabellen für CloudTrail-Protokolldateien manuell in der Athena-Konsole erstellen.
Themen
Erstellen einer Athena-Tabelle für CloudTrail-Protokolle mithilfe der CloudTrail-Konsole
Erstellen einer Tabelle für CloudTrail-Protokolle in Athena mithilfe der manuellen Partitionierung
Erstellen einer Tabelle für einen organisationsweiten Trail mit manueller Partitionierung
Erstellen der Tabelle für CloudTrail-Protokolle in Athena mithilfe der Partitionsprojektion
