查詢 AWS CloudTrail 日誌
AWS CloudTrail 是一項服務,可記錄 AWS API 呼叫以及 Amazon Web Services 帳戶的事件。
CloudTrail 日誌包含任何有關您的 AWS 服務 (包括主控台) 所做的 API 呼叫的詳細資訊。CloudTrail 會產生加密的日誌檔案,並將它們存放在 Amazon S3 中。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html。
注意
如果要跨帳戶、區域和日期對 CloudTrail 事件資訊執行 SQL 查詢,請考慮使用 CloudTrail Lake。CloudTrail Lake 是一種 AWS 替代方案,用於建立將企業的資訊彙總為單一可搜尋事件資料存放區的追蹤。其不使用 Amazon S3 儲存貯體儲存,而是將事件儲存在資料湖中,進而允許更豐富、更快的查詢。您可以使用它來建立 SQL 查詢,以便跨組織、區域並在自訂的時間範圍內搜尋事件。因為您在 CloudTrail 主控台本身中執行 CloudTrail Lake 查詢,因此使用 CloudTrail Lake 不需要 Athena。如需詳細資訊,請參閱 CloudTrail Lake 文件。
搭配使用 Athena 與 CloudTrail 日誌是一種功能強大的方式,可增強 AWS 服務 活動的分析。例如,您可以使用查詢來識別趨勢,並依屬性 (例如來源 IP 地址或使用者) 進一步隔離活動。
常見的應用是使用 CloudTrail 日誌來分析營運活動的安全性與合規性。如需詳細範例的資訊,請參閱 AWS 大數據部落格文章:使用 AWS CloudTrail 和 Amazon Athena 來分析安全性、合規性和營運活動
您可以使用 Athena,指定日誌檔案的 LOCATION,直接從 Amazon S3 查詢這些日誌檔案。有以下兩種做法:
-
從 CloudTrail 主控台直接建立 CloudTrail 日誌檔案的資料表。
-
在 Athena 主控台中手動建立 CloudTrail 日誌檔案的資料表。
主題
