本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 選取並實作日誌的查詢機制
<a name="select-and-implement-querying-mechanisms"></a>

 在 中 AWS，您可以用來查詢日誌的主要服務是存放在 [CloudWatch 日誌群組中的資料的 CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)，以及存放在 Amazon S3 中的資料的 [Amazon Athena](https://aws.amazon.com/athena/) 和 Amazon [ OpenSearch Service](https://aws.amazon.com/opensearch-service/)。 CloudWatch Amazon S3 您也可以使用第三方查詢工具，例如安全性資訊和事件管理 (SIEM)。

 選取日誌查詢工具的過程中應該考慮安全營運的人員、程序和技術層面。選取可滿足營運、業務和安全需求，且長期可存取和可維護的工具。請記住，將要掃描的日誌數目維持在日誌查詢工具限制之內，以便以最佳狀態運作。由於成本或技術限制，客戶擁有多個查詢工具並不常見。例如，客戶可能會使用第三方 SIEM 來執行過去 90 天的查詢，並使用 Athena 執行超過 90 天的查詢，因為 SIEM 的日誌擷取成本。無論實作為何，請確認您的方法能將最大化營運效率所需的工具數量降至最低，尤其是在安全事件調查期間。