Comprendre les CloudTrail journaux et les tables Athena

Avant de commencer à créer des tables, vous devez en savoir un peu plus sur le stockage des données CloudTrail et sur leur mode de stockage. Cela peut vous aider à créer les tables dont vous avez besoin, que vous les créiez depuis la CloudTrail console ou depuis Athena.

CloudTrail enregistre les journaux sous forme de fichiers JSON texte au format gzip compressé (*.json.gzip). L'emplacement des fichiers journaux dépend de la façon dont vous configurez les sentiers, Région AWS des régions dans lesquelles vous vous connectez et d'autres facteurs.

Pour plus d'informations sur l'emplacement de stockage des journaux, la JSON structure et le contenu des fichiers d'enregistrement, consultez les rubriques suivantes du guide de l'AWS CloudTrail utilisateur :

Pour collecter des journaux et les enregistrer sur Amazon S3, activez-les CloudTrail depuis le AWS Management Console. Pour plus d'informations, consultez la rubrique Création d'un journal d'activité du Guide de l'utilisateur AWS CloudTrail .

Notez la destination du compartiment Simple Storage Service (Amazon S3) dans lequel vous enregistrez les journaux. Remplacez la LOCATION clause par le chemin d'accès à l'emplacement du CloudTrail journal et à l'ensemble d'objets avec lesquels vous souhaitez travailler. Cet exemple utilise une valeur LOCATION des journaux pour un compte particulier, mais vous pouvez utiliser le degré de spécificité qui convient à votre application.

Par exemple :

L'utilisation du plus haut niveau dans la hiérarchie des objets vous donne la plus grande flexibilité possible lorsque vous exécutez une requête à l'aide d'Athena.