查询 AWS CloudTrail日志
AWS CloudTrail 是一项服务,可记录 AWS API 调用和 Amazon Web Services 账户的事件。
CloudTrail 日志包含有关对 AWS 服务 进行的任何 API 调用的详细信息,包括控制台。CloudTrail 生成加密的日志文件并将其存储在 Amazon S3 中。有关更多信息,请参阅《AWS CloudTrail 用户指南》。
注意
如果您需要跨账户、区域和日期对 CloudTrail 事件信息执行 SQL 查询,请考虑使用 CloudTrail Lake。CloudTrail Lake 是一种可用于创建跟踪的替代 AWS 服务,可将来自企业的信息聚合到单个可搜索的事件数据存储中。它不使用 Amazon S3 存储桶存储,而是将事件存储在某个数据湖中,从而支持更丰富、更快的查询。您可以使用它创建 SQL 查询,以便在自定义时间范围内跨组织和区域搜索事件。由于 CloudTrail Lake 查询是在 CloudTrail 控制台中执行,因此使用 CloudTrail Lake 不需要 Athena。有关更多信息,请参阅 CloudTrail Lake 文档。
将 Athena 与 CloudTrail 日志结合使用是加强对 AWS 服务 活动进行分析的强有力方法。例如,您可以使用查询来确定趋势,并根据属性 (如源 IP 地址或用户) 进一步隔离活动。
常见的应用程序是使用 CloudTrail 日志分析运营活动的安全性和合规性。有关详细示例的信息,请参阅 AWS 大数据博客文章:使用 AWS CloudTrail 和 Amazon Athena 分析安全性、合规性和运营活动
您可以使用 Athena 通过指定日志文件的 LOCATION
直接从 Amazon S3 查询这些日志文件。您可以通过两种方式之一来执行此操作:
-
通过直接从 CloudTrail 控制台为 CloudTrail 日志文件创建表。
-
通过在 Athena 控制台中手动为 CloudTrail 日志文件创建表。