本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Query AWS CloudTrail 日誌
AWS CloudTrail 是記錄的服務 AWS APIAmazon Web Services 帳戶的呼叫和事件。
CloudTrail 日誌包括有關您的任何API呼叫的詳細信息 AWS 服務,包括控制台。 CloudTrail 產生加密的日誌檔案,並將其存放在 Amazon S3 中。如需詳細資訊,請參閱 AWS CloudTrail 用戶指南。
注意
如果您要SQL查詢跨帳戶、地區和日期的 CloudTrail 事件資訊,請考慮使用 CloudTrail Lake。 CloudTrail 湖是一個 AWS 替代建立將企業資訊彙總到單一、可搜尋的事件資料存放區中的追蹤。其不使用 Amazon S3 儲存貯體儲存,而是將事件儲存在資料湖中,進而允許更豐富、更快的查詢。您可以使用它來建立SQL查詢,以在組織、地區和自訂時間範圍內搜尋事件。由於您在 CloudTrail 主控台本身內執行 CloudTrail Lake 查詢,因此使用 CloudTrail Lake 不需要 Athena。如需詳細資訊,請參閱 CloudTrail Lake 文件。
搭配 CloudTrail 日誌使用 Athena 是強化分析的強大方式 AWS 服務 活動。例如,您可以使用查詢來識別趨勢,並依屬性 (例如來源 IP 地址或使用者) 進一步隔離活動。
常見的應用是使用 CloudTrail 日誌來分析操作活動,以確保安全性和合規性。如需詳細範例的資訊,請參閱 AWS 大數據部落格文章,分析安全性、合規性和營運活動 AWS CloudTrail 和 Amazon Athena
您可以使用 Athena,指定日誌檔案的 LOCATION,直接從 Amazon S3 查詢這些日誌檔案。有以下兩種做法:
-
通過直接從 CloudTrail 控制台創建 CloudTrail 日誌文件表。
-
在 Athena 主控台中手動建立 CloudTrail 記錄檔的資料表。
主題
