Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Contoh kueri CloudTrail log

Mode fokus
Contoh kueri CloudTrail log - Amazon Athena

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh berikut menunjukkan sebagian kueri yang mengembalikan semua permintaan anonim (tidak ditandatangani) dari tabel yang dibuat untuk log CloudTrail peristiwa. Kueri ini memilih permintaan tersebut tempatuseridentity.accountidadalah anonim, danuseridentity.arntidak ditentukan:

SELECT * FROM cloudtrail_logs WHERE eventsource = 's3.amazonaws.com' AND eventname in ('GetObject') AND useridentity.accountid = 'anonymous' AND useridentity.arn IS NULL AND requestparameters LIKE '%[your bucket name ]%';

Untuk informasi selengkapnya, lihat posting blog AWS Big Data Menganalisis keamanan, kepatuhan, dan aktivitas operasional menggunakan AWS CloudTrail Amazon Athena.

Kueri bidang bersarang di log CloudTrail

KarenauserIdentitydanresourcesadalah tipe data Nest, kueri mereka memerlukan perlakuan khusus.

ParameteruserIdentityobjek terdiri dari bersarangSTRUCTjenis. Ini dapat bertanya menggunakan titik untuk memisahkan bidang, seperti dalam contoh berikut:

SELECT eventsource, eventname, useridentity.sessioncontext.attributes.creationdate, useridentity.sessioncontext.sessionissuer.arn FROM cloudtrail_logs WHERE useridentity.sessioncontext.sessionissuer.arn IS NOT NULL ORDER BY eventsource, eventname LIMIT 10

Parameterresourcesbidang adalah sebuah larik dariSTRUCTobjek. Untuk larik ini, gunakanCROSS JOIN UNNESTuntuk unnest larik sehingga Anda dapat mengkueri objeknya.

Contoh berikut mengembalikan semua baris di mana sumber daya ARN berakhirexample/datafile.txt. Untuk keterbacaan, fungsi replace menghapus arn:aws:s3::: substring awal dari. ARN

SELECT awsregion, replace(unnested.resources_entry.ARN,'arn:aws:s3:::') as s3_resource, eventname, eventtime, useragent FROM cloudtrail_logs t CROSS JOIN UNNEST(t.resources) unnested (resources_entry) WHERE unnested.resources_entry.ARN LIKE '%example/datafile.txt' ORDER BY eventtime

Contoh kueri berikut untukDeleteBucketperistiwa. Kueri mengekstraksi nama bucket dan ID akun yang bucket milikresourcesobjek.

SELECT awsregion, replace(unnested.resources_entry.ARN,'arn:aws:s3:::') as deleted_bucket, eventtime AS time_deleted, useridentity.username, unnested.resources_entry.accountid as bucket_acct_id FROM cloudtrail_logs t CROSS JOIN UNNEST(t.resources) unnested (resources_entry) WHERE eventname = 'DeleteBucket' ORDER BY eventtime

Untuk informasi selengkapnya tentang unnesting, lihatFilter array.

Kiat untuk menanyakan log CloudTrail

Pertimbangkan hal berikut saat menjelajahi data CloudTrail log:

  • Sebelum kueri log, verifikasi bahwa tabel log Anda terlihat sama dengan yang diBuat tabel untuk CloudTrail log di Athena menggunakan partisi manual. Jika tidak tabel pertama, menghapus tabel yang ada menggunakan perintah berikut:DROP TABLE cloudtrail_logs.

  • Setelah Anda drop tabel yang ada, kembali membuat itu. Untuk informasi selengkapnya, lihat Buat tabel untuk CloudTrail log di Athena menggunakan partisi manual.

    Verifikasi bahwa bidang dalam permintaan Athena Anda terdaftar dengan benar. Untuk informasi tentang daftar lengkap bidang dalam CloudTrail catatan, lihat konten CloudTrail rekaman.

    Jika kueri Anda menyertakan bidang dalam JSON format, sepertiSTRUCT, ekstrak data dariJSON. Untuk informasi selengkapnya, lihat Ekstrak JSON data dari string.

    Beberapa saran untuk mengeluarkan kueri terhadap tabel Anda CloudTrail :

  • Mulailah dengan melihat pengguna mana yang memanggil API operasi mana dan dari alamat IP sumber mana.

  • Gunakan SQL kueri dasar berikut sebagai template Anda. Tempelkan kueri ke konsol Athena dan jalankannya.

    SELECT useridentity.arn, eventname, sourceipaddress, eventtime FROM cloudtrail_logs LIMIT 100;
  • Ubah kueri untuk mengeksplorasi data Anda lebih lanjut.

  • Untuk meningkatkan performa, sertakanLIMITklausa untuk mengembalikan subset tertentu dari baris.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.