查詢 AWS CloudTrail 日誌

AWS CloudTrail 是一項記錄 AWS API Amazon Web Services 帳戶的呼叫和事件的服務。

CloudTrail 日誌包含對 進行任何API呼叫的詳細資訊 AWS 服務，包括 console. CloudTrail generates 加密日誌檔案，並將其儲存在 Amazon S3 中。如需詳細資訊，請參閱《AWS CloudTrail 使用者指南》https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html。

注意

如果您想要跨帳戶、區域和日期對 CloudTrail 事件資訊執行SQL查詢，請考慮使用 CloudTrail Lake. CloudTrail Lake。Lake 是建立追蹤的 AWS 替代方案，可將企業的資訊彙總到單一可搜尋的事件資料存放區。其不使用 Amazon S3 儲存貯體儲存，而是將事件儲存在資料湖中，進而允許更豐富、更快的查詢。您可以使用它來建立SQL查詢，在組織、區域和自訂時間範圍內搜尋事件。由於您在 CloudTrail 主控台本身內執行 CloudTrail Lake 查詢，因此使用 CloudTrail Lake 不需要 Athena。如需詳細資訊，請參閱 CloudTrail Lake 文件。

將 Athena 與 CloudTrail 日誌搭配使用是增強活動分析的 AWS 服務 強大方法。例如，您可以使用查詢來識別趨勢，並依屬性 (例如來源 IP 地址或使用者) 進一步隔離活動。

常見的應用程式是使用 CloudTrail 日誌來分析操作活動，以確保安全性和合規性。如需詳細範例的資訊，請參閱 AWS 大數據部落格文章、使用 和 Amazon Athena 分析安全性、合規性 AWS CloudTrail 和操作活動。

您可以使用 Athena，指定日誌檔案的 LOCATION，直接從 Amazon S3 查詢這些日誌檔案。有以下兩種做法：

• 直接從 CloudTrail 主控台建立 CloudTrail 日誌檔案的資料表。

• 在 Athena 主控台中手動建立 CloudTrail 日誌檔案的資料表。

主題

• 了解 CloudTrail 日誌和 Athena 資料表
• 使用 CloudTrail 主控台為 CloudTrail 日誌建立 Athena 資料表
• 使用手動分割在 Athena 中建立 CloudTrail 日誌的資料表
• 使用手動分割為全組織追蹤建立資料表
• 使用分割區投影在 Athena 中建立日誌的資料表 CloudTrail
• CloudTrail 日誌查詢範例