使用 Amazon Athena 和 Amazon 視覺化 Amazon Redshift 稽核日誌 QuickSight

由 Sanket Sirsikar （AWS）和 Gopal Krishna Bhatia （AWS）建立

環境：PoC 或試行

技術：分析；大數據；資料湖

AWS 服務：Amazon AthenaAmazon Redshift、Amazon S3、Amazon QuickSight

Summary

安全性是 Amazon Web Services （AWS） Cloud 資料庫操作不可或缺的一部分。您的組織應確保其監控資料庫使用者活動和連線，以偵測潛在的安全事件和風險。此模式可協助您監控資料庫以進行安全性和疑難排解，這是稱為資料庫稽核的程序。

此模式提供SQL指令碼，可自動建立 Amazon Athena 資料表和 Amazon 中報告儀表板的檢視 QuickSight ，協助您稽核 Amazon Redshift 日誌。這可確保負責監控資料庫活動的使用者可以方便地存取資料安全功能。

先決條件和限制

先決條件

作用中的 AWS 帳戶。
現有的 Amazon Redshift 叢集。如需詳細資訊，請參閱 Amazon Redshift 文件中的建立 Amazon Redshift 叢集。
存取現有的 Athena 工作群組。如需詳細資訊，請參閱 Amazon Athena 文件中的工作群組運作方式。
具有必要 AWS Identity and Access Management （）許可的現有 Amazon Simple Storage Service （Amazon S3IAM）來源儲存貯體。如需詳細資訊，請參閱 Amazon Redshift 文件中的資料庫稽核記錄的 Amazon Redshift 稽核記錄儲存貯體許可。 https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html

架構

Data flow diagram showing Amazon Redshift, logs, S3 bucket, Amazon Athena, and Amazon QuickSight.

技術堆疊

Athena
Amazon Redshift
Amazon S3
QuickSight

工具

Amazon Athena – Athena 是一種互動式查詢服務，可讓您使用標準輕鬆分析 Amazon S3 中的資料SQL。
Amazon QuickSight – QuickSight 是可擴展、無伺服器、可嵌入、機器學習驅動的商業智慧（BI）服務。
Amazon Redshift – Amazon Redshift 是企業級的 PB 規模、完全受管的資料倉儲服務。
Amazon S3 – Amazon Simple Storage Service （Amazon S3）是網際網路的儲存體。

史詩

任務描述所需的技能

啟用 Amazon Redshift 叢集的稽核記錄。

任務	描述	所需的技能
啟用 Amazon Redshift 叢集的稽核記錄。	登入 AWS 管理主控台，開啟 Amazon Redshift 主控台，選擇 CLUSTERS，然後選擇您要啟用記錄的叢集。選擇屬性索引標籤，然後按照 Amazon Redshift 文件中的使用主控台設定稽核的指示啟用稽核。	DBA、資料工程師
啟用記錄 Amazon Redshift 叢集參數群組。	您可以使用 AWS 管理主控台、Amazon Redshift API參考或AWS命令列介面（AWS），同時啟用連線日誌、使用者日誌和使用者活動日誌的稽核CLI。若要稽核使用者活動日誌，您必須啟用`enable_user_activity_logging`資料庫參數。如果您只啟用稽核記錄功能，但沒有關聯的參數，資料庫稽核會記錄連線和使用者日誌的記錄資訊，但不會記錄使用者活動日誌。`enable_user_activity_logging` 參數預設為未啟用，但您可以透過將其從變更為 `false` 來啟用`true`。重要：您需要在啟用參數的情況下建立新的叢集`user_activity_logging`參數群組，並將其連接至您的 Amazon Redshift 叢集。如需詳細資訊，請參閱 Amazon Redshift 文件中的修改叢集。如需此任務的詳細資訊，請參閱 Amazon Redshift 文件中的 Amazon Redshift 參數群組和使用主控台設定稽核。	DBA、資料工程師
設定 Amazon Redshift 叢集記錄的 S3 儲存貯體許可。	當您啟用記錄時，Amazon Redshift 會收集記錄資訊，並將其上傳至存放在 S3 儲存貯體中的日誌檔案。您可以使用現有的 S3 儲存貯體或建立新的儲存貯體。重要：確定 Amazon Redshift 具有存取 S3 儲存貯體所需的IAM許可。如需詳細資訊，請參閱 Amazon Redshift 文件中的資料庫稽核記錄的 Amazon Redshift 稽核記錄儲存貯體許可。 https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html	DBA、資料工程師

登入 AWS 管理主控台，開啟 Amazon Redshift 主控台，選擇 CLUSTERS，然後選擇您要啟用記錄的叢集。
選擇屬性索引標籤，然後按照 Amazon Redshift 文件中的使用主控台設定稽核的指示啟用稽核。

DBA、資料工程師

啟用記錄 Amazon Redshift 叢集參數群組。

您可以使用 AWS 管理主控台、Amazon Redshift API參考或AWS命令列介面（AWS），同時啟用連線日誌、使用者日誌和使用者活動日誌的稽核CLI。

若要稽核使用者活動日誌，您必須啟用enable_user_activity_logging資料庫參數。如果您只啟用稽核記錄功能，但沒有關聯的參數，資料庫稽核會記錄連線和使用者日誌的記錄資訊，但不會記錄使用者活動日誌。enable_user_activity_logging 參數預設為未啟用，但您可以透過將其從變更為 false 來啟用true。

重要：您需要在啟用參數的情況下建立新的叢集user_activity_logging參數群組，並將其連接至您的 Amazon Redshift 叢集。如需詳細資訊，請參閱 Amazon Redshift 文件中的修改叢集。

如需此任務的詳細資訊，請參閱 Amazon Redshift 文件中的 Amazon Redshift 參數群組和使用主控台設定稽核。

DBA、資料工程師

設定 Amazon Redshift 叢集記錄的 S3 儲存貯體許可。

當您啟用記錄時，Amazon Redshift 會收集記錄資訊，並將其上傳至存放在 S3 儲存貯體中的日誌檔案。您可以使用現有的 S3 儲存貯體或建立新的儲存貯體。

重要：確定 Amazon Redshift 具有存取 S3 儲存貯體所需的IAM許可。如需詳細資訊，請參閱 Amazon Redshift 文件中的資料庫稽核記錄的 Amazon Redshift 稽核記錄儲存貯體許可。 https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html

DBA、資料工程師

任務描述所需的技能

建立 Athena 資料表和檢視，以查詢 S3 儲存貯體中的 Amazon Redshift 稽核日誌資料。

任務	描述	所需的技能
建立 Athena 資料表和檢視，以查詢 S3 儲存貯體中的 Amazon Redshift 稽核日誌資料。	開啟 Amazon Athena 主控台，並使用`AuditLogging.sql`SQL指令碼（已連接DDL）中的資料定義語言（）查詢，來建立使用者活動日誌、使用者日誌和連線日誌的資料表和檢視。如需詳細資訊和指示，請參閱 Amazon Athena 研討會中的建立資料表和執行查詢教學課程。	資料工程師

開啟 Amazon Athena 主控台，並使用AuditLogging.sqlSQL指令碼（已連接DDL）中的資料定義語言（）查詢，來建立使用者活動日誌、使用者日誌和連線日誌的資料表和檢視。

如需詳細資訊和指示，請參閱 Amazon Athena 研討會中的建立資料表和執行查詢教學課程。

資料工程師

任務	描述	所需的技能
使用 Athena 作為資料來源建立 QuickSight 儀表板。	開啟 Amazon QuickSight 主控台，並按照 QuickSight 使用 Amazon Athena 研討會中的 Athena 教學課程視覺化中的指示建立 QuickSight 儀表板。 Amazon Athena	DBA、資料工程師

附件

若要存取與本文件相關聯的其他內容，請解壓縮下列檔案： attachment.zip

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

用於轉換資料的三種 AWS Glue 任務類型

使用 Amazon 視覺化IAM憑證報告 QuickSight

使用 Amazon Athena 和 Amazon 視覺化 Amazon Redshift 稽核日誌 QuickSight

Summary

先決條件和限制

架構

工具

史詩

相關資源

附件