経緯
CloudTrailやS3のアクセスログは細かく分割されているので大量のファイルを1つずつファイルを開いて解析することは困難です。
そこで今回はAthenaを使ってCloudTrailのログをテーブル化してqueryをつかって解析していきたいと思います。
設定
Athenaテーブルの作成
CloudTrailサービスより”イベント履歴”を選択し、「Athenaテーブル作成」をクリック
![](https://www.it-ouji.com/wp-content/uploads/2020/10/at_1-1024x117.png)
CloudTrailのログの保存場所を選択してテーブルを作成します。
![](https://www.it-ouji.com/wp-content/uploads/2020/10/at_2-1024x630.png)
テーブルが作成されました。リンクをクリックしてAthenaサービスへ移動します。
![](https://www.it-ouji.com/wp-content/uploads/2020/10/at_3-1024x141.png)
Athenaのクエリー結果を保存するバケットを設定
初めてAthenaを使用するときは、クエリー結果を保存するS3バケットが選択されていないのでエラーとなります。
”set up a query result location in Amazon S3”のリンクをクリックします。(もしくは”Settings”のメニューをクリック)
![](https://www.it-ouji.com/wp-content/uploads/2020/10/at_4-1024x140.png)
クエリ結果を保存するバケットを指定します。
(なければS3バケットをAthenaと同じリージョンで作成してください)
![](https://www.it-ouji.com/wp-content/uploads/2020/10/at_5.png)
クエリーを実行します。
[Query editor]タブを選択して、クエリーを記述し「Run queryボタン」をクリックします。
今回は、特定日のユーザーichiroの操作履歴を抽出しました。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/at_6-1024x489.png)
数秒で結果が表示されました。
AWSサイトに簡単なサンプルクエリーのページがあったので、下記に記載しておきます。
AWS CloudTrail ログ検索をするために Amazon Athena のテーブルを自動的に作成する方法を教えてください。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/athena-tables-search-cloudtrail-logs/