経緯
CloudTrailやS3のアクセスログは細かく分割されているので大量のファイルを1つずつファイルを開いて解析することは困難です。
そこで今回はAthenaを使ってCloudTrailのログをテーブル化してqueryをつかって解析していきたいと思います。
設定
Athenaテーブルの作成
CloudTrailサービスより”イベント履歴”を選択し、「Athenaテーブル作成」をクリック
CloudTrailのログの保存場所を選択してテーブルを作成します。
テーブルが作成されました。リンクをクリックしてAthenaサービスへ移動します。
Athenaのクエリー結果を保存するバケットを設定
初めてAthenaを使用するときは、クエリー結果を保存するS3バケットが選択されていないのでエラーとなります。
”set up a query result location in Amazon S3”のリンクをクリックします。(もしくは”Settings”のメニューをクリック)
クエリ結果を保存するバケットを指定します。
(なければS3バケットをAthenaと同じリージョンで作成してください)
クエリーを実行します。
[Query editor]タブを選択して、クエリーを記述し「Run queryボタン」をクリックします。
今回は、特定日のユーザーichiroの操作履歴を抽出しました。
数秒で結果が表示されました。
AWSサイトに簡単なサンプルクエリーのページがあったので、下記に記載しておきます。
AWS CloudTrail ログ検索をするために Amazon Athena のテーブルを自動的に作成する方法を教えてください。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/athena-tables-search-cloudtrail-logs/