1.マネージメントコンソールの検索欄から、CloudTrailを検索し、アクセスする。
2.Athenaを使用する前に、検索したい証跡とS3バケット名をメモします。
ナビゲーションペインの証跡で確認できます。
証跡:my-management-event
S3バケット名:aws-cloudtrail-logs-093456473079-12b8a943
3.Athenaのテーブル作成を行います。
ナビゲーションペインのイベント履歴をクリックします。
次に、右上のAthenaテーブルの作成のボタンをクリックします。
4.ストレージの場所を、選択します。
先ほどメモしたS3のバケット名を選択します。
次にテーブルの作成をクリックします。
5.テーブルを作成をクリックすると、画面上に緑色のメニューに作成したテーブルのリンクが表示されるので、クリックします。 |
6.Amazon S3 でクエリ結果の場所を設定する。
設定タブを選択します。
「管理」をクリックします。
7.S3を参照をクリックします。
バケットを選択して、保存します。
8.「エディタ」タブに戻ります。
クエリを入力します。
下記が、コンソールログインをすべて表示するクエリになります。(テーブル名は変更します)
SELECT useridentity.username, sourceipaddress, eventtime, additionaleventdata
FROM your_athena_tablename
WHERE eventname = 'ConsoleLogin'
以下のリンクに参考クエリがあります。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/athena-tables-search-cloudtrail-logs/?nc1=h_ls
実行を押すと検索結果が表示されます。
以上になります。