Athenaを使用してCloudTrailログを調べる。

1.マネージメントコンソールの検索欄から、CloudTrailを検索し、アクセスする。

2.Athenaを使用する前に、検索したい証跡とS3バケット名をメモします。
 ナビゲーションペインの証跡で確認できます。
 証跡:my-management-event
 S3バケット名:aws-cloudtrail-logs-093456473079-12b8a943

3.Athenaのテーブル作成を行います。
 ナビゲーションペインのイベント履歴をクリックします。
 次に、右上のAthenaテーブルの作成のボタンをクリックします。

4.ストレージの場所を、選択します。
 先ほどメモしたS3のバケット名を選択します。
 次にテーブルの作成をクリックします。

5.テーブルを作成をクリックすると、画面上に緑色のメニューに作成したテーブルのリンクが表示されるので、クリックします。

 

6.Amazon S3 でクエリ結果の場所を設定する。
設定タブを選択します。
「管理」をクリックします。

7.S3を参照をクリックします。
 バケットを選択して、保存します。

8.「エディタ」タブに戻ります。
クエリを入力します。
下記が、コンソールログインをすべて表示するクエリになります。(テーブル名は変更します)

SELECT useridentity.username, sourceipaddress, eventtime, additionaleventdata
FROM your_athena_tablename 
WHERE eventname = 'ConsoleLogin'

以下のリンクに参考クエリがあります。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/athena-tables-search-cloudtrail-logs/?nc1=h_ls

実行を押すと検索結果が表示されます。

以上になります。

この記事が気に入ったら
いいねしてね!

よかったらシェアしてね!
目次
閉じる