了解 CloudTrail 日志和 Athena 表 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解 CloudTrail 日志和 Athena 表

在开始创建表之前,应了解有关 CloudTrail 以及它如何存储数据的更多信息。这有助于创建所需的表,无论您从 CloudTrail 控制台或从 Athena 创建它们都是如此。

CloudTrail 将日志另存为采用压缩 gzip 格式的 JSON 文本文件 (*.json.gzip)。日志文件的位置取决于您如何设置跟踪、您正在记录的一个 Amazon Web Services 区域 或多个区域以及其他因素。

有关日志存储位置、JSON 结构和记录文件内容的更多信息,请参阅《Amazon CloudTrail 用户指南》中的以下主题:

要收集日志并将其保存到 Amazon S3,请从 Amazon Web Services Management Console 启用 CloudTrail。有关更多信息,请参阅《Amazon CloudTrail 用户指南》中的 创建跟踪记录

请记下您在其中保存日志的目标 Amazon S3 存储桶。将 LOCATION 子句替换为至 CloudTrail 日志位置的路径和要使用的一组对象。该示例使用特定账户的日志的 LOCATION 值,但您可以使用最适合您的应用程序的明确度程度。

例如:

  • 要分析多个账户中的数据,您可以通过使用 LOCATION 's3://amzn-s3-demo-bucket/AWSLogs/',回滚 LOCATION 说明符来指示所有 AWSLogs

  • 要分析特定日期、账户和区域中的数据,请使用 LOCATION 's3://amzn-s3-demo-bucket/123456789012/CloudTrail/us-east-1/2016/03/14/'.

如果使用对象层次结构中的最高级别,则可以在使用 Athena 查询时获得最高程度的灵活度。