查询 网络负载均衡器 日志
使用 Athena 分析和处理来自 网络负载均衡器 的日志。这些日志将接收有关发送到 网络负载均衡器 的传输层安全性 (TLS) 请求的详细信息。您可以使用这些访问日志分析流量模式并解决问题。
在分析 网络负载均衡器 访问日志之前,请启用并配置它们以保存在目标 Amazon S3 存储桶中。有关更多信息,请参阅 网络负载均衡器 的访问日志。
为 网络负载均衡器 日志创建表
-
将以下 DDL 语句复制并粘贴到 Athena 控制台中。检查 网络负载均衡器 日志记录的语法。您可能需要更新以下查询以包含列和最新版本的记录的 Regex 语法。
CREATE EXTERNAL TABLE IF NOT EXISTS nlb_tls_logs ( type string, version string, time string, elb string, listener_id string, client_ip string, client_port int, target_ip string, target_port int, tcp_connection_time_ms double, tls_handshake_time_ms double, received_bytes bigint, sent_bytes bigint, incoming_tls_alert int, cert_arn string, certificate_serial string, tls_cipher_suite string, tls_protocol_version string, tls_named_group string, domain_name string, new_field string ) ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.RegexSerDe' WITH SERDEPROPERTIES ( 'serialization.format' = '1', 'input.regex' = '([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*):([0-9]*) ([^ ]*):([0-9]*) ([-.0-9]*) ([-.0-9]*) ([-0-9]*) ([-0-9]*) ([-0-9]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*)($| [^ ]*)') LOCATION 's3://your_log_bucket/prefix/AWSLogs/AWS_account_ID/elasticloadbalancing/region'; -
修改
LOCATIONAmazon S3 存储桶以指定 网络负载均衡器 日志的目标。 -
在 Athena 控制台中运行查询。查询完成后,Athena 将注册
nlb_tls_logs表,使其中的数据可供查询。
网络负载均衡器 示例查询
要查看证书的使用次数,请使用与以下示例类似的查询:
SELECT count(*) AS ct, cert_arn FROM "nlb_tls_logs" GROUP BY cert_arn;
以下查询显示了使用旧版 TLS 的用户数:
SELECT tls_protocol_version, COUNT(tls_protocol_version) AS num_connections, client_ip FROM "nlb_tls_logs" WHERE tls_protocol_version < 'tlsv12' GROUP BY tls_protocol_version, client_ip;
使用以下查询可确定需要较长的 TLS 握手时间的连接:
SELECT * FROM "nlb_tls_logs" ORDER BY tls_handshake_time_ms DESC LIMIT 10;