查询 网络负载均衡器 日志 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查询 网络负载均衡器 日志

使用 Athena 分析和处理来自 网络负载均衡器 的日志。这些日志将接收有关发送到 网络负载均衡器 的传输层安全性 (TLS) 请求的详细信息。您可以使用这些访问日志分析流量模式并解决问题。

在分析 网络负载均衡器 访问日志之前,请启用并配置它们以保存在目标 Amazon S3 存储桶中。有关更多信息,请参阅 网络负载均衡器 的访问日志

为 网络负载均衡器 日志创建表

  1. 将以下 DDL 语句复制并粘贴到 Athena 控制台中。检查 网络负载均衡器 日志记录的语法。您可能需要更新以下查询以包含列和最新版本的记录的 Regex 语法。

    CREATE EXTERNAL TABLE IF NOT EXISTS nlb_tls_logs ( type string, version string, time string, elb string, listener_id string, client_ip string, client_port int, target_ip string, target_port int, tcp_connection_time_ms double, tls_handshake_time_ms double, received_bytes bigint, sent_bytes bigint, incoming_tls_alert int, cert_arn string, certificate_serial string, tls_cipher_suite string, tls_protocol_version string, tls_named_group string, domain_name string, new_field string ) ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.RegexSerDe' WITH SERDEPROPERTIES ( 'serialization.format' = '1', 'input.regex' = '([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*):([0-9]*) ([^ ]*):([0-9]*) ([-.0-9]*) ([-.0-9]*) ([-0-9]*) ([-0-9]*) ([-0-9]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*) ([^ ]*)($| [^ ]*)') LOCATION 's3://your_log_bucket/prefix/AWSLogs/AWS_account_ID/elasticloadbalancing/region';
  2. 修改 LOCATION Amazon S3 存储桶以指定 网络负载均衡器 日志的目标。

  3. 在 Athena 控制台中运行查询。查询完成后,Athena 将注册 nlb_tls_logs 表,使其中的数据可供查询。

网络负载均衡器 示例查询

要查看证书的使用次数,请使用与以下示例类似的查询:

SELECT count(*) AS ct, cert_arn FROM "nlb_tls_logs" GROUP BY cert_arn;

以下查询显示了使用旧版 TLS 的用户数:

SELECT tls_protocol_version, COUNT(tls_protocol_version) AS num_connections, client_ip FROM "nlb_tls_logs" WHERE tls_protocol_version < 'tlsv12' GROUP BY tls_protocol_version, client_ip;

使用以下查询可确定需要较长的 TLS 握手时间的连接:

SELECT * FROM "nlb_tls_logs" ORDER BY tls_handshake_time_ms DESC LIMIT 10;