查询 Amazon VPC 流日志 - Amazon Athena
注意事项和限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查询 Amazon VPC 流日志

Amazon Virtual Private Cloud 流日志捕获有关在 VPC 中传入和传出网络接口的 IP 流量的信息。可使用日志来调查网络流量模式,并识别 VPC 网络中的威胁和风险。

若要查询 Amazon VPC 流日志,您有两种选择:

  • Amazon VPC 控制台 – 使用 Amazon VPC 控制台中的 Athena 集成功能生成 Amazon CloudFormation 模板,用于创建 Athena 数据库、工作组和流日志表并为您进行分区。该模板还会创建一组预定义的流日志查询,可用于获取有关流经 VPC 的流量的洞察。

    有关此方法更多信息,请参阅《Amazon VPC 用户指南》中的使用 Amazon Athena 查询流日志

  • Amazon Athena 控制台 – 直接在 Athena 控制台中创建表和查询。有关更多信息,请继续阅读此页面。

当您开始在 Athena 中查询日志之前,启用 VPC 流日志,并将其配置为保存到您的 Amazon S3 存储桶。在您创建日志后,让它们运行几分钟以收集一些数据。这些日志是采用 Athena 允许您直接查询的 GZIP 压缩格式创建的。

创建 VPC 流日志时,当您希望指定在流日志中返回的字段以及这些字段的显示顺序时,请使用自定义格式。有关流日志记录的更多信息,请参阅《Amazon VPC 用户指南》中的流日志记录

注意事项和限制

在 Athena 中为 Amazon VPC 流日志创建表时,请记住以下几点:

  • 默认情况下,在 Athena 中,Parquet 将按名称访问列。有关更多信息,请参阅 处理架构更新

  • 使用流日志记录中的名称作为 Athena 中列的名称。Athena 架构中列的名称应与 Amazon VPC 流日志中的字段名称完全匹配,但有以下不同之处:

    • 将 Amazon VPC 日志字段名称中的连字符替换为 Athena 列名称中的下划线。有关 Athena 中可接受的数据库名称、表名以及列名的字符的信息,请参阅命名数据库、表和列

    • 在 Athena 中,使用反引号将保留关键字中的流日志记录名称括起来,将其转义。

  • VPC 流日志特定于 Amazon Web Services 账户。当您将日志文件发布到 Amazon S3 时,在 Amazon S3 中创建的 Amazon VPC 的路径包含用于创建流日志的 Amazon Web Services 账户 ID。有关更多信息,请参阅 Amazon VPC 用户指南中的将流日志发布到 Amazon S3

主题