Amazon Athena에서 테이블을 자동으로 생성하여 AWS CloudTrail 로그를 검색하려면 어떻게 해야 합니까?

해결 방법

CloudTrail 콘솔을 사용하여 Athena 테이블을 자동으로 생성합니다. 자세한 내용을 보려면 Amazon Athena를 사용한 AWS CloudTrail 로그 검색을 참조하십시오.

CloudTrail 로그에서 Athena 테이블 생성

다음 단계를 완료하십시오.

1. CloudTrail 콘솔을 엽니다.
2. 탐색 창에서 추적을 선택한 다음, CloudTrail 로그가 포함된 Amazon Simple Storage Service(Amazon S3) 버킷의 이름을 기록해 둡니다.
3. 탐색 창에서 이벤트 기록을 선택한 다음, Athena 테이블 생성을 선택합니다.
4. Amazon Athena에서 테이블 생성 창의 스토리지 위치 메뉴에서 S3 버킷을 선택합니다.
   참고: 특정 시간 범위 내에서 검색을 개선하려면 Athena의 CloudTrail 로그에 파티션 프로젝션을 사용할 수 있습니다.
5. 테이블 생성을 선택합니다.
6. Athena로 이동을 선택합니다.

참고: "Your account does not have sufficient permissions to create tables in Amazon Athena" 오류가 표시될 수 있습니다. 이 오류가 발생하면 AmazonAthenaFullAccess 관리형 정책을 AWS Identity and Access Management(IAM) 역할에 연결하십시오.

CloudTrail 로그 테이블에서 Athena 쿼리 실행

다음 단계를 완료하십시오.

1. Athena 콘솔을 엽니다.
2. 새 쿼리를 선택한 다음, 샘플 쿼리를 지웁니다.
3. 쿼리를 입력한 다음, 쿼리 실행을 선택합니다.

예제 쿼리 사용

다음은 실행할 수 있는 쿼리의 예입니다.

참고: 다음 쿼리에서 your_athena_tablename을 Athena 테이블 이름으로 바꾸고 access_key_id를 20자의 액세스 키로 바꾸십시오. 액세스 키는 일반적으로 문자 AKIA 또는 ASIA로 시작합니다.

특정 액세스 키에 대해 기록된 모든 AWS API 활동을 표시하려면 다음 쿼리를 실행하십시오.

SELECT eventTime, eventName, userIdentity.principalId  
  FROM your_athena_tablename   
 WHERE userIdentity.accessKeyId like 'access_key_id'

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 보안 그룹 변경 사항을 식별하려면 다음 쿼리를 실행하십시오.

SELECT eventname, useridentity.username, sourceIPAddress, eventtime, requestparameters  
  FROM your_athena_tablename  
 WHERE (requestparameters LIKE '%sg-5887f224%' OR requestparameters LIKE '%sg-e214609e%' OR requestparameters LIKE '%eni-6c5ca5a8%')  
       AND eventtime > '2017-02-15T00:00:00Z'  
 ORDER BY eventtime ASC;

지난 24시간 동안의 모든 콘솔 로그인을 표시하려면 다음 쿼리를 실행하십시오.

SELECT useridentity.username, sourceipaddress, eventtime, additionaleventdata  
  FROM your_athena_tablename   
 WHERE eventname = 'ConsoleLogin'  
       AND eventtime >= '2017-02-17T00:00:00Z'  
       AND eventtime < '2017-02-18T00:00:00Z';

지난 24시간 동안 실패한 모든 콘솔 로그인 시도를 표시하려면 다음 쿼리를 실행하십시오.

SELECT useridentity.username, sourceipaddress, eventtime, additionaleventdata  
  FROM your_athena_tablename  
 WHERE eventname = 'ConsoleLogin'  
       AND useridentity.username = 'HIDDEN_DUE_TO_SECURITY_REASONS'  
       AND eventtime >= '2017-02-17T00:00:00Z'  
       AND eventtime < '2017-02-18T00:00:00Z';

CloudTrail의 월별 비용 증가를 파악하려면 다음 쿼리를 실행하십시오.

SELECT eventName,count(eventName) AS NumberOfChanges,eventSource  
  FROM your_athena_tablename   
 WHERE eventtime >= '2019-01-01T00:00:00Z' AND eventtime < '2019-01-31T00:00:00Z'  
 GROUP BY eventName, eventSource  
 ORDER BY NumberOfChanges DESC

참고: 정의된 eventtime 값은 한 달에 대한 값입니다. 여러 달에 대한 결과를 얻으려면 추가 쿼리를 실행하십시오.

누락된 IAM 권한을 식별하려면 다음 쿼리를 실행하십시오.

SELECT COUNT(*) AS TotalEvents, useridentity.arn, eventsource, eventname, errorCode, errorMessage  
  FROM your_athena_tablename  
 WHERE (errorcode LIKE '%Denied%' OR errorcode LIKE '%Unauthorized%')  
   AND eventtime >= '2019-10-28T00:00:00Z'  
   AND eventtime < '2019-10-29T00:00:00Z'  
 GROUP BY eventsource, eventname, errorCode, errorMessage, useridentity.arn  
 ORDER BY eventsource, eventname

실패한 API 호출이 결과에 표시되지 않는 경우 쿼리 범위를 늘리십시오.

SELECT COUNT(*) as TotalEvents, useridentity.arn, eventsource, eventname, errorCode, errorMessage  
  FROM your_athena_tablename  
 WHERE errorcode <> ''  
       AND eventtime >= '2019-10-28T00:00:00Z'  
       AND eventtime < '2019-10-29T00:00:00Z'  
 GROUP BY eventsource, eventname, errorCode, errorMessage, useridentity.arn  
 ORDER BY eventsource, eventname

관련 정보

AWS CloudTrail 로그 쿼리

IAM 자격 증명 권한 추가 및 제거

IAM 권한 액세스 거부됨 또는 승인되지 않음 오류를 해결하는 데 도움이 되는 데이터를 어떻게 얻을 수 있습니까?