AWS CloudTrail 是一項為 AWS 賬戶記錄 AWS API 調(diào)用和事件的服務(wù)。

CloudTrail 日志包含有關(guān)對 AWS 服務(wù)進(jìn)行的任何 API 調(diào)用的詳細(xì)信息，包括控制臺。CloudTrail 生成加密的日志文件并將其存儲在 Amazon? ?S3 中。有關(guān)更多信息，請參閱AWS CloudTrail 用戶指南。

將 Athena 與 CloudTrail 日志結(jié)合使用是加強對 AWS 服務(wù)活動進(jìn)行分析的強有力方法。例如，您可以使用查詢來確定趨勢，并根據(jù)屬性 (如源 IP 地址或用戶)進(jìn)一步隔離活動。

常見的應(yīng)用是使用 CloudTrail 日志分析運營活動的安全性和合規(guī)性。有關(guān)詳細(xì)示例的信息，請參閱 AWS 大數(shù)據(jù)博客文章使用 AWS CloudTrail 和 Amazon Athena 分析安全性、合規(guī)性和操作活動。（https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/ ）

可以使用 Athena，通過指定日志文件的LOCATION直接從 Amazon S3 中查詢這些日志文件。您可以通過兩種方式之一來執(zhí)行此操作：

- 通過直接從 CloudTrail 控制臺為 CloudTrail 日志文件創(chuàng)建表。

- 通過在 Athena 控制臺中手動為 CloudTrail 日志文件創(chuàng)建表。

另外，由於 S3 Server Access Log 和 CloudTrail Object Level Logging 的資料型態(tài)並不相同

因此對於兩種不同的 Log 的必須建立不同的 Table

若以 CloudTrail Object Level Logging 來說，您可以使用類似下列的 SQL 語句進(jìn)行查詢：

select * from cloudtrail_logs3 where eventname = 'DeleteObjects' and (requestparameters like '%XXX.results%') and eventtime > '2018-09-10T00:00:00Z'