AWS AthenaでCloudTrailのS3オブジェクトログを解析をしてみました!

AWS AthenaでCloudTrailのS3オブジェクトログを解析をしてみました!

AWS re:Invent 2016

AWS re:Invent 2016

#Amazon Athena
#Amazon S3
#AWS CloudTrail
#AWS
Ryosuke IGARASHI

Ryosuke IGARASHI

facebook logohatena logotwitter logo
Clock Icon2016.12.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

モバイルアプリサービス部の五十嵐です。

はじめてAthenaを使ってみたところクエリで苦戦して社内のメンバーに助けてもらったので、きっと他にも困っている人がいるだろうと思い記事にまとめました。

目的

これまでS3オブジェクトの操作ログは、S3のログ記録機能を使い、S3に出力されたログをLambdaからElasticsearch Serviceに登録し、Kibanaで参照していました。(以下は関連記事。)

今回は、上記の仕組みを「CloudTrailのS3オブジェクトログ+Athena」に置き換えが可能かどうかを検証してみました。

ちなみに、CloudTrailのS3オブジェクトログも最近追加された機能です。詳しくは以下を参照してください。

CloudTrailの設定

まずはCloudTrailの証跡情報の設定をします。

監視対象バケット(cm-athena-test)内のオブジェクトが操作(GET/PUT/DELETE/など)されたログが、ログ保管バケット(cm-athena-test-log)に保管されるように設定します。

スクリーンショット 2016-12-07 17.58.49

  • cm-athena-testバケットが監視対象のバケット
  • cm-athena-test-logバケットがログ保管用のバケット

Athenaの設定

データベース定義

ウィザートに従い入力していきます。

Location of Input Data Setはデータベースのレコードとして扱うデータが置かれているS3のパスを設定します。 CloudTrailのログは s3://cm-athena-test-log/AWSLogs/XXXXXXXXXXXX/CloudTrail/ap-northeast-1/yyyy/mm/dd/*.json.gz というパスに保管されますので、固定値として設定できるまでのパス s3://cm-athena-test-log/AWSLogs/XXXXXXXXXXXX/CloudTrail/ap-northeast-1/ を設定します。

スクリーンショット 2016-12-07 18.04.33

フォーマットはJSONです。ファイルはGZip圧縮されていますがAthenaはそのまま読み込んでくれます。

スクリーンショット 2016-12-07 18.04.46

次にカラムを定義なのですが、CloudTrailのログフォーマットはArrayの中にJSONのログレコードが複数ある構造になっているため、ウィザードでは作成することはできませんでした。

スクリーンショット 2016-12-07 16.17.21

ログファイルのデータ構造。

{
"Records": [
{
...
"eventTime": "2016-12-07T04:49:40Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetObject",
...
},
{
...
"eventTime": "2016-12-07T04:49:40Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetObject",
...
},
]
}

(このままウィザードを進めることでデータベースは作成されます。)

テーブル定義

ウィザードから定義ができないので諦めかけたのですが、社内のメンバーからHiveのSerDeを使っているっぽいので、その文法に従えばできるのではというアドバイスをもらいやってみたところ、以下のクエリでこのデータ構造のカラムを作ることができました。

CREATE EXTERNAL TABLE IF NOT EXISTS cm-athena-test.records (
records ARRAY<STRUCT<eventTime:STRING,eventSource:STRING,eventName:STRING>>
)
ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe'
WITH SERDEPROPERTIES (
'serialization.format' = '1'
) LOCATION 's3://cm-athena-test-log/AWSLogs/XXXXXXXXXXXX/CloudTrail/ap-northeast-1/'

検索クエリ

作成したテーブルのカラムはArray型なのでそのまま検索すると配列が返ります。

SELECT * FROM records LIMIT 10;

スクリーンショット 2016-12-07 18.35.53

配列の1要素ごとに対して条件指定をするには、 UNNEST 構文を利用することで絞り込むことができました。

SELECT record
FROM records
CROSS JOIN UNNEST(records) AS t (record)
WHERE record.eventName = 'PutObject';

スクリーンショット 2016-12-07 17.24.55

まとめ

当初の目的であった「Athenaに置き換えが可能かどうか」については実現できることがわかりました。ただAthenaはKibanaほど検索方法が優しくはないので、フロントのWeb画面を用意してあげてクエリはJDBCで実行するようにすれば良さそうです。

他にもS3に蓄積されている大量のログの調査などに使えそうと思いました。ただデータ構造は配列ではなく改行区切りの方が扱いやすくて良いですね。もし自分でデータ構造を定義することがあれば検索することも考慮して設計しようと思いました。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

[Tips] Amazon Athena 6億レコードのサンプルデータ「SSB」を準備する

[Tips] Amazon Athena 6億レコードのサンプルデータ「SSB」を準備する

User avatar
石川覚
2024.11.10
Amazon Athena Icebergテーブルで100パーティションの壁を超えてみた

Amazon Athena Icebergテーブルで100パーティションの壁を超えてみた

User avatar
石川覚
2024.10.26
[調査報告] Amazon Athena 従来のS3ファイルレイアウトとIcebergテーブルフォーマットのデータ容量比較

[調査報告] Amazon Athena 従来のS3ファイルレイアウトとIcebergテーブルフォーマットのデータ容量比較

User avatar
石川覚
2024.10.25
QuickSight データセットに設定した Athena で Partition Projection の終了日を変更したテーブルを同じ名前で再作成しても大丈夫かやってみた

QuickSight データセットに設定した Athena で Partition Projection の終了日を変更したテーブルを同じ名前で再作成しても大丈夫かやってみた

User avatar
emi
2024.10.22
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.