CloudTrail 証跡から Athena テーブルを作成する際に対象となるログファイルの期間を調整する方法

CloudTrail 証跡から Athena テーブルを作成する際に対象となるログファイルの期間を調整する方法

#AWS
#AWS CloudTrail
#Amazon Athena
大森純子

大森純子

facebook logohatena logotwitter logo
Clock Icon2025.01.27

こんにちは。
テクサポの大森です。
最近娘の影響でポケモン Kids TV ばっかり見てます。

■ 問題

CloudTrail 証跡を Athena で分析する際、CloudTrail コンソール上からテーブルを作成することができます。
しかし、上記方法で作成した場合ログファイルの出力先となる S3 バケットが指定されるため、分析したい期間が決まっている場合は余分なデータも含める形でテーブルが作成されてしまいます。

■ 解決方法

テーブルクエリをコピーして LOCATION に期間までを含めた場所を指定し、
Athena コンソールで直接テーブルを作成することで対象となるデータを絞ってテーブル作成が可能です。

■ テーブル作成手順

① CloudTrail コンソールのイベント履歴を表示し、画面右の 「 Athena テーブルを作成 」を選択してください

cloudtrail-event-list

②ストレージの場所に CloudTrail 証跡の配信先である S3 バケットを指定することでクエリが自動生成されるので、ここで「テーブル作成ボタン」を押下せずクエリをコピーしてください

query-first

③ Athena コンソールを開き、クエリエディタにコピーしたクエリを貼りつけ、 LOCATION を編集してください
※以下の例だと東京リージョンの 2025/01 を指定しています
「s3://<証跡 S3 バケット名>/AWSLogs/<AWSアカウントID>/CloudTrail/ap-northeast-1/2025/01/」
※作成したテーブルのデータ期間が分かるようにテーブル名を編集するのもお勧めです。
「CREATE EXTERNAL TABLE cloudtrail_logs_<デフォルトで S3 バケット名が入ります>_202501」

④クエリを実行してください
※実行ボタンがグレーアウトして実行できない場合は、設定タブの「クエリの結果の場所」が指定されているかご確認ください

athena-setting-tab

■ 最後に

上記の手順で分析したい範囲を調整してテーブル作成が可能ですので、お試しください。
この記事がどなたかのお役に立つと幸いです。

■ 参考ドキュメント

Athena テーブルを使用して CloudTrail ログを検索する
CREATE TABLE

Share this article

facebook logohatena logotwitter logo

関連記事

AMI より起動した Windows OS の EC2インスタンスで以前と異なるドライブレターマッピングになる原因を教えてください

AMI より起動した Windows OS の EC2インスタンスで以前と異なるドライブレターマッピングになる原因を教えてください

User avatar
片方 裕人
2025.01.28
[AWS CDK] CloudFrontの標準ログV2をカスタムリソースとして設定してみた

[AWS CDK] CloudFrontの標準ログV2をカスタムリソースとして設定してみた

User avatar
のんピ
2025.01.28
ECR へのアクセスを VPC エンドポイント経由のみに制限する方法を教えてください

ECR へのアクセスを VPC エンドポイント経由のみに制限する方法を教えてください

User avatar
hato
2025.01.28
AWS CodeBuild のリザーブドキャパシティフリートで Windows の Docker イメージをビルドしてみた

AWS CodeBuild のリザーブドキャパシティフリートで Windows の Docker イメージをビルドしてみた

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.