Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Eine Tabelle für Netzwerkfluss-Protokolle erstellen und abfragen
<a name="querying-network-firewall-logs-sample-netflow-logs-table"></a>

1. Ändern Sie die folgende DDL-Beispielanweisung so, dass sie der Struktur Ihrer Netzwerkfluss-Protokolle entspricht. Möglicherweise müssen Sie die Anweisung so aktualisieren, dass sie die Spalten für die neueste Version der Protokolle enthält. Weitere Informationen finden Sie unter [Inhalt eines Firewall-Protokolls](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html#firewall-logging-contents) im *AWS Network Firewall -Entwicklerhandbuch*.

   ```
   CREATE EXTERNAL TABLE network_firewall_netflow_logs (
     firewall_name string,
     availability_zone string,
     event_timestamp string,
     event struct<
       timestamp:string,
       flow_id:bigint,
       event_type:string,
       src_ip:string,
       src_port:int,
       dest_ip:string,
       dest_port:int,
       proto:string,
       app_proto:string,
       tls_inspected:boolean,
       netflow:struct<
         pkts:int,
         bytes:bigint,
         start:string,
         `end`:string,
         age:int,
         min_ttl:int,
         max_ttl:int,
         tcp_flags:struct<
           syn:boolean,
           fin:boolean,
           rst:boolean,
           psh:boolean,
           ack:boolean,
           urg:boolean
           >
         >
       >
   )
   ROW FORMAT SERDE 'org.openx.data.jsonserde.JsonSerDe' 
   LOCATION 's3://amzn-s3-demo-bucket/{{path_to_netflow_logs_folder}}/';
   ```

1. Ändern Sie die `LOCATION`-Klausel, um den Ordner für Ihre Protokolle in Amazon S3 anzugeben.

1. Führen Sie die `CREATE TABLE`-Abfrage im Athena-Abfrage-Editor aus. Nach Abschluss der Abfrage registriert Athena die `network_firewall_netflow_logs`-Tabelle, sodass die Daten, auf die sie verweist, für Abfragen bereitstehen.

## Beispielabfrage
<a name="querying-network-firewall-logs-netflow-log-sample-query"></a>

Das Beispiel für eine Netzwerkfluss-Protokollabfrage in diesem Abschnitt filtert nach Ereignissen, bei denen eine TLS-Überprüfung durchgeführt wurde.

Die Abfrage verwendet Aliase, um Ausgabespaltenüberschriften zu erstellen, die das `struct` anzeigen, zu dem die Spalte gehört. Beispielsweise lautet die Spaltenüberschrift für das `event.netflow.bytes`-Feld `event_netflow_bytes` statt nur `bytes`. Um die Spaltennamen weiter anzupassen, können Sie die Aliase an Ihre Präferenzen anpassen. Sie können beispielsweise Unterstriche oder andere Trennzeichen verwenden, um die `struct`-Namen und Feldnamen abzugrenzen. 

Denken Sie daran, Spaltennamen und `struct`-Verweise auf der Grundlage Ihrer Tabellendefinition und der Felder, die Sie im Abfrageergebnis haben möchten, zu ändern.

```
SELECT
  event.src_ip AS event_src_ip,
  event.dest_ip AS event_dest_ip,
  event.proto AS event_proto,
  event.app_proto AS event_app_proto,
  event.tls_inspected AS event_tls_inspected,
  event.netflow.pkts AS event_netflow_pkts,
  event.netflow.bytes AS event_netflow_bytes,
  event.netflow.tcp_flags.syn AS event_netflow_tcp_flags_syn 
FROM network_firewall_netflow_logs 
WHERE event.tls_inspected = true
```