Abfragen von Amazon VPC Flow-Protokollen
Amazon-Virtual-Private-Cloud-Flow-Protokolle erfassen Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in einer VPC. Verwenden Sie die Protokolle zur Untersuchung von Netzwerkdatenverkehrsmustern und zur Identifizierung von Bedrohungen und Risiken in Ihrem VPC-Netzwerk.
Sie haben zwei Möglichkeiten, Ihre Amazon-VPC-Flow-Protokolle abzufragen:
-
Amazon-VPC-Konsole – Verwenden Sie das Athena-Integrationsfeature in der Amazon-VPC-Konsole, um eine CloudFormation-Vorlage zu erstellen, die eine Athena-Datenbank-, Arbeitsgruppen- und Flow-Protokoll-Tabelle mit Partitionierung für Sie erstellt. Die Vorlage erstellt auch eine Reihe von Vordefinierte Flow-Protokoll-Abfragen, die Sie benutzen können, um Einblicke in den Verkehr zu erhalten, der durch Ihre VPC fließt.
Informationen zu diesem Ansatz finden Sie unter Abfrage-Flow-Protokolle mit Amazon Athena im Amazon-VPC-Benutzerhandbuch.
-
Amazon-Athena-Konsole – Erstellen Sie Ihre Tabellen und Abfragen direkt in der Athena-Konsole. Weitere Informationen finden Sie auf dieser Seite.
Bevor Sie die Protokolle in Athena abfragen, aktivieren Sie VPC-Flow-Protokolle und konfigurieren Sie diese so, dass sie in Ihrem Amazon-S3-Bucket gespeichert werden. Nach dem Erstellen der Protokolle führen Sie diese einige Minuten lang aus, um Daten zu erfassen. Die Protokolle werden in einem GZIP-Komprimierungsformat erstellt, das Sie über Athena direkt abfragen können.
Wenn Sie ein VPC-Flow-Protokoll erstellen, können Sie ein benutzerdefiniertes Format verwenden, wenn Sie die Felder, die im Flow-Protokoll zurückgegeben werden sollen, und die Reihenfolge, in der die Felder erscheinen, angeben möchten. Weitere Informationen zu Flow-Protokolle-Datensätzen finden Sie unter Flow-Protokolle-Datensätze im Amazon-VPC-Benutzerhandbuch.
Überlegungen und Einschränkungen
Beachten Sie beim Erstellen von Tabellen in Athena für Amazon-VPC-Flow-Protokolle die folgenden Punkte:
-
Standardmäßig greift Parquet in Athena auf Spalten nach Namen zu. Weitere Informationen finden Sie unter Schema-Updates verarbeiten.
-
Verwenden Sie die Namen in den Flow-Protokoll-Datensätzen für die Spaltennamen in Athena. Die Namen der Spalten im Athena-Schema sollten genau mit den Feldnamen in den Amazon-VPC-Flow-Protokollen übereinstimmen, mit den folgenden Unterschieden:
-
Ersetzen Sie die Bindestriche in den Namen des Amazon-VPC-Protokollfelds durch Unterstriche in den Spaltennamen in Athena. Informationen über zulässige Zeichen für Datenbank-, Tabellen- und Spaltennamen in Athena finden Sie unter Namen für Datenbanken, Tabellen und Spalten.
-
Maskieren Sie die Namen der Flow-Protokoll-Datensätze, die in Athena reservierte Schlüsselwörter sind, indem Sie sie in Backticks einschließen.
-
-
VPC Flow Logs sind AWS-Konto-spezifisch. Wenn Sie Ihre Protokolldateien in Amazon S3 veröffentlichen, enthält der Pfad, den Amazon VPC in Amazon S3 erstellt, die ID des AWS-Konto, das für die Erstellung des Flow-Protokolls verwendet wurde. Weitere Informationen finden Sie unter Veröffentlichen von Flow-Protokollen in Amazon S3 im Amazon-VPC-Benutzerhandbuch.
Themen
Erstellen Sie eine Tabelle für Amazon VPC Flow-Protokolle und fragen Sie sie ab
Erstellen von Tabellen für Flow-Protokolle im Apache-Parquet-Format
Erstellen und Abfragen einer Tabelle für Amazon-VPC-Flow-Protokolle mit Partitionsprojektion
Tabellen für Flow-Protokolle im Apache-Parquet-Format mit Partitionsprojektion erstellen
