Eseguire query sui log di flusso Amazon VPC - Amazon Athena
Considerazioni e limitazioni

Eseguire query sui log di flusso Amazon VPC

I flussi di log Amazon Virtual Private Cloud acquisiscono informazioni sul traffico IP da e verso le interfacce di rete in un VPC. Utilizza i log per analizzare i modelli di traffico di rete e identificare le minacce e i rischi nella rete VPC.

Per eseguire query nel flusso di log di Amazon VPC, sono disponibili due opzioni:

  • Console Amazon VPC: utilizza la funzione di integrazione Athena nella console Amazon VPC per generare un modello CloudFormation che crea un database Athena, un gruppo di lavoro e una tabella di flussi di log con il partizionamento. Il modello crea inoltre un set di query di flusso di log predefinite che può essere utilizzato per ottenere informazioni dettagliate sul traffico in transito attraverso il VPC.

    Per ulteriori informazioni su questo approccio, consulta Eseguire una query dei flussi di log tramite Amazon Athena nella Guida per l'utente di Amazon VPC.

  • Console Amazon Athena: crea le tabelle e le query direttamente nella console Athena. Per maggiori informazioni, continua a leggere questa pagina.

Prima di iniziare a eseguire query sui log in Athena, abilita i log di flusso VPC e configurali in modo che possano essere salvati nel bucket Amazon S3. Dopo aver creato i log, lasciali in esecuzione per qualche minuto per raccogliere alcuni dati. I log vengono creati in un formato di compressione GZIP su cui Athena consente di eseguire query direttamente.

Durante la creazione di un log di flusso, puoi utilizzare un formato personalizzato quando vuoi specificare quali campi restituire nel log di flusso e l'ordine in cui visualizzarli. Per ulteriori informazioni sui record dei log di flusso, consulta Record log di flusso nella Guida per l'utente di Amazon VPC.

Considerazioni e limitazioni

Quando si creano tabelle nei flussi di log di Athena per Amazon VPC, tenere in considerazione i seguenti punti:

  • Per impostazione predefinita, in Athena, Parquet accederà alle colonne in base al nome. Per ulteriori informazioni, consulta Gestire gli aggiornamenti degli schemi.

  • Utilizzare i nomi nei record del flusso di log per i nomi delle colonne in Athena. I nomi delle colonne nello schema Athena devono corrispondere esattamente ai nomi dei campi nel flusso di log Amazon VPC, con le seguenti differenze:

    • Sostituire i trattini nei nomi dei campi di log di Amazon VPC con i caratteri di sottolineatura nei nomi delle colonne Athena. Per informazioni sui caratteri consentiti per i nomi di database, tabelle e colonne in Athena, consultare Nomi di tabelle, database e colonne.

    • Escludere i nomi dei registri del flusso di log che rappresentano in Athena parole chiave riservate, racchiudendoli tra apici retroversi (`).

  • I registri di flusso del VPC sono specifici per Account AWS. Quando pubblichi i tuoi file di log su Amazon S3, il percorso creato da Amazon VPC in Amazon S3 include l'ID dell'Account AWS che è stato utilizzato per crearli. Per ulteriori informazioni, consulta la sezione relativa alla pubblicazione di registri di flusso in Amazon S3 nella Guida per l'utente di Amazon VPC.

Argomenti