使用Security Lake和Athena分析日志

如果需要查看AWS CloudTrail 事件历史记录，推荐选择使用Amazon Security Lake统一收集并用Athena查询。（好处是开启Amazon Security Lake以后直接就可以使用Athena查询比如CloudTrail日志了，不需要再配置Athena创建数据库和表以及也不需要做字段拆分。非常方便）具体可以查看使用Security Lake收集安全日志，以及使用Athena分析日志。使用AWS Security Lake统一收集并用Athena查询会比使用CloudTrail Lake进行日志的分析要便宜，两者的对比可以参见此文档。

如果之前使用CloudTrail+Athena查询，切换到Security Lake保存日志后可以通过：

github-https://github.com/ocsf/examples/tree/main/Identity%20%26%20Access%20Management/Account%20Change/AWS/CloudTrail

检索字段的映射关系进行替换。

安装Security Lake

https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html?icmpid=docs_security-lake_help_panel

1 - 点击 Get started

2 - 定义收集的对象

可以选择收集所有类型的日志，也可以指定想要收集的日志类型。

推荐选择所有的：

可以选择所有区域的日志，也可以指定想要收集的区域。

推荐选择所有的：

之后选择集中存储日志的区域，比如Rollup Region都设置为US East(Ohio)，被汇总的区域写在Contributing Region中：

之后配置S3存储桶的生命周期策略，比如30天后保存到Standard-IA，180天后保存到Glacier Deep Archive。点击Enable就配置完成了。

访问Athena查询日志进行分析

参考资料

[Github] Amazon Security Lake Example Queries

[Github] cloudtrail_demo_queries

[Guide] The Athena Guide