使用Athena分析日志

如果需要查看AWS CloudTrail 事件历史记录，推荐选择使用Amazon Security Lake统一收集并用Athena查询。（好处是开启Amazon Security Lake以后直接就可以使用Athena查询比如CloudTrail日志了，不需要再配置Athena创建数据库和表以及也不需要做字段拆分。非常方便）使用AWS Security Lake统一收集并用Athena查询会比使用CloudTrail Lake进行日志的分析要便宜，两者的对比可以参见此文档。

Athena结合Jupyter Notebook实现安全事件排查

由于Athena查询数据库是通过SQL语句查询的，没办法按照应用场景很好的切分，排查事件的时候还需要翻找一些运维文档。可以使用Jupyter Notebook通过Markdown+python脚本的方式边调整参数边查看查询出来的结果，得到更优质的体验。

Resources from AWS

• [Github] AWS Security Analytics Bootstrap Deployment Guide

• [Doc] Running SQL Queries Using Amazon Athena

• [Doc] Querying AWS Service Logs

• [Blog] Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena

• [Blog] Athena Performance Tips

• [Q&A] CTAS Bucketing Guidance

• [Blog]CloudTrail日志用Athena分析 https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/

• [Blog] ALB日志用Athena分析 https://aws.amazon.com/blogs/big-data/analyzing-data-in-s3-using-amazon-athena/

Third Party Resources

• [Guide] The Athena Guide

• [Doc] Presto Documentation (current)

• [Book] Presto The Definitive Guide (e-book)