Amazon S3に保存した監査ログをAmazon Athenaアクションで検索する

以下の手順で、監査ログストリーミングでAmazon S3に保存した監査ログをAmazon Athenaアクションで検索できます。

事前準備

監査ログストリーミングに設定するバケットをAmazon S3で作成し、作成したバケットをベースマキナで監査ログのストリーミング先として設定します。

監査ログストリーミングの設定方法の詳細は監査ログのAmazon S3へのストリーミングをご参照ください。

1. Amazon Athenaデータソースを設定する

Amazon Athenaでデータベースを作成し、作成したデータベースをベースマキナのデータソースとして設定します。

データソースの設定方法の詳細はAmazon Athenaデータソースの設定をご参照ください。

2. Amazon Athenaでテーブルを作成する

Amazon Athenaで、2で作成したデータベースに1で作成したAmazon S3のバケットを使ってテーブルを作成します。

テーブルの例はテーブルの例をご参照ください。

テーブルの作成方法の詳細はAmazon AthenaのドキュメントのAthena でテーブルを作成する (opens in a new tab)をご参照ください。

3. Amazon Athenaアクションを設定する

1で設定したデータソースと、2で作成したテーブルに対してクエリを実行するSQL文を設定したアクションを作成します。

SELECT *
FROM your_table_name
-- 監査ログの種類を指定
WHERE audit_log_type = 'execute_action'
AND partition_date > '2025-01-01'
ORDER BY timestamp DESC
LIMIT 1000;

アクションの設定方法の詳細はAmazon Athenaアクションの設定をご参照ください。

4. アクションを実行する

アクションを実行すると、設定したSQL文が実行され、監査ログのデータが取得できます。

さらに{id=aaabbbcccdddeee, name=開発環境}のような文字列のAthenaのMAPやARRAY型の列の値は、以下のようにCAST関数でJSON型に変換するとJavaScriptのオブジェクトや配列などに変換できます。

SELECT
    CAST(action AS JSON) AS action,
    CAST(environment AS JSON) AS environment
FROM your_table_name
WHERE audit_log_type = 'execute_action'
AND partition_date > '2025-01-01'
ORDER BY timestamp DESC
LIMIT 1000;

詳細はARRAY,ROW,MAP型の列の値をJavaScriptの配列やオブジェクトに変換するをご参照ください。

テーブルの例

以下は監査ログの形式に合わせたテーブルの例です。

-- your_bucket_nameには監査ログストリーミングに設定したAmazon S3のバケットの名前を指定してください。
-- your_database_nameには1で作成したデータベースの名前を指定してください。
-- your_table_nameは任意の名前を指定してください。
CREATE EXTERNAL TABLE IF NOT EXISTS `your_database_name`.`your_table_name` (
    `timestamp` string,
    `message` string,
    `arguments` array<struct<name:string,value:string,type:string>>,
    `bmrn` struct<resource:string,class:string,classid:string>,
    `action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,
    `tenant_id` string,
    `client_ip` string,
    `context_id` string,
    `user` struct<id:string,name:string,email:string>,
    `project` struct<id:string,name:string>,
    `environment` struct<id:string,name:string>
)
PARTITIONED BY (
    `partition_date` string,
    `audit_log_type` string
)
ROW FORMAT SERDE
    'org.openx.data.jsonserde.JsonSerDe'
WITH SERDEPROPERTIES (
    'ignore.malformed.json' = 'FALSE',
    'dots.in.keys' = 'FALSE',
    'case.insensitive' = 'TRUE',
    'mapping' = 'TRUE'
)
STORED AS INPUTFORMAT
    'org.apache.hadoop.mapred.TextInputFormat'
OUTPUTFORMAT
    'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat'
LOCATION
    's3://your_bucket_name/'
TBLPROPERTIES (
    'classification' = 'json',
    'projection.enabled' = 'true',
    'projection.partition_date.format' = 'yyyy-MM-dd',
    'projection.partition_date.interval' = '1',
    'projection.partition_date.interval.unit' = 'DAYS',
    'projection.partition_date.type' = 'date',
    'projection.partition_date.range' = '2023-01-01,NOW',
    -- もしパフォーマンスが悪い場合は'injected'から'enum'への変更をお試しください
    -- https://docs.aws.amazon.com/ja_jp/athena/latest/ug/partition-projection-supported-types.html
    'projection.audit_log_type.type' = 'injected',
    'storage.location.template' = 's3://your_bucket_name/${partition_date}/${audit_log_type}'
);

監査ログの種類ごとの列の定義

以下は監査ログの種類（audit_log_type）ごとの列の定義です。

使用する監査ログの種類に合わせて必要な列の定義をテーブルに追加してご使用ください。

すべての操作で共通

`timestamp` string,
`message` string,
`tenant_id` string,
`client_ip` string,
`context_id` string,
`user` struct<id:string,name:string,email:string>,

プロジェクト内のすべての操作で共通

`project` struct<id:string,name:string>

環境内のすべての操作で共通

`environment` struct<id:string,name:string>

`execute_action`

`arguments` array<struct<name:string,value:string,type:string>>,
`bmrn` struct<resource:string,class:string,classid:string>,
`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,

`create_review_request`

`arguments` array<struct<name:string,value:string,type:string>>,
`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,
`review_setting` struct<id:string,name:string>,
`review_request` struct<id:string,description:string,created_at:string,expires_in:string>,

`approve_review_request`,`reject_review_request`

`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,
`review_request` struct<id:string,created_at:string,expires_in:string>,
`status` string,

`execute_action_with_review_request`

`arguments` array<struct<name:string,value:string,type:string>>,
`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,
`review_request` struct<id:string>,

`create_datasource`,`update_datasource`,`delete_datasource`

`datasource` struct<id:string,name:string,typeId:string>,

`create_action`,`update_action`

`bmrn` struct<resource:string,class:string,classid:string>,
`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,
`review_setting` struct<id:string,name:string>,

`delete_action`

`bmrn` struct<resource:string,class:string,classid:string>,
`action` struct<id:string,name:string,display_id:string,created_at:string,updated_at:string>,

`create_view`,`update_view`,`delete_view`

`view` struct<id:string,name:string,display_id:string>,

`create_users`,`delete_users`

`target_users` array<struct<id:string,name:string,email:string>>,

`update_user`

`target_user` struct<id:string,name:string,email:string>,
`is_tenant_admin` boolean,

`create_project_users`,`delete_project_users`

`project_users` array<struct<id:string,name:string,email:string>>,

`create_user_group`,`update_user_group`,`delete_user_group`

`target_user_group` struct<id:string,name:string,admin_roles:array<string>>,

`assign_users_to_user_group`

`users` array<struct<id:string,name:string,email:string>>,
`user_group` array<struct<id:string,name:string,admin_roles:array<string>>>,

`update_user_group_assignments`

`user_group_assignments` array<struct<user:struct<id:string,name:string,email:string>,user_groups:array<struct<id:string,name:string,admin_roles:array<string>>>>>,

`create_review_setting`,`update_review_setting`

`review_setting` struct<id:string,name:string>,
`environment_review_settings` array<struct<environment:struct<id:string,name:string>,self_approval_enabled:boolean,approver_execution_enabled:boolean,user_approval_conditions:array<struct<user:struct<id:string,name:string,email:string>>>,user_group_approval_conditions:array<struct<user_group:struct<id:string,name:string>,required_count:integer>>>>,

`delete_review_setting`

`review_setting_id` string,

`update_environment_access_control`

`target_environment` struct<id:string,name:string,access_control_enabled:boolean>,
`target_users` array<struct<id:string,name:string,email:string>>,
`target_user_groups` array<struct<id:string,name:string,admin_roles:array<string>>>,

`login_succeeded`

すべての操作で共通の列の定義のみです。

検索 SAML SSO

Amazon S3に保存した監査ログをAmazon Athenaアクションで検索する

事前準備

1. Amazon Athenaデータソースを設定する

2. Amazon Athenaでテーブルを作成する

3. Amazon Athenaアクションを設定する

4. アクションを実行する

テーブルの例

監査ログの種類ごとの列の定義

すべての操作で共通

プロジェクト内のすべての操作で共通

環境内のすべての操作で共通

execute_action

create_review_request

approve_review_request,reject_review_request

execute_action_with_review_request

create_datasource,update_datasource,delete_datasource

create_action,update_action

delete_action

create_view,update_view,delete_view

create_users,delete_users

update_user

create_project_users,delete_project_users

create_user_group,update_user_group,delete_user_group

assign_users_to_user_group

update_user_group_assignments

create_review_setting,update_review_setting

delete_review_setting

update_environment_access_control

login_succeeded