本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 查看亚马逊 Athena 查询
如果您选择了 `Yes - Amazon Athena log parser` “**激活 HTTP 洪水防护**” 或 “**激活扫描器和探测器保护**” 模板参数,则此解决方案会 CloudFront 为或 ALB `ScannersProbesLogParser` () 或 AWS WAF 日志 `HTTPFloodLogParser` () 创建并运行 Athena 查询,解析输出并相应地更新 AWS WAF。
为了提高性能并降低成本,该解决方案根据文件名中的时间戳对日志进行分区。该解决方案动态生成使用分区键(年、月、日和小时)的 Athena 查询。默认情况下,查询每五分钟运行一次。您可以通过更改 **Athena Query 运行时间计划(分钟)模板参数的值来配置他们的运行计划**。默认情况下,每次查询运行都会扫描最近四到五个小时的数据。您可以通过更改 **WAF 封禁周期**模板参数的值来配置查询扫描的数据量。该解决方案还将查询放在单独的工作组中,以管理查询访问权限和成本。
**注意**
验证 Athena 是否已配置为访问 AWS Glue 数据目录。此解决方案在 AWS Glue 中创建访问日志数据目录,并配置 Athena 查询来处理数据。如果 Athena 配置不正确,则查询将无法运行。有关更多信息,请参阅[升级到最新的 AWSAWS Glue 数据目录 step-by-step](https://docs.aws.amazon.com/athena/latest/ug/glue-upgrade.html)。
使用以下步骤查看这些查询:
## 查看 WAF 日志查询
1. 登录[亚马逊 Athena 控制台](https://console.aws.amazon.com/athena/)。
1. 选择**启动查询编辑器**。
1. 为此解决方案选择数据库。
1. **WAFLogAthenaQueryWorkGroup**从下拉列表中选择。
**注意**
仅当您选择 `Yes - Amazon Athena log parser` “**激活 HTTP 洪水防护**” 模板参数时,此工作组才会存在。
1. 选择 “**切换**” 以切换工作组。
**Athena 查询编辑器的屏幕截图未显示任何查询**
![\[雅典娜查询编辑器\]](http://docs.aws.amazon.com/zh_cn/solutions/latest/security-automations-for-aws-waf/images/athena-query-editor.png)
1. 选择 “**历史记录**” 选项卡。
1. 从列表中选择并打开`SELECT`查询。
## 查看应用程序访问日志查询
1. 登录[亚马逊 Athena 控制台](https://console.aws.amazon.com/athena/)。
1. 选择 “**工作组**” 选项卡。
1. 从列表中选择 **WAFAppAccessLogAthenaQueryWorkGroup**。
**注意**
仅当您选择了 “**激活扫描仪和探测`Yes - Amazon Athena log parser`器保护**” 模板参数时,此工作组才存在。
1. 选择 “**切换工作组**”。
1. 选择 “**最近的查询**” 选项卡。
1. 从列表中选择并打开`SELECT`查询。
## 查看添加 Athena 分区查询
1. 登录[亚马逊 Athena 控制台](https://console.aws.amazon.com/athena/)。
1. 选择 “**工作组**” 选项卡。
1. 从列表中选择 **WAFAddPartitionAthenaQueryWorkGroup**。
**注意**
仅当您选择 `Yes - Amazon Athena log parser` “**激活 HTTP 洪水保护 and/or **激活扫描仪和探测器保护****” 模板参数时,此工作组才会存在。
1. 选择 “**切换工作组**”。
1. 选择 “**历史记录**” 选项卡。
1. 从列表中选择并打开`ALTER TABLE`查询。这些查询每小时运行一次,以向 Athena 表中添加一个新的每小时分区。