AWSã®ALB(Application Load Balancer)ã®ãƒã‚°ã¯S3ã«ç½®ã‹ã‚Œã‚‹ãŒã€ã“ã®ä¸èº«ã‚’サクッã¨èª¿ã¹ãŸã„ã¨ãã€Athenaを使ã†æ–¹æ³•ãŒæ¨™æº–çš„ã§ã€ä¸‹è¨˜ã§æ¡ˆå†…ã•ã‚Œã¦ã„るよã†ã«ãƒ‘ーティション射影(Partition Projection)ã§ãƒ†ãƒ¼ãƒ–ルを作ã£ã¦Athenaã‹ã‚‰ã‚¯ã‚¨ãƒªã™ã‚‹ã€‚
ç§ã‚‚従æ¥ã¯ãã®æ–¹æ³•ã‚’使ã£ã¦ã„ãŸãŒã€Athenaã¯ãƒ–ラウザã‹ã‚‰ä½¿ã†ã¨å‹•ä½œãŒã‚‚ã£ã•ã‚Šã—ã¦ã„ã‚‹ã—ã€æ±ºã¾ã£ãŸã‚¯ã‚¨ãƒªã‚’1回ãり実行ã—ã¦çµæžœã‚’å–å¾—ã—ãŸã„ã ã‘ã®ã¨ããªã‚‰ã¾ã ã—ã‚‚ã€æŽ¢ç´¢çš„ã«ã‚¯ã‚¨ãƒªã‚’何発も実行ã—ãŸã„ã¨ãã«ã¯ä½¿ã„å‹æ‰‹ãŒæ‚ªã„。
最近他ã®ãƒ—ãƒã‚¸ã‚§ã‚¯ãƒˆã§DuckDBを使ã†ã‚ˆã†ã«ãªã£ã¦ã€ä½¿ã„å‹æ‰‹ã®è‰¯ã•ã«æ„Ÿå‹•ã—ã¦ã„ãŸãŒã€DuckDBã¯ALBã®ãƒã‚°ã‚’探索的ã«èª¿ã¹ãŸã„ã¨ãã«ã‚‚ã‚ã£ã¡ã‚ƒä½¿ãˆã‚‹ã¨æ€ã£ãŸã€‚
DuckDBã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã¯å…¬å¼ ã‚ãŸã‚Šã‚’å‚照。S3ã®ãƒ•ã‚¡ã‚¤ãƒ«ã‚’クエリã™ã‚‹æº–å‚™ã¨ã—ã¦ã¯AWS Extension – DuckDBã‚„S3 API Support – DuckDBã‚’å‚照。 端的ã«ã„ã†ã¨ã€ã‚·ã‚§ãƒ«ã§S3ã«ã‚¢ã‚¯ã‚»ã‚¹ã§ãるクレデンシャルã®ç’°å¢ƒå¤‰æ•°ãŒãƒãƒ¼ãƒ‰ã•ã‚Œã¦ã„る状態ã§DuckDBã‚’èµ·å‹•ã—ã¦ã€
INSTALL aws;
LOAD aws;
INSTALL httpfs;
LOAD httpfs;
CREATE SECRET (
TYPE S3,
PROVIDER CREDENTIAL_CHAIN
);
ã“ã‚Œã§ãƒãƒ¼ãƒ‰ã—ã¦ã‚るクレデンシャルãŒã‚¢ã‚¯ã‚»ã‚¹æ¨©é™ã‚’æŒã¤S3ã®ãƒ•ã‚¡ã‚¤ãƒ«ã«å¯¾ã—ã¦ã‚¯ã‚¨ãƒªã§ãるよã†ã«ãªã‚‹ã€‚ 例ãˆã°2024å¹´11月ã®ãƒã‚°ã‚’ãƒãƒ¼ãƒ‰ã™ã‚‹ãªã‚‰ä¸‹è¨˜ã®ã‚ˆã†ã«ã™ã‚‹ã€‚Blobã®ãƒ‘ターンを変ãˆã‚Œã°ä»»æ„ã®æœŸé–“ã®ãƒ‡ãƒ¼ã‚¿ã‚’ãƒãƒ¼ãƒ‰ã§ãる。 ã“ã®å®šç¾©ã«ã‚ãŸã£ã¦ã¯ãƒ‘ーティション射影を使用ã—㦠Athena 㧠ALB アクセスãƒã‚°ç”¨ãƒ†ãƒ¼ãƒ–ルを作æˆã™ã‚‹ - Amazon Athena ã«ã‚る定義をå‚考ã«ã—ãŸã€‚
CREATE TABLE alb_log_202411 AS
SELECT *
FROM read_csv(
's3://[YOUR_S3_BUCKET_NAME]/AWSLogs/[YOUR_ACCOUNT_ID]/elasticloadbalancing/[YOUR_REGION]/2024/11/**/*.log.gz',
columns={
'type': 'VARCHAR',
'timestamp': 'TIMESTAMP',
'elb': 'VARCHAR',
'client_ip_port': 'VARCHAR',
'target_ip_port': 'VARCHAR',
'request_processing_time': 'DOUBLE',
'target_processing_time': 'DOUBLE',
'response_processing_time': 'DOUBLE',
'elb_status_code': 'INTEGER',
'target_status_code': 'VARCHAR',
'received_bytes': 'BIGINT',
'sent_bytes': 'BIGINT',
'request': 'VARCHAR',
'user_agent': 'VARCHAR',
'ssl_cipher': 'VARCHAR',
'ssl_protocol': 'VARCHAR',
'target_group_arn': 'VARCHAR',
'trace_id': 'VARCHAR',
'domain_name': 'VARCHAR',
'chosen_cert_arn': 'VARCHAR',
'matched_rule_priority': 'VARCHAR',
'request_creation_time': 'TIMESTAMP',
'actions_executed': 'VARCHAR',
'redirect_url': 'VARCHAR',
'error_reason': 'VARCHAR',
'target_port_list': 'VARCHAR',
'target_status_code_list': 'VARCHAR',
'classification': 'VARCHAR',
'classification_reason': 'VARCHAR',
'conn_trace_id': 'VARCHAR'
},
delim=' ',
quote='"',
escape='"',
header=False,
auto_detect=False
);
S3ã®å¯¾è±¡ãƒ•ã‚¡ã‚¤ãƒ«æ•°ãŒå¤šã„å ´åˆãƒ†ãƒ¼ãƒ–ルãŒã§ãã‚‹ã¾ã§ã«ãã“ãã“時間ã¯ã‹ã‹ã‚‹ãŒã€ã„ã£ãŸã‚“ãƒãƒ¼ã‚«ãƒ«ã«ãƒãƒ¼ãƒ‰ã•ã‚Œã‚Œã°ã‚ã¨ã¯é€Ÿã„。
- テーブルã®å˜åœ¨ã‚’確èª
D show tables; ┌────────────────┠│ name │ │ varchar │ ├────────────────┤ │ alb_log_202411 │ └────────────────┘
- スã‚ーマを確èª
D describe alb_log_202411; ┌──────────────────────────┬─────────────┬─────────┬─────────┬─────────┬─────────┠│ column_name │ column_type │ null │ key │ default │ extra │ │ varchar │ varchar │ varchar │ varchar │ varchar │ varchar │ ├──────────────────────────┼─────────────┼─────────┼─────────┼─────────┼─────────┤ │ type │ VARCHAR │ YES │ │ │ │ │ timestamp │ TIMESTAMP │ YES │ │ │ │ │ elb │ VARCHAR │ YES │ │ │ │ │ client_ip_port │ VARCHAR │ YES │ │ │ │ │ target_ip_port │ VARCHAR │ YES │ │ │ │ │ request_processing_time │ DOUBLE │ YES │ │ │ │ │ target_processing_time │ DOUBLE │ YES │ │ │ │ │ response_processing_time │ DOUBLE │ YES │ │ │ │ │ elb_status_code │ INTEGER │ YES │ │ │ │ │ target_status_code │ VARCHAR │ YES │ │ │ │ │ received_bytes │ BIGINT │ YES │ │ │ │ │ sent_bytes │ BIGINT │ YES │ │ │ │ │ request │ VARCHAR │ YES │ │ │ │ │ user_agent │ VARCHAR │ YES │ │ │ │ │ ssl_cipher │ VARCHAR │ YES │ │ │ │ │ ssl_protocol │ VARCHAR │ YES │ │ │ │ │ target_group_arn │ VARCHAR │ YES │ │ │ │ │ trace_id │ VARCHAR │ YES │ │ │ │ │ domain_name │ VARCHAR │ YES │ │ │ │ │ chosen_cert_arn │ VARCHAR │ YES │ │ │ │ │ matched_rule_priority │ VARCHAR │ YES │ │ │ │ │ request_creation_time │ TIMESTAMP │ YES │ │ │ │ │ actions_executed │ VARCHAR │ YES │ │ │ │ │ redirect_url │ VARCHAR │ YES │ │ │ │ │ error_reason │ VARCHAR │ YES │ │ │ │ │ target_port_list │ VARCHAR │ YES │ │ │ │ │ target_status_code_list │ VARCHAR │ YES │ │ │ │ │ classification │ VARCHAR │ YES │ │ │ │ │ classification_reason │ VARCHAR │ YES │ │ │ │ │ conn_trace_id │ VARCHAR │ YES │ │ │ │ ├──────────────────────────┴─────────────┴─────────┴─────────┴─────────┴─────────┤ │ 30 rows 6 columns │ └────────────────────────────────────────────────────────────────────────────────┘
ã‚ã¨ã¯ã„ã‚ã„ã‚クエリã—ã¦ãŠå¥½ããªã‚ˆã†ã«ã€‚
select * from alb_log_202411 where elb_status_code != 200 LIMIT 1;select timestamp, request, elb_status_code, target_status_code, domain_name from alb_log_202411 where elb_status_code != 200 LIMIT 100select timestamp, request, elb_status_code, target_status_code, domain_name from alb_log_202411 where elb_status_code != 200 and domain_name != 'foobar.com' LIMIT 100
ã¿ãŸã„ã«æŽ¢ç´¢çš„ã«èª¿ã¹ã‚‹ã®ãŒé«˜é€Ÿã«ã‚„れるã®ãŒæœ€é«˜ã€‚
※補足
30カラムもã‚ã‚‹ã®ã§ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ã¯ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³ã§å…¨éƒ¨ã®ã‚«ãƒ©ãƒ を表示ã§ããªã„。
ãªã®ã§ã€SELECTå¥ã§ã‚«ãƒ©ãƒ を絞るã‹ã€ã€€.mode line ã¨ã‹ .mode box ã¨ã‹ã§å…¨ã‚«ãƒ©ãƒ 表示ã§ãる。
デフォルトã«æˆ»ã™ã«ã¯ .mode duckbox。
ã©ã†ã„ã†é¸æŠžè‚¢ãŒã‚ã‚‹ã‹ã¯Output Formats – DuckDB見るã¨åˆ†ã‹ã‚‹ã€‚
※補足2
ã‚°ã‚°ã£ãŸã‚‰ä¼¼ãŸã“ã¨ã—ã¦ã„る記事ã‚ã£ãŸã®ã§ãƒªãƒ³ã‚¯ã—ã¨ã
Analysing AWS Application Load Balancer Logs with DuckDB: Unleashing Performance Insights
