• Memo/AmazonWebServices/Athena/CloudTrail

Athena †

• Amazon Athena – サーバーレスのインタラクティブなクエリサービス – AWS
  • S3のログをSQLで検索できるようになる。
  • スキャンしたデータ量よって課金されるため、圧縮、パーティショニング等を行わないと、クラウド破産する恐れあり

• 記事
  • [Amazon Athena]一見json配列に見えるvarcharのデータをパースして集計できる形式に変換する | Developers.IO
  • AWS Athenaにできるだけ少ない権限でアクセスする。 - なんかいろいろと
  • AWS WAFログをAthenaで分析する環境をGlueクローラを使って構築してみる | Developers.IO
  • [小ネタ] Athena のテーブル, データカタログなどの概念がわからなかったのでまとめた | Developers.IO
  • Athena の利用料金が気になったので AWS WAF ログ分析にパーティションを使ってみた | Developers.IO
  • 「このパラメータストア、誰が使ってるん？」の疑問を解消するための CloudTrail とAthena の使い方 ｜ Developers.IO
  • CloudTrailでS3オブジェクトレベルのログを取得してAthenaで閲覧してみた ｜ DevelopersIO
  • S3のサーバーアクセスログから、接続失敗ログを洗い出す ｜ DevelopersIO
  • ALBのアクセスログ約10分程度のタイムラグでAthena解析可能にする仕組みを紹介します ｜ DevelopersIO
  • Amazon Athena がついにINSERT INTOをサポートしたので実際に試してみました！ ｜ DevelopersIO
  • 軽めの集計操作をS3+Athenaで完結させてみる ｜ DevelopersIO
  • [レポート] AWS User Group Meetup in Berlin (2019.08.14.) 〜 Athena で生データを扱う ｜ DevelopersIO
  • Amazon Athena を使用して AWS のサービスログを簡単にクエリする | Amazon Web Services ブログ
  • [レポート] 交通情報系スキルを事例に見る日常生活に溶け込むスキルのテクニック #alexaday2019 ｜ DevelopersIO
  • S3のアクセスログをサーバレスに処理してAthenaで解析してみた ｜ DevelopersIO
  • Amazon CloudFront のアクセスログを大規模に分析する | Amazon Web Services ブログ
  • Amazon Athena のパフォーマンスチューニング Tips トップ 10 | Amazon Web Services ブログ
  • Lobiで画像のWebp変換による通信量削減と調査のためにAWS Athenaを利用した話 - KAYAC engineers' blog
  • AWS AthenaでCloudTrailのS3オブジェクトログを解析をしてみました！ ｜ Developers.IO
  • S3のデータをAmazon Athenaを使って分析する | Amazon Web Services ブログ

Athena engine v2 †

• 記事
  • [Update] Amazon Athena engine version 2がリリース、Federated queriesやGeospatial functions等の新機能、パフォーマンスが改善されました | Developers.IO

---

Apache Parquet型式: 列指向、バイナリフォーマット †

• 記事
  • Amazon Athena: カラムナフォーマット『Parquet』でクエリを試してみた #reinvent | Developers.IO

---

SendGridのActivityを検索 †

• 記事
  • SendGridのEmail ActivityをS3に保存してAthenaでクエリする | Developers.IO

---

データ型とクエリ †

• Amazon Athena でサポートされているデータ型 - Amazon Athena
• Amazon Athena の Presto 関数 - Amazon Athena
  • クエリエンジンは Presto 0.172 準拠

• 記事
  • Hadoop利用者ならきっと知ってる、Hive/Prestoクエリ関数の挙動の違い - Qiita
  • Athenaでデータ抽出するときによく使う関数まとめ - Qiita

---

VALUES: インラインテーブル †

• 10.52. VALUES — Presto 0.240 Documentation
• 簡単なサンプルデータとして便利そう

  SELECT * FROM (
      VALUES
          (1, 'a'),
          (2, 'b'),
          (3, 'c')
  ) AS t (id, name)

---

パーティション指定 †

• 以下のようなパーティションはSQL内では文字列として扱われる

  s3:/bucket/prefix/id=<id>/dt=<YYYY>-<MM>-<DD>/file.csv.gz
  s3:/bucket/prefix/id=<id>/dt=<YYYY>-<MM>-<DD>-<HH>/file.csv.gz
  s3:/bucket/prefix/id=<id>/year=<YYYY>/month=<MM>/day=<DD>/file.csv.gz

• 「year=<YYYY>/month=<MM>/day=<DD>」形式のパーティションで、日付の範囲指定

  SELECT *
  FROM t
  WHERE concat(t.year, t.month, t.day)
    BETWEEN date_format(CURRENT_TIMESTAMP AT TIME ZONE 'Asia/Tokyo' - INTERVAL '7' DAY, '%Y%m%d')
    AND date_format(CURRENT_TIMESTAMP AT TIME ZONE 'Asia/Tokyo' - INTERVAL '1' DAY, '%Y%m%d')

---

ALB/ELBログの分析 †

• 見たいメトリクスが、CloudWatchメトリクスにある場合は、そちらを見た方が良い
• 条件を指定したり、ログにしか無いメトリクスを見たい場合に有効

• 記事
  • 今さらだけど、AWS ELBのログをAthenaで解析(2) 毎時/毎分/5分ごとの集計 - Qiita

• ALB/ELBのログの日付フォーマット: iso8601
  • ALBの日付列: time
  • ELBの日付列: timestamp

    2018-12-24T02:34:48.895006Z

• 文字列のままで扱う場合: substr()
  • 毎時

    SELECT
      substr(TIME,1,13) || ':00:00Z' AS time_hour,
      COUNT(elb) AS request_count
    FROM example.alb_logs
    WHERE DATE = format_datetime(now() - INTERVAL '1' DAY,'YYYY/MM/dd')
    GROUP BY substr(TIME,1,13)
    ORDER BY time_hour ASC;

  • 毎分

    SELECT
      substr(TIME,1,16) || ':00Z' AS time_min,
      COUNT(elb) AS request_count
    FROM example.alb_logs
    WHERE DATE = format_datetime(now() - INTERVAL '1' DAY,'YYYY/MM/dd')
    GROUP BY substr(TIME,1,16)
    ORDER BY time_min ASC;

• 日付へ変換する場合: date_trunc() + from_iso8601_timestamp()
  • 毎時

    SELECT
      date_trunc('hour', from_iso8601_timestamp(TIME)) AS time_hour,
      COUNT(elb) AS request_count
    FROM example.alb_logs
    WHERE DATE = format_datetime(now() - INTERVAL '1' DAY,'YYYY/MM/dd')
    GROUP BY date_trunc('hour', from_iso8601_timestamp(TIME))
    ORDER BY time_hour ASC;

  • 毎分

    SELECT
      date_trunc('minute', from_iso8601_timestamp(TIME)) AS time_min,
      COUNT(elb) AS request_count
    FROM example.alb_logs
    WHERE DATE = format_datetime(now() - INTERVAL '1' DAY,'YYYY/MM/dd')
    GROUP BY date_trunc('minute', from_iso8601_timestamp(TIME))
    ORDER BY time_min ASC;

---

日付と時刻 †

• 6.10. Date and Time Functions and Operators — Presto 0.172 Documentation

• 記事
  • Athena テーブルのクエリ結果が空になる問題のトラブルシューティング
  • Amazon Athena ( Presto 0.172 ) で日付の比較をして先月以降のデータを取得する - Qiita

• date/timestamp -> bigint

  SELECT
    now() AS _now,
    YEAR(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _year,
    MONTH(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _month,
    DAY(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _day,
    week(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _week,
    HOUR(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _hour,
    MINUTE(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _minute,
    SECOND(TIMESTAMP '2018-12-24 02:34:48 UTC') AS _second;
  
  
  -- _now: 2020-08-01 02:03:04.953 UTC
  -- _year: 2018
  -- _month: 12
  -- _day: 24
  -- _week: 52
  -- _hour: 2
  -- _minute: 34
  -- _second: 48

• current_timezone(): タイムゾーン取得

  SELECT current_timezone();
  -- 結果: UTC
  
  SELECT now() AT TIME ZONE 'Asia/Tokyo';
  -- 結果: 2020-07-31 12:56:13.373 Asia/Tokyo
  
  SELECT TIMESTAMP '2018-12-24 02:34:48 UTC' AT TIME ZONE 'Asia/Tokyo';
  -- 結果: 2018-12-24 11:34:48.000 Asia/Tokyo

• date_parse(): 文字列 -> date/timestamp型へ

  SELECT DATE '2018-12-24' AS DATE;
  -- 結果: 2018-12-24
  
  SELECT DATE '2018/12/24' AS DATE;
  -- 結果: INVALID_CAST_ARGUMENT: Value cannot be cast to date: 2018-12-24
  
  SELECT date_parse('2018-12-24','%Y/%m/%d') AS TIMESTAMP;
  -- 結果: 2018-12-24 00:00:00.000
  
  -- iso8601は専用の関数がある。from_iso8601_date()もある
  SELECT from_iso8601_timestamp('2018-12-24T02:34:48Z') AS TIMESTAMP;
  -- 結果: 2018-12-24 02:34:48.000 UTC

• format_datetime(): 日付文字列へ変換
  • 現在時刻を任意文字列へ

    -- 月だけ取得
    SELECT format_datetime(now(), 'MM')
    -- 結果: 07
    
    -- 今日
    SELECT format_datetime(now(),'YYYY/MM/dd') AS DATE;
    -- 結果: 2020/07/31
    
    -- 1ヶ月前
    SELECT format_datetime(now() - INTERVAL '1' MONTH, 'YYYY/MM/dd') AS DATE;
    -- 結果: 2020/06/30

  • 例: Amazon S3 サーバーアクセスログの形式

    SELECT format_datetime(date_parse('06/Feb/2019:00:00:38 +0000', '%d/%b/%Y:%H:%i:%s +0000'),'YYYY-MM-dd HH:mm:ss')
    -- 結果: 2019-02-06 00:00:38

• date_trunc(): 日時から指定フィールまで切り捨て

  -- 月初を取得
  SELECT date_trunc('month', now());
  -- 結果: 2020-07-01 00:00:00.000 UTC
  
  SELECT date_trunc('minute', now());
  -- 結果: 2020-09-07 04:17:00.000 UTC
  
  SELECT date_trunc('hour', now());
  -- 結果: 2020-09-07 04:00:00.000 UTC

---

クエリサンプル †

• ARRAY[] 配列型

• テーブル内のデータが「{key=val,...」と表示される場合(CREATE TABLE STRUCT name: STRING,...)。既にAthenaのデータ型として認識しているので、「column.key」で参照できる

  SELECT dataset.name, ...

• テーブル内のデータが「{key:val,...」と表示される場合。jsonが文字列として認識しているので、json_extract(blob, key)で参照する

  SELECT json_extract(BLOB, '$.name') AS name

• 記事
  • Amazon AthenaでいろいろなSELECTを実行してみる | Developers.IO

---

Partition Projection: パーティション管理の自動化 †

• Amazon Athena を使用したパーティション射影 - Amazon Athena
  • パーティションが設定されていない、AWSサービスのログ(CloudTrail, ELB他)で使うと便利
  • HIVE形式以外は、「ALTER TABLE」で検索対象のパーティションを都度追加する必要があった。パーティションが整数、日付、列挙値であれば、「CREATE TABLE」時に設定して、自動化できる。
  • HIVE形式はクエリー実行前に有効なパーティションを認識させるため、「MSCK REPAIR TABLE <table>;」を実行する必要がある。これの自動化には「where date = 'year=yyyy/month=MM/day=dd'」とSQLを入力せねばならず、Partition Projectionは向いて無さそう。
  • Partition Projectionでは実際のデータではなく、「CREATE TABLE」時の設定からパーティションが設定される。
  • HIVE形式(s3//bucket/key1=value1/object.gz)のパーティション設定は無視される。
  • 過去〜現在までを指定する場合

    # 3ヶ月前〜
    "projection.date.range" = "NOW-3MONTH,NOW",
    # 3年前〜
    "projection.date.range" = "NOW-3YEARS,NOW",

• AWS サービスログをクエリする - Amazon Athena
  • ALB, NLB, CLB(ELB), CloudFront, CloudTrail, EMR, Global Accelerator, GuardDuty, VPC flow, WAF等のTABLEサンプルがある。これを元にPartition Projectionを設定すれば良さそう。

• CloudTrail
  • Memo/AmazonWebServices/Athena/CloudTrail#md20632d 参照

• ALB
  • サンプル: Amazon AthenaのPartition Projectionを使ったALBのアクセスログ解析環境をTerraformで構築する – PSYENCE:MEDIA

• 記事
  • [Athena] パーティション自動更新のPartition Projectionが動くタイミングを確認してみた | Developers.IO
  • Partition Projection を使って AWS WAF のログを分析してみた | Developers.IO
  • Athenaで気軽にS3のデータを集計する - Qiita
  • Amazon Athena Partition Projectionを用いたHiveパーティションのパーティションプルーニングの自動化 | Developers.IO
  • [新機能]Amazon Athena ルールベースでパーティションプルーニングを自動化する Partition Projection の徹底解説 | Developers.IO

---

HIVE形式のパスに projection type dateを設定するとエラー †

HIVE形式で「s3://bucket/year=${year}/month=${month}/day=${day}」とパーティションを分けているとする。
2019〜YYYYまでをパーティションとして認識させたい。

• 2020-08現在、「"projection.year.type" = 'date'」と指定すると、クエリ時にエラーが発生する。最低「yyyy/MM」のように月まで指定が必要

• パーティション射影のサポートされている型 - Amazon Athena

• SQL抜粋

  TBLPROPERTIES (
  ...
    'projection.enabled'='true', 
    "projection.year.type" = 'date',
    "projection.year.range" = '2019,NOW',
    "projection.year.format" = 'yyyy',
    "projection.year.interval" = '1' ,
    "projection.year.interval.unit" = 'YEARS',
    'projection.month.type'='integer', 
    'projection.month.range'='1,12', 
    'projection.month.interval'='1', 
    'projection.month.digits'='2', 
    'projection.day.type'='integer', 
    'projection.day.range'='1,31', 
    'projection.day.interval'='1', 
    'projection.day.digits'='2', 
    'storage.location.template'='s3://bucket/year=${year}/month=${month}/day=${day}'
  );

• クエリ時のエラー

  GENERIC_INTERNAL_ERROR: Text '2019' could not be parsed: Unable to obtain YearMonth from TemporalAccessor: {Year=2020},ISO of type java.time.format.Parsed

• 代案: AWSサポートの回答「エラーは再現した。代わりに type = 'integer'を使って」。SQLの変更点だけ抜粋。AWS docに「空のパーティションが多すぎるとパフォーマンス低下の可能性」とあるので、無闇に遠い未来は指定しないほうが良さそう

  TBLPROPERTIES (
  ...
    'projection.year.type'='integer',
    'projection.year.range'='2019,2030',
    'projection.year.interval'='1',
    'projection.year.digits'='4',
  ...

• 例: 前日のパーティションを指定してクエリ:

  SELECT *
  FROM <table>
  WHERE YEAR=YEAR(now())
    AND MONTH=MONTH(now())
    AND DAY=DAY(now() - INTERVAL '1' DAY)

---

Unknown pattern letter †

• 以下の設定で発生。

  TBLPROPERTIES (
  ...
    "projection.date.type" = "date",
    "projection.date.range" = "2020/07/01,NOW",
    "projection.date.format" = "year=yyyy/month=MM/day=dd",
    "projection.date.interval" = "1" ,
    "projection.date.interval.unit" = "DAYS",

---

Column repeated in partitioning columns †

• 原因
  • パーティションのカラム名と、create tableのカラム名が重複している

• 解決
  • どちらかのカラム名を変えればOK

---

Workgroup: クエリのスキャン量上限設定、コスト管理、ユーザ権限管理 †

• クエリを実行するためのワークグループの使用 - Amazon Athena

• workgroup毎に
  • 1クエリ1TBスキャンあたり、$5かかるので、上限を設定したい
  • 出力s3 bucketや暗号化方法を指定できる
  • 複数のタグを設定し、識別できる。このタグでBilling画面で識別できる。
  • workgroupに割り当てたクエリの設定を上書きできる。

• 記事
  • Amazon Athena ワークロード分離やクエリの閲覧、コスト管理が可能になるWorkgroups がリリースされました | Developers.IO
  • Amazon Athena ワークグループを使用したクエリの分離とコストの管理 | Amazon Web Services ブログ

---

athenacli: athenaの利用に特化したCLI †

• awscliの欠点
  • 手動で試す場合、非同期なので使いにくい。
  • 結果はS3のファイルに出るため、ダウンロードする手間がかかる。

• GitHub - dbcli/athenacli: AthenaCLI is a CLI tool for AWS Athena service that can do auto-completion and syntax highlighting.
  • SQLの補完と色付け
  • SQL同期実行。結果が出るまで待機してくれる。

• 記事
  • Very cool らしい AthenaCLI を試してみたら、やっぱりクールだった件 | Developers.IO

---

awscliからの利用 †

• athena — AWS CLI 1.18.39 Command Reference

実行順序:

1. start-query-execution: クエリの実行。DDL(CREATE/ALTER TABLE)もSQLもこれ。非同期なのですぐ完了する。idが出る
2. get-query-execution: 指定idのステータス確認。定期的に実行して完了/エラーまで待つ
3. get-query-results: 指定idが完了していれば、S3に結果のファイルが出ている
4. aws s3 cp 等でlocalに結果のcsv等をダウンロード

SQL実行順序:

1. CREATE TABLE table_name
2. MSCK REPAIR TABLE table_name
   • これを実行しないと、selectしても結果は空になる。
3. SELECT ... from table_name

• 注意点
  • SQL,DDLは1回に一つだけ。";"で区切ってもエラーになる。
  • 「no viable alternative at input」がよく発生するが、詳細がわからないため解決に苦労する。
  • "\"は"\\\\"と書く必要がある。
  • 項目の順序も重要

• CSV
  • csv.gz ファイルに対応しているので圧縮しておく。
  • 元のCSVにダブルクオート付きの場合、「ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.OpenCSVSerde'」を指定しないと、ダブルクオートが二重に出力される。

• 例: csv.gz のファイルで、ダブルクオート付き、ヘッダ行は1行

    local sql=$(cat << EOD
  CREATE EXTERNAL TABLE IF NOT EXISTS
  dns (
    Date string,
    QueryType string,
    Client string,
    SendReceive string,
    Protocol string,
    RecordType string,
    Query string,
    Results string
    )
   PARTITIONED BY (
    year int,
    month int,
    day int
    )
  ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.OpenCSVSerde'
  WITH SERDEPROPERTIES (
    'separatorChar' = ',',
    'quoteChar' = '\"',
    'escapeChar' = '\\\\'
    )
  STORED AS TEXTFILE
  LOCATION 's3://${S3_BUCKET}/${prefix}id=DNS/'
  TBLPROPERTIES (
  'skip.header.line.count'='1',
  'has_encrypted_data'='false'
  )
  ;
  EOD
  )

• 記事
  • S3 にあるダブルクォーテーション引用符の CSV データを Glue のクローラで検出し、Athena でクエリ実行する | Developers.IO

• AthenaでS3に置いてあるcsvファイルを取得する際に気をつけること - Qiita
• Amazon Athena で no viable alternative at input への対処法 - Qiita
• AWS CLI で Athena のクエリ実行を同期的に行う - Qiita
• 新機能 AWSCLIから Amazon Athena のクエリを実行する | Developers.IO

---

ベストプラクティス †

• Athenaと検索対象のS3は同じリージョンにする。
  • 異なるリージョンの場合、大きいデータを検索すると、リージョン間の転送が遅く、Athenaの料金よりS3の転送量の料金のほうが高くなる場合もある。
  • 小さいデータを検索する場合は、あまり問題にはならなそう。

• マルチアカウント:
  • s3 objectのownerによって、他アカウントからのs3:GetObjectが失敗する。CloudTrail/ELB/ALB等のログはs3 object のownerが各サービスに変わっている。この場合、AssumeRoleして、各アカウント内のAthenaからは検索ができる。
  • 例: CloudTrail

• HIVE形式(<PARTITION_COLUMN_NAME>=<VALUE>)でパーティション分割する。それ以外(例：YYYY/MM/DD)では、検索したい数だけパーティションを手動で追加する必要がある。 Partition Projection で自動化できるようになった。
  • Athena での MSCK REPAIR TABLE コマンドの問題を解決する
  • s3 pathは小文字のみ。CamelCaseは非対応。MSCK REPAIR TABLEで自動でパーティションを認識しなくなる。 Amazon S3 パスを小文字に変更する
  • パーティションサンプル: SQLで日付指定等、よく使う表現が実行できるか？

    s3:/bucket/prefix/id=<id>/dt=<YYYY>-<MM>-<DD>/file.csv.gz
    s3:/bucket/prefix/id=<id>/dt=<YYYY>-<MM>-<DD>-<HH>/file.csv.gz
    s3:/bucket/prefix/id=<id>/year=<YYYY>/month=<MM>/day=<DD>/file.csv.gz

• ファイルを圧縮する
  • 対応: gzip
  • 非対応: zip
  • 圧縮形式 - Amazon Athena

• ファイルフォーマット
  • JSON, CSV, TSV, Parquet, ORC, Text files, Avro,
  • LTSV
    • Amazon Athena LTSV形式のログファイルを探索する | Developers.IO
    • Recommendations for labeling
  • Amazon Kinesis Data Firehose 例

• SQL
  • 「LIMIT 10000」のように制限する
  • JOINする場合、大きいTABLEを左側に、小さいTABLEを右側に指定する。「FROM big_table, little_table」
  • GROUP BYは、カーディナリティ(カラムに含まれている種類)が高い順に指定する。文字列ではなく、数値を指定する。
  • LIKEは「regexp_like(l_comment, 'wake|regular|express|sleep|hello')」で一つに纏める。否定は「NOT(regexp_like(...))」
  • ユニークな個数を調べる場合「count(distinct l_comment)」の代わりに、「approx_distinct(l_comment)」を使う。ただし、誤差が2.3%出る
  • 「SELECT * 」の代わりに「SELECT customer.c_name」のように明示的にカラム名を指定する

• output s3 bucket
  • workgroupの「クエリの結果の場所」にqueryの結果が貯まり続ける。コスト的には消したり、古いオブジェクトはGlacier移動した方が良さそう
  • S3 バケットのライフサイクルポリシーを作成する方法 - Amazon Simple Storage Service
  • s3 bucket lifecycleの設定を一つにしたい場合、「prefix = output/」として、「クエリの結果の場所」は「output/primary/」「output/<workgroup name>/」とすると良さそう

• 記事
  • Athenaでスキャンサイズ上限の設定ができるようになった！ - ゲンゴ
  • Amazon Athena のパフォーマンスチューニング Tips トップ 10 | Amazon Web Services ブログ
  • [AWS] AWS Athenaの自分まとめ - Qiita

---

パーティション分割 †

Athenaは1TBのスキャンあたり、1回$5かかる。スキャンデータを減らす工夫をしないと、コストが非常に増えるまた遅い。

• 検索時によく指定する、日付、ホスト名、アプリケーション名等で分割すると良さそう

• データのパーティション分割 - Amazon Athena
  • Amazon S3 パスを小文字に変更する ''「/<key>=<value>/」は小文字。CamelCaseは非対応 ''

• HIVE形式のパーティショニングなら自動で対応してくれる。

  s3:/bucket/prefix/id=<id>/year=<YYYY>/month=<MM>/day=<DD>/file.csv.gz

• MM/DDの部分は、04/01の形式でも、パーティションはint型指定で検索できた。

• CREATE TABLEした直後にselectしても何も出ない。以下を実行する必要がある。
  • MSCK REPAIR TABLE - Amazon Athena

    MSCK REPAIR TABLE TABLE_NAME;

• 記事
  • Athenaのパーティションを事前に一括作成する方法 | Developers.IO

• Amazon Athena でデータがパーティション分割されていないログを分析する ｜ Developers.IO
• Amazon Athenaのパーティションを理解する #reinvent ｜ Developers.IO