알림은 "지금 이상하다"를 알려주지만, 사고 조사·포렌식·헌팅(threat hunting)은 "지난 90일 동안 이 IP가 어떤 API를 호출했나", "누가 이 버킷 정책을 바꿨나"처럼 과거 로그를 자유 형식으로 캐묻는 능력을 요구한다. 보안 시험에서 이 영역은 세 도구의 적합한 쓰임새 구분으로 귀결된다 — Athena(S3에 쌓인 대용량 로그를 SQL로, 서버리스·종량), OpenSearch(준실시간 인덱싱·대시보드·전문검색), CloudWatch Logs Insights(CloudWatch Logs에 이미 있는 로그를 즉시 질의). 셋은 경쟁이 아니라 데이터의 위치와 분석의 시간성에 따라 갈라진다.
┌─ S3(아카이브) ──────── Athena (SQL, 서버리스, 저비용 장기)
CloudTrail ───────┤
VPC Flow Logs ────┼─ CloudWatch Logs ───── Logs Insights (즉시 질의, 단기 운영)
ELB/Route53 ──────┤
앱 로그 ───────────└─ Firehose ─── OpenSearch (인덱싱, 대시보드, 준실시간)