CloudTrail을 사용하여 내 AWS 계정에서 발생한 API 호출 및 작업을 검토하는 방법은 무엇입니까?
콘솔 로그인 또는 인스턴스 종료와 같이 내 AWS 계정에서 수행된 작업을 검토하려면 어떻게 해야 합니까?
간략한 설명
AWS CloudTrail 데이터를 사용하여 다음을 통해 계정에 대해 수행된 API 호출을 확인하고 추적할 수 있습니다.
- CloudTrail 이벤트 기록
- CloudTrail Lake
- Amazon CloudWatch Logs
- Amazon Athena 쿼리
- Amazon Simple Storage Service(Amazon S3)에 아카이빙된 로그 파일
참고: 모든 AWS 서비스가 CloudTrail에서 로그를 기록하고 사용하는 것을 지원하지는 않습니다. CloudTrail과 통합된 AWS 서비스 목록은 CloudTrail에 대한 AWS 서비스 항목을 참조하세요.
해결 방법
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
CloudTrail 이벤트 기록
CloudTrail 콘솔을 사용하여 CloudTrail 이벤트 기록 검토
지난 90일 동안 모든 지원되는 서비스 및 통합과 이벤트 유형(생성, 수정, 삭제 및 변경 불가능한 활동)을 볼 수 있습니다. CloudTrail 이벤트 기록을 사용하기 위해 추적을 설정할 필요가 없습니다.
관련 지침은 CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하세요.
AWS CLI를 사용하여 CloudTrail 이벤트 기록 검토
참고: AWS CLI를 사용하여 이벤트를 검색하려면 CloudWatch Logs에 로그하도록 추적을 생성 및 구성해야 합니다. 자세한 내용은 추적 생성을 참조하세요. CloudWatch Logs로 이벤트 전송 또한 참조하세요.
filter-log-events 명령을 사용하여 지표 필터를 적용하고 로그 이벤트에서 특정 용어, 구문 및 값을 검색할 수 있습니다. 그런 다음, CloudWatch 지표 및 경보로 변환할 수 있습니다.
자세한 내용은 필터 및 패턴 구문을 참조하세요.
참고: filter-log-events를 대규모(예: 자동화 또는 스크립트)로 사용할 계획인 경우, 모범 사례는 CloudWatch Logs 구독 필터를 사용하는 것입니다. filter-log-events API 작업에 API 제한이 있기 때문입니다. 구독 필터에는 이러한 제한이 없습니다. 또한 구독 필터를 사용하면 실시간으로 대규모 로그 파일을 처리할 수 있습니다. 자세한 내용은 CloudWatch Logs 할당량을 참조하세요.
CloudTrail Lake
CloudTrail Lake를 사용하면 이벤트에 대한 SQL 기반 쿼리를 집계하고, 변경할 수 없도록 저장하고, 실행할 수 있습니다. CloudTrail Lake에 최대 7년 또는 2,555일 동안 균등하게 데이터를 저장할 수 있습니다.
자세한 내용은 AWS CloudTrail Lake 사용을 참조하세요.
Amazon CloudWatch Logs
참고: CloudWatch Logs를 사용하려면 CloudWatch Logs에 로그하도록 추적을 생성 및 구성해야 합니다. 자세한 내용은 추적 생성을 참조하세요. CloudWatch Logs로 이벤트 전송 또한 참조하세요.
CloudWatch Logs를 사용하여 리소스의 상태를 변경하는 작업(예: StopInstances)을 검색할 수 있습니다. CloudWatch Logs를 사용하여 리소스의 상태를 변경하지 않는 작업(예: DescribeInstances)을 검색할 수 있습니다. 관련 지침은 CloudWatch Logs에 전송된 로그 데이터 보기를 참조하세요.
다음 사항에 유의해야 합니다.
- 이미 추적을 생성했어도 CloudWatch Logs로 이벤트를 전송하도록 명시적으로 CloudTrail을 구성하세요.
- 로그가 구성되기 전에는 활동을 검토할 수 없습니다.
- 이벤트의 크기 및 볼륨에 따라 로그 스트림이 여러 개일 수 있습니다. 모든 스트림에서 검색하려면 개별 스트림을 선택하기 전에 [로그 그룹 검색(Search Log Group)]을 선택합니다.
- CloudWatch Logs에서는 이벤트 크기가 256KB로 제한되므로 CloudTrail은 256KB보다 큰 이벤트를 CloudWatch Logs로 전송하지 않습니다.
Amazon Athena 쿼리
Amazon Athena를 사용하여 Amazon S3 버킷에 저장된 CloudTrail 데이터 이벤트 및 관리 이벤트를 볼 수 있습니다.
자세한 내용은 Amazon Athena에서 AWS CloudTrail 로그 검색을 위한 테이블을 자동으로 생성하려면 어떻게 해야 합니까?를 참조하세요. 수동 파티셔닝을 사용하여 Athena에서 CloudTrail 로그에 대한 테이블 생성도 참조하는 것이 좋습니다.
Amazon S3 아카이브된 로그 파일
참고: Amazon S3 아카이브된 로그 파일을 보려면 S3 버킷에 로그하도록 추적을 생성 및 구성해야 합니다. 자세한 내용은 추적 생성을 참조하세요.
CloudTrail로 캡처한 모든 이벤트를 Amazon S3 로그 파일에서 볼 수 있습니다. 또한 CloudTrail Processing Library 또는 AWS CLI를 사용하여 S3 버킷에서 수동으로 로그 파일을 구문 분석하거나 로그를 AWS CloudTrail 파트너에게 전송할 수 있습니다.
지침은 Amazon S3 CloudTrail 이벤트를 참조하세요.
참고: S3 버킷에 로그하려면 추적을 활성화해야 합니다.
관련 정보
Amazon CloudWatch Logs란 무엇입니까?
관련 콘텐츠
- 질문됨 6년 전
AWS 공식업데이트됨 2년 전- AWS 공식업데이트됨 2년 전
