CloudTrail 콘솔에서 최근 CloudTrail 관리 이벤트 보기 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 콘솔에서 최근 CloudTrail 관리 이벤트 보기

CloudTrail 콘솔의 이벤트 기록 페이지를 사용하여 최근 90일간의 관리 이벤트를 볼 수 AWS 리전 있습니다. 또한 해당 정보가 포함된 파일이나 선택한 필터 및 시간 범위를 기반으로 하는 정보의 하위 집합을 다운로드할 수도 있습니다. 각 페이지에 표시할 이벤트 수를 정하고, 콘솔에 표시할 열을 선택하여 Event history(이벤트 기록) 보기를 사용자 지정할 수 있습니다. 또한 특정 서비스에 대해 이용 가능한 리소스 유형별로 이벤트를 조회 및 필터링할 수 있습니다. 이벤트 기록에서 최대 5개의 이벤트를 선택하고 세부 정보를 비교할 수 side-by-side 있습니다.

Event history(이벤트 기록)에서는 데이터 이벤트를 표시하지 않습니다. 데이터 이벤트를 보려면, 이벤트 데이터 스토어 또는 추적을 생성합니다.

90일이 지난 후에는 이벤트가 Event history(이벤트 기록)에 더 이상 표시되지 않습니다. Event history(이벤트 기록)에서 수동 삭제할 수 없습니다.

특정 서비스의 이벤트를 CloudTrail 기록하는 방법에 대한 자세한 내용은 해당 서비스의 설명서를 참조하여 자세히 알아볼 수 있습니다. 자세한 설명은 AWS에 대한 서비스 주제 CloudTrail 섹션을 참조하세요.

참고

계정의 활동 및 이벤트를 지속적으로 기록하려면, 이벤트 데이터 스토어를 생성하거나 추적을 생성하세요.

이벤트 데이터 스토어를 생성하여 다음 기능을 활용할 수 있습니다.

  • 이벤트 데이터 저장소를 생성하여 통합에서 CloudTrail 관리 및 데이터 이벤트, AWS Config 구성 항목, AWS Audit Manager증거 또는 AWS 비이벤트를 수집할 수 있습니다. 자세한 내용은 AWS CloudTrail Lake 작업이벤트 데이터 스토어 만들기 섹션을 참조하세요.

  • CloudTrail Lake 쿼리로 AWS 서비스 활동을 분석하세요. CloudTrail Lake 쿼리는 이벤트 기록 또는 실행 중에서의 단순한 키 및 값 조회보다 더 심층적이고 사용자 지정이 가능한 이벤트 보기를 제공합니다. LookupEvents Event history(이벤트 기록) 검색은 하나의 AWS 계정 계정으로 제한되며, 하나의 AWS 리전에서의 이벤트만 반환하고 여러 속성을 쿼리할 수 없습니다. 반면 CloudTrail Lake 사용자는 여러 이벤트 필드에서 복잡한 SQL 쿼리를 실행할 수 있습니다. 자세한 내용은 쿼리 생성 또는 편집CloudTrail 콘솔에서 샘플 쿼리 보기 섹션을 참조하세요.

  • CloudTrail Lake 대시보드를 통해 이벤트 데이터 저장소의 데이터를 시각화할 수 있습니다. 자세한 설명은 Lake 대시보드 보기 섹션을 참조하세요.

  • 이벤트 데이터 스토어를 사용하면 AWS Key Management Service(AWS KMS) 또는 Amazon Relational Database Service Data API 이벤트를 제외할 수 있습니다. Encrypt, Decrypt, GenerateDataKey와 같은 AWS KMS 작업은 일반적으로 대량의 이벤트(99% 이상)를 생성합니다. 이벤트는 Event history(이벤트 기록)에서 제외할 수 없습니다.

추적을 생성하면 다음과 같은 통합 기능을 활용할 수 있습니다.

  • 트레일을 사용하면 CloudTrail Insights 이벤트를 기록할 수 있으며, 이를 통해 write 관리 API 호출과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있습니다. 자세한 설명은 Insights 이벤트 로깅 섹션을 참조하세요.

  • Amazon Athena에서 쿼리를 사용하여 AWS 서비스 활동을 분석할 수 있습니다. 자세한 내용은 Amazon Athena 사용 설명서의 CloudTrail 콘솔에서 CloudTrail 로그용 테이블 생성을 참조하거나 콘솔의 이벤트 기록에서 직접 테이블을 생성하는 옵션을 선택하십시오. CloudTrail

  • Amazon Logs에서 트레일 로그를 모니터링하고 특정 활동이 발생하면 알림을 CloudWatch 받으십시오. 자세한 설명은 Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링 섹션을 참조하세요.

  • 추적을 사용하면 AWS Key Management Service(AWS KMS) 또는 Amazon Relational Database Service Data API 이벤트를 제외할 수 있습니다. Encrypt, Decrypt, GenerateDataKey와 같은 AWS KMS 작업은 일반적으로 대량의 이벤트(99% 이상)를 생성합니다. 이벤트는 Event history(이벤트 기록)에서 제외할 수 없습니다.

콘솔에서 최근 CloudTrail 이벤트를 보려면
  1. https://console.aws.amazon.com/cloudtrail/home/ 에서 AWS Management Console 로그인하고 CloudTrail 콘솔을 엽니다.

  2. 탐색 창에서 Event history(이벤트 기록)를 선택합니다.

    필터링된 이벤트 목록이 최신 이벤트 순으로 콘텐츠 창에 나타납니다. 더 많은 이벤트를 보려면 아래로 스크롤하십시오.

  3. 이벤트를 비교하려면 Event history(이벤트 기록) 테이블의 왼쪽 여백에 있는 확인란을 선택하여 최대 5개의 이벤트를 선택합니다. 이벤트 세부 정보 비교 테이블에서 선택한 side-by-side 이벤트의 세부 정보를 확인하십시오.

Event history(이벤트 기록)의 이벤트 기본 표시는 속성 필터를 사용하여 표시된 이벤트 목록에서 읽기 전용 이벤트를 제외합니다. 이 필터를 제거하거나 다른 필터를 적용하려면 필터 설정을 변경합니다. 자세한 설명은 CloudTrail 이벤트 필터링 섹션을 참조하세요.

페이지를 선택하여 Event history(이벤트 기록)에서 페이지 사이를 탐색할 수 있습니다. Event history(이벤트 기록)에서 다음 페이지와 이전 페이지를 볼 수도 있습니다.

Event history(이벤트 기록)의 이전 페이지를 보려면 <를 선택합니다.

>를 선택하면 Event history(이벤트 기록)의 다음 페이지를 볼 수 있습니다.

디스플레이 사용자 지정

다음 기본 설정 중에서 선택하여 CloudTrail 콘솔에서 이벤트 기록 보기를 사용자 정의할 수 있습니다.

  • Page size(페이지 크기) - 각 페이지에 이벤트를 10개, 25개 또는 50개 표시할지 선택합니다.

  • Wrap lines(줄 바꿈) - 각 이벤트의 모든 텍스트를 볼 수 있도록 텍스트를 줄 바꿈합니다.

  • Striped rows(줄무늬 행) - 테이블의 다른 모든 행을 음영 처리합니다.

  • Event time display(이벤트 시간 표시) - 이벤트 시간을 UTC로 표시할지 현지 시간대로 표시할지 선택합니다.

  • Select visible columns(표시할 열 선택) - 표시할 열을 선택합니다. 기본적으로 표시되는 열은 다음과 같습니다.

    • Event name

    • 이벤트 시간

    • 사용자 이름

    • 이벤트 소스

    • 리소스 유형

    • 리소스 이름

    참고

    칼럼의 순서를 변경하거나 이벤트 기록(Event history)에서 이벤트를 수동 삭제할 수 없습니다.

디스플레이 사용자 지정
  1. https://console.aws.amazon.com/cloudtrail/ 에서 AWS Management Console 로그인하고 CloudTrail 콘솔을 엽니다.

  2. 탐색 창에서 Event history(이벤트 기록)를 선택합니다.

  3. 기어 모양 아이콘을 선택합니다.

  4. Page size(페이지 크기)에서 페이지에 표시할 이벤트 수를 선택합니다.

  5. Wrap lines(줄 바꿈)을 선택하면 각 이벤트의 모든 텍스트를 볼 수 있습니다.

  6. Striped rows(줄무늬 행)을 선택하면 표의 다른 모든 행을 음영 처리합니다.

  7. Event time display(이벤트 시간 표시)는 이벤트 시간을 UTC로 표시할지 현지 시간대로 표시할지 선택합니다. 기본값은 UTC입니다.

  8. [표시할 열 선택(Select visible columns)]에서 표시할 열을 선택합니다. 표시하지 않으려는 열은 비활성화합니다.

  9. 변경을 마쳤으면 [확인(Confirm)]을 선택합니다.

CloudTrail 이벤트 필터링

이벤트 기록(Event history)의 이벤트 기본 표시는 속성 필터를 사용하여 표시된 이벤트 목록에서 읽기 전용 이벤트를 제외합니다. 이 속성 필터는 이름이 [읽기 전용(Read-only)]이며 false로 설정됩니다. 이 필터를 제거하면 읽기 및 쓰기 이벤트를 모두 표시할 수 있습니다. [읽기(Read)] 이벤트만 보려면 필터 값을 true로 변경하면 됩니다. 다른 속성을 기준으로 이벤트를 필터링할 수도 있습니다. 시간 범위를 기준으로 추가로 필터링할 수 있습니다.

참고

속성 필터와 시간 범위 필터는 하나만 적용할 수 있습니다. 속성 필터는 여러 개 적용할 수 없습니다.

AWS 액세스 키

요청을 서명하는 데 사용된 AWS 액세스 키 ID입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 임시 자격 증명의 액세스 키 ID가 됩니다.

이벤트 ID

이벤트 CloudTrail ID. 각 이벤트에는 고유 ID가 있습니다.

이벤트 이름

이벤트의 이름입니다. 예를 들어 CreatePolicy와 같은 IAM 이벤트 또는 RunInstances와 같은 Amazon EC2 이벤트를 기준으로 필터링할 수 있습니다.

이벤트 소스

iam.amazonaws.com 또는 s3.amazonaws.com 등 요청이 이루어진 AWS 서비스입니다. [Event source] 필터를 선택한 후 이벤트 소스 목록을 스크롤할 수 있습니다.

읽기 전용

이벤트의 읽기 유형입니다. 이벤트는 읽기 이벤트 또는 쓰기 이벤트로 분류됩니다. false로 설정된 경우 표시된 이벤트 목록에 읽기 이벤트가 포함되지 않습니다. 기본적으로 이 속성 필터가 적용되고 값은 false로 설정됩니다.

리소스 이름

이벤트가 참조하는 리소스의 이름 또는 ID입니다. 예를 들어 리소스 이름은 Auto Scaling 그룹의 경우 auto-scaling-test-group "“이고 EC2 인스턴스의 경우 “i-12345678910"일 수 있습니다.

리소스 유형

이벤트가 참조하는 리소스의 유형입니다. 예를 들어, 리소스 유형은 EC2의 경우에는 Instance가 될 수 있으며 RDS의 경우에는 DBInstance가 될 수 있습니다. 리소스 유형은 각 AWS 서비스에 대해 다릅니다.

시간 범위

이벤트를 필터링하려는 시간 범위입니다. 상대 범위(Relative range) 또는 절대 범위(Absolute range) 중 하나를 선택할 수 있습니다. 지난 90일간의 이벤트를 필터링할 수 있습니다.

사용자 이름

이벤트가 참조하는 자격 증명입니다. 이는 예를 들어 사용자, 역할 이름 또는 서비스 역할이 될 수 있습니다.

선택한 속성 또는 시간에 대해 로깅된 이벤트가 없는 경우 결과 목록이 비어 있습니다. 시간 범위 이외에 속성 필터 하나만 적용할 수 있습니다. 다른 속성 필터를 선택하는 경우 지정된 시간 범위가 유지됩니다.

다음 단계는 속성을 기준으로 필터링하는 방법을 설명합니다.

속성을 기준으로 필터링하려면
  1. 속성을 기준으로 결과를 필터링하려면 [속성 조회(Lookup attributes)] 드롭다운 목록에서 속성을 선택한 다음, 텍스트 상자에 속성 값을 입력하거나 선택합니다.

  2. 속성 필터를 제거하려면 속성 필터 상자의 오른쪽에 있는 X를 선택합니다.

다음 단계는 시작/종료 날짜 및 시간을 기준으로 필터링하는 방법을 설명합니다.

시작/종료 날짜 및 시간을 기준으로 필터링하려면
  1. 확인하려는 이벤트의 시간 범위를 좁히려면 시간 범위 막대에서 시간 범위를 선택합니다. [상대 범위(Relative range)] 또는 [절대 범위(Absolute range)] 중 하나를 선택할 수 있습니다.

    [상대 범위(Relative range)]를 선택하여 사전 설정된 값에서 선택하거나 사용자 지정 범위를 선택합니다. 사전 설정 값은 30분, 1시간, 12시간 또는 1일입니다. 사용자 지정 시간 범위를 지정하려면 [사용자 지정(Custom)]을 선택합니다.

    특정 시작 및 종료 시간을 지정하려면 [절대 범위(Absolute range)]를 선택합니다. 현지 시간대와 UTC 중 선택할 수도 있습니다.

  2. 시간 범위 필터를 제거하려면 시간 범위 막대에서 [지우기 및 해제(Clear and dismiss)]를 선택합니다.

이벤트 세부 정보 보기

  1. 결과 목록에서 이벤트를 선택하여 세부 정보를 표시합니다.

  2. 이벤트에서 참조된 리소스는 이벤트 세부 정보 페이지의 [참조된 리소스(Resources referenced)] 테이블에 표시됩니다.

  3. 일부 참조된 리소스에는 링크가 있습니다. 해당 링크를 선택하여 해당 리소스의 콘솔을 엽니다.

  4. 세부 정보 페이지에서 [이벤트 레코드(Event record)]로 스크롤하여 이벤트 ‘페이로드’라고도 하는 JSON 이벤트 레코드를 확인합니다.

  5. 페이지 이동 경로에서 [이벤트 기록(Event history)]을 선택하여 이벤트 세부 정보 페이지를 닫고 [이벤트 기록(Event history)]으로 돌아갑니다.

이벤트 다운로드

기록이 완료된 이벤트 기록을 CSV 또는 JSON 형식의 파일로 다운로드할 수 있습니다. 필터 및 시간 범위를 사용하여 다운로드하는 파일의 크기를 줄입니다.

참고

이벤트 기록에서 최대 20만 개의 이벤트를 다운로드할 수 있습니다.

CloudTrail 이벤트 기록 파일은 개별 사용자가 구성할 수 있는 정보 (예: 리소스 이름) 가 포함된 데이터 파일입니다. 일부 데이터는 이 데이터를 읽고 분석하는 데 사용되는 프로그램에서 명령으로 해석될 수 있습니다(CSV 주입). 예를 들어 CloudTrail 이벤트를 CSV로 내보내고 스프레드시트 프로그램으로 가져오는 경우 해당 프로그램에서 보안 문제에 대해 경고할 수 있습니다. 시스템을 안전하게 보호하기 위해 이 콘텐츠를 비활성화하도록 선택해야 합니다. 다운로드된 이벤트 기록 파일의 링크나 매크로를 항상 비활성화하십시오.

  1. [이벤트 기록(Event history)]에서 다운로드하려는 이벤트에 대한 필터 및 시간 범위를 추가합니다. 예를 들어, 이벤트 이름 StartInstances를 지정하고 지난 3일 동안의 활동에 대한 시간 범위를 지정할 수 있습니다.

  2. [이벤트 다운로드(Download events)]를 선택한 다음, [CSV로 다운로드(Download as CSV)] 또는 [JSON으로 다운로드(Download as JSON)]를 선택합니다. 다운로드가 즉시 시작됩니다.

    참고

    다운로드가 완료되는 데 약간의 시간이 걸릴 수 있습니다. 더 빠른 결과를 얻으려면 다운로드 프로세스를 시작하기 전에 더 구체적인 필터 또는 더 짧은 시간 범위를 사용하여 결과를 좁히십시오. 다운로드는 취소할 수 있습니다. 다운로드를 취소해도 로컬 컴퓨터에 일부 이벤트 데이터만 포함된 불완전한 다운로드가 생길 수 있습니다. 완전한 이벤트 기록을 다운로드하려면 다운로드를 다시 시작해야 합니다.

  3. 다운로드가 완료되면 파일을 열어 지정한 이벤트를 확인합니다.

  4. 다운로드를 취소하려면 [취소(Cancel)]를 선택한 다음, [다운로드 취소(Cancel download)]를 선택하여 확인합니다. 다운로드를 다시 시작해야 하는 경우 이전 다운로드의 취소가 완료될 때까지 기다립니다.

AWS Config에서 참조된 리소스 보기

AWS Config는 구성 세부 정보, 관계 및 AWS 리소스에 대한 변경 사항을 기록합니다.

[참조된 리소스(Resources referenced)] 창의 [AWS Config 리소스 타임라인(Config timeline)] 열에서 
                    AWS Config timeline icon
                을 선택하면 AWS Config 콘솔에서 리소스를 확인할 수 있습니다.


                    AWS Config timeline
                아이콘이 회색으로 표시되면 AWS Config가 설정되어 있지 않거나 리소스 유형이 기록되지 않은 상태입니다. 서비스를 설정하거나 해당 리소스 유형의 기록을 시작하려면 아이콘을 선택하여 AWS Config 콘솔로 이동합니다. 자세한 내용은 AWS Config 개발자 가이드콘솔을 사용하여 AWS Config 설정 단원을 참조하세요.

[Link not available]이 열에 나타나지 않으면 다음과 같은 이유 중 하나로 인해 리소스를 볼 수 없습니다.

  • AWS Config가 리소스 유형을 지원하지 않습니다. 자세한 내용은 AWS Config 개발자 가이드지원되는 리소스, 구성 항목 및 관계 단원을 참조하세요.

  • AWS Config최근에 리소스 유형에 대한 지원이 추가되었지만 콘솔에서는 아직 사용할 수 없습니다. CloudTrail AWS Config 콘솔에서 리소스를 조회하여 리소스에 대한 타임라인을 볼 수 있습니다.

  • 리소스는 다른 사람이 소유하고 AWS 계정 있습니다.

  • 리소스는 관리형 IAM 정책과 같은 다른 AWS 서비스 사람이 소유합니다.

  • 리소스가 생성된 다음 즉시 삭제되었습니다.

  • 리소스가 최근에 생성되었거나 업데이트되었습니다.

AWS Config 콘솔에서 리소스를 볼 수 있도록 사용자에게 읽기 전용 권한을 부여하려면 콘솔에서 AWS Config 정보를 볼 수 있는 권한 부여 CloudTrail 단원을 참조하세요.

AWS Config에 대한 자세한 내용은 AWS Config 개발자 안내서 섹션을 참조하세요.