증거 찾기에서 검색 결과 내보내기 - AWS Audit Manager
사전 조건 절차추가적인 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

증거 찾기에서 검색 결과 내보내기

검색 결과를 검토한 후 해당 결과를 기반으로 평가 보고서를 생성할 수 있습니다. 또는 증거 찾기 검색 결과를 CSV 파일로 내보낼 수도 있습니다.

사전 조건 

다음 절차에서는 검색을 수행하고 증거 찾기에서 검색 결과를 검토하기 위한 단계를 이미 따랐다고 가정합니다.

절차

검색 결과에서 평가 보고서 생성

검색 결과에 만족하면 평가 보고서를 생성할 수 있습니다.

검색 결과에서 평가 보고서를 생성하려면

  1. 결과 보기 테이블 상단에서 평가 보고서 생성을 선택합니다.

  2. 평가 보고서의 이름과 설명을 입력하고 평가 보고서 세부 정보를 검토합니다.

  3. 평가 보고서 생성을 선택합니다.

평가 보고서가 생성되는 데에는 몇 분 정도 걸립니다. 이 작업 중에 증거 찾기에서 나가셔도도 됩니다. 보고서가 준비되면 녹색 성공 알림이 표시됩니다. 그러면 Audit Manager 다운로드 센터로 이동하여 평가 보고서를 다운로드할 수 있습니다.

참고

Audit Manager는 검색 결과의 증거만을 이용하여 일회성 보고서를 생성합니다. 이 보고서에 평가 페이지에서 보고서에 수동으로 추가한 증거는 포함되지 않습니다.

평가 보고서에 포함할 수 있는 증거의 양에는 제한이 적용됩니다. 자세한 정보는 증거 찾기 문제 해결을 참조하세요.

검색 결과를 CSV 파일로 내보내기

증거 찾기 검색 결과의 휴대용 버전이 필요할 수 있습니다. 이 경우에는 검색 결과를 CSV 파일로 내보낼 수 있습니다.

검색 결과를 내보내고 나면 Audit Manager 다운로드 센터에서 7일 동안 CSV 파일을 이용할 수 있습니다. CSV 파일의 사본은 내보내기 대상이라고 하는, 선택한 S3 버킷으로도 전송됩니다. CSV 파일은 파일을 삭제할 때까지 이 버킷에서 계속 이용할 수 있습니다.

Audit Manager는 CloudTrail Lake 기능을 사용하여 증거 찾기에서 CSV 파일을 내보내고 전달합니다. CSV 내보내기 프로세스의 작동 방식을 정의하는 요소는 다음과 같습니다.

  • 모든 검색 결과가 CSV 파일에 포함됩니다. 특정 검색 결과만 포함하려면 검색 필터를 편집하는 것이 좋습니다. 이렇게 하면, 내보내려는 증거만을 대상으로 검색 결과를 좁힐 수 있습니다.

  • CSV 파일은 압축된 GZIP 형식으로 내보냅니다. 기본 CSV 파일 이름은 queryID/result.csv.gz이며, 여기서 queryID는 검색 쿼리의 ID입니다.

  • CSV 내보낼 수 있는 최대 크기는 1TB입니다. 1TB가 넘는 데이터를 내보내는 경우, 결과는 두 개 이상의 파일로 분할됩니다. 각 CSV 파일의 이름은 result_number.csv.gz로 지정됩니다. 가져오는 CSV 파일 수는 검색 결과의 전체 크기에 따라 달라집니다. 예를 들어, 2TB의 데이터를 내보내는 경우 두 개의 쿼리 결과 파일(result_1.csv.gzresult_2.csv.gz)이 제공됩니다.

  • S3 버킷에는 CSV 파일 외에도 JSON 서명 파일이 전송됩니다. 이 파일은 CSV 파일 내의 정보가 정확한지 확인하는 체크섬 역할을 합니다. 자세히 알아보려면 AWS CloudTrail 개발자 안내서의 CloudTrail 서명 파일 구조를 참조하십시오. 쿼리 결과 무결성 검증을 사용하여 쿼리 결과가 전달된 후 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. CloudTrail 이에 대한 지침은 AWS CloudTrail 개발자 안내서저장된 쿼리 결과 검증을 참조하세요.

참고

수동 증거 텍스트 응답은 현재 증거 찾기 미리 보기 또는 CSV 내보내기에 포함되지 않습니다. 텍스트 응답 데이터를 보려면 증거 찾기 결과에서 수동 증거의 이름을 선택하여 증거 세부 정보 페이지를 열면 됩니다. Audit Manager 콘솔 외부에서 텍스트 응답 데이터를 확인해야 하는 경우, 증거 찾기 결과를 바탕으로 평가 보고서를 생성하는 것이 좋습니다. 텍스트 응답을 포함한 모든 수동 증거 세부 정보가 평가 보고서에 포함됩니다.

다음 단계에 따라 최초 검색 결과를 내보낼 수 있습니다. 이 절차에 의하면 향후 모든 내보내기에 대한 내보내기 대상를 기본 설정으로 지정할 수 있습니다. 기본 설정에 의한 내보내기 대상을 지금 저장하지 않으려면, 나중에 내보내기 대상 설정을 업데이트하여 저장할 수 있습니다.

중요

시작하기 전에 내보내기 대상으로 사용할 수 있는 S3 버킷이 있는지 확인하세요. 기존 S3 버킷 중 하나를 사용하거나 Amazon S3에서 새 버킷을 생성할 수 있습니다. 또한 S3 버킷에는 내보내기 파일을 쓸 수 있도록 허용하는 CloudTrail 데 필요한 권한 정책이 있어야 합니다. 좀 더 구체적으로 말하자면, 버킷 정책에는 s3:PutObject 작업과 버킷 ARN이 포함되어야 하고 list가 서비스 보안 CloudTrail 주체로 포함되어야 합니다. 이 때 사용할 수 있는 권한 정책 예시를 제공해드립니다. 이 정책을 S3 버킷에 연결하는 방법에 대한 지침은 Amazon S3 콘솔을 이용한 버킷 정책 추가를 참조하세요.

자세한 팁은 을 참조하십시오내보내기 목적지에 대한 구성 팁. CSV 파일을 내보낼 때 문제가 발생하는 경우 을 참조하십시오csv-exports.

검색 결과를 내보내려면(최초 실행 시)

  1. 결과 보기 테이블 상단에서 CSV 내보내기를 선택합니다.

  2. 파일을 내보낼 S3 버킷을 지정합니다.

    • Browse S3를 선택하여 버킷 목록에서 선택합니다.

    • 또는 s3://bucketname/prefix 형식으로 버킷 URI를 입력할 수 있습니다.

    작은 정보

    대상 버킷을 체계적으로 정리하려면 CSV 내보내기를 위한 선택적 폴더를 만들 수 있습니다. 그렇게 하려면, 리소스 URI 상자의 값에 슬래시(/)와 접두사를 추가합니다(예: /evidenceFinderExports). 그러면 Audit Manager가 CSV 파일을 버킷에 추가할 때 이 접두사를 포함시키고, Amazon S3는 접두사로 지정된 경로를 생성합니다. Amazon S3의 접두사에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명에 있는 Amazon S3 콘솔에서의 객체 구성을 참조하세요.

  3. (선택 사항) 이 버킷을 기본 내보내기 대상으로 저장하지 않으려면 증거 찾기 설정에서 이 버킷을 기본 내보내기 대상로 저장이라는 확인란의 선택을 취소하면 됩니다.

  4. 내보내기를 선택합니다.

기본 S3 버킷을 기본 내보내기 대상으로 저장한 후, 다음 단계를 진행하면 됩니다.

검색 결과를 내보내려면(기본 내보내기 대상을 저장한 후)

  1. 결과 보기 테이블 상단에서 CSV 내보내기를 선택합니다.

  2. 표시되는 프롬프트에서 내보낸 파일이 저장될 기본 S3 버킷을 검토합니다.

    1. (선택 사항) 이 버킷을 계속 사용하고 앞으로는 이 메시지를 숨기려면 다시 알림 사용 안 함 확인란을 선택합니다.

    2. (선택 사항) 이 버킷을 변경하려면 절차에 따라 내보내기 대상 설정 업데이트를 수행합니다.

  3. 확인을 선택합니다.

내보내는 데이터의 양에 따라, 내보내기 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다. 내보내기가 진행되는 동안에는 증거 찾기에서 나가셔도 됩니다. 증거 찾기에서 벗어나면 검색이 중단되고 콘솔에서 검색 결과가 삭제됩니다. 하지만, CSV 내보내기 프로세스는 백그라운드에서 계속됩니다. CSV 파일에는 쿼리와 일치하는 전체 검색 결과 세트가 포함됩니다.

내보낸 결과 보기

CSV 파일을 찾고 상태를 확인하려면 Audit Audit Manager 다운로드 센터 Manager로 이동하십시오. 내보낸 파일이 준비되면 다운로드 센터에서 CSV 파일을 다운로드할 수 있습니다.

내보내기 대상 S3 버킷에서 CSV 파일을 찾아 다운로드할 수도 있습니다.

Amazon S3 콘솔에서 CSV 파일 및 서명 파일 찾기

  1. Amazon S3 콘솔을 엽니다.

  2. CSV 파일을 내보낼 때 지정한 내보내기 대상 버킷을 선택합니다.

  3. CSV 파일과 서명 파일을 찾을 때까지 객체 계층을 탐색합니다. CSV 파일의 확장자는 .csv.gz이고 서명 파일의 확장자는 .json입니다.

다음 예제와 유사하지만, 내보내기 대상 버킷 이름, 계정 ID, 날짜, 쿼리 ID가 다른 객체 계층을 통해 탐색하게 됩니다.

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

추가적인 리소스