update-trail 사용 - AWS CloudTrail

update-trail 사용

중요

2021년 11월 22일 기준으로 AWS CloudTrail는 글로벌 서비스 이벤트를 캡처하는 데 추적을 사용할 수 있는 방법을 변경합니다. 변경 후 Amazon CloudFront, AWS Identity and Access Management 및 AWS STS는 생성된 리전인 미국 동부(버지니아 북부) 리전(us-east-1)에서 기록됩니다. 따라서 CloudTrail은 이러한 서비스를 다른 AWS 글로벌 서비스와 일관되게 처리할 수 있습니다.

미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적다중 리전 추적으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 글로벌 서비스 이벤트 로깅 활성화 및 비활성화을(를) 참조하세요. 또한 lookup-events API 호출의 리전도 업데이트합니다. 예제 CLI 명령을 포함하여 조회 이벤트 업데이트에 대한 자세한 내용은 이 사용 설명서의 앞부분에 있는 속성별 이벤트 조회을(를) 참조하세요.

update-trail 명령을 사용하여 추적에 대한 구성 설정을 변경할 수 있습니다. 또한 add-tagsremove-tags 명령을 사용하여 추적의 태그를 추가하고 제거할 수 있습니다. 추적이 생성된 AWS 리전(홈 리전)에서만 추적을 업데이트할 수 있습니다. AWS CLI를 사용할 때는 프로필에 구성된 AWS 리전에서 명령이 실행된다는 점을 기억해야 합니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 --region 파라미터를 사용합니다.

참고

AWS CLI 또는 AWS SDK 중 하나를 사용하여 추적을 수정할 경우 추적의 버킷 정책이 최신 상태인지 확인해야 합니다. 버킷이 새 AWS 리전에서 자동으로 이벤트를 수신하려면 정책에 전체 서비스 이름(cloudtrail.amazonaws.com)이 포함되어 있어야 합니다. 자세한 내용은 CloudTrail에 대한 Amazon S3 버킷 정책 단원을 참조하세요.

한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환

모든 리전에 적용되도록 기존 추적을 변경하려면 --is-multi-region-trail 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

이제 추적이 모든 리전에 적용되는지 확인하려면 출력의 IsMultiRegionTrail 요소에 true가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

다중 리전 추적을 단일 리전 추적으로 변환

생성된 리전에만 추적이 적용되도록 기존 다중 리전 추적을 변경하려면 --no-is-multi-region-trail 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

이제 추적이 단일 리전에 적용되는지 확인하려면 출력의 IsMultiRegionTrail 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

글로벌 서비스 이벤트 로깅 활성화 및 비활성화

글로벌 서비스 이벤트를 로깅하지 않도록 추적을 변경하려면 --no-include-global-service-events 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

추적이 글로벌 서비스 이벤트를 더 이상 로깅하지 않는지 확인하려면 출력의 IncludeGlobalServiceEvents 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

글로벌 서비스 이벤트를 로깅하도록 추적을 변경하려면 --include-global-service-events 옵션을 사용합니다.

단일 리전 추적은 2021년 11월 22일부터 글로벌 서비스 이벤트를 수신하지 않습니다(단, 미국 동부(버지니아 북부) 리전(us-east-1)에 이미 나타난 추적 제외). 글로벌 서비스 이벤트를 계속 캡처하려면 추적 구성을 다중 리전 추적으로 업데이트하세요. 예를 들어 이 명령은 미국 동부(오하이오)(us-east-2)의 단일 리전 추적을 다중 리전 추적으로 업데이트합니다. myExistingSingleRegionTrailWithGSE를 자신의 구성에 적합한 추적 이름으로 교체합니다.

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

글로벌 서비스 이벤트는 2021년 11월 22일부터 미국 동부(버지니아 북부)에서만 사용할 수 있으므로 단일 리전 추적을 생성하여 미국 동부(버지니아 북부) 리전(us-east-1)의 글로벌 서비스 이벤트를 구독할 수도 있습니다. 다음 명령은 us-east-1에서 단일 리전 추적을 생성하여 CloudFront, IAM 및 AWS STS 이벤트를 수신합니다.

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

로그 파일 검증 활성화

추적에 대해 로그 파일 검증을 활성화하려면 --enable-log-file-validation 옵션을 사용합니다. 해당 추적에 대해 다이제스트 파일이 Amazon S3 버킷에 전달됩니다.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

로그 파일 검증이 활성화되었는지 확인하려면 출력의 LogFileValidationEnabled 요소에 true가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

로그 파일 검증 비활성화

추적에 대해 로그 파일 검증을 비활성화하려면 --no-enable-log-file-validation 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

로그 파일 검증이 비활성화되었는지 확인하려면 출력의 LogFileValidationEnabled 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

AWS CLI를 사용하여 로그 파일을 검증하려면 AWS CLI를 사용하여 CloudTrail 로그 파일 무결성 검증 단원을 참조하십시오.