기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CloudTrail 이벤트 이해
의 이벤트는 AWS 계정에서의 CloudTrail 활동 기록입니다. 이 활동은 IAM ID 또는 모니터링 가능한 서비스에서 취한 조치일 수 있습니다. CloudTrail CloudTrail 이벤트는 AWS Management Console, AWS SDK, 명령줄 도구 등을 통해 이루어진 API 및 비 API 계정 활동의 기록을 제공합니다. AWS 서비스
CloudTrail 로그 파일은 공개 API 호출의 정렬된 스택 트레이스가 아니므로 이벤트가 특정 순서로 표시되지 않습니다.
CloudTrail 이벤트에는 세 가지 유형이 있습니다.
기본적으로 추적 및 이벤트 데이터 스토어는 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.
모든 이벤트 유형은 CloudTrail JSON 로그 형식을 사용합니다. 이 로그는 요청한 사람, 사용된 서비스, 수행된 작업, 작업에 대한 파라미터와 같이 계정에서 리소스 요청에 대한 정보를 포함합니다. 이벤트 데이터는 Records 배열로 묶습니다.
CloudTrail 이벤트 레코드 필드에 대한 자세한 내용은 을 참조하십시오CloudTrail 기록 내용.
관리 이벤트
관리 이벤트는 AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다. 이를 제어 영역 작업이라고도 합니다.
예제 관리 이벤트에는 다음이 포함됩니다.
-
보안 구성 (예: AWS Identity and Access Management
AttachRolePolicyAPI 작업) -
디바이스 등록(예: Amazon EC2
CreateDefaultVpcAPI 작업) -
데이터 라우팅 규칙 구성(예: Amazon EC2
CreateSubnetAPI 작업) -
로깅 설정 (예: AWS CloudTrail
CreateTrailAPI 작업)
관리 이벤트에는 귀하의 계정에서 발생한 비 API 이벤트도 포함될 수 있습니다. 예를 들어, 사용자가 계정에 CloudTrail 로그인하면 ConsoleLogin 이벤트를 기록합니다. 자세한 정보는 에서 캡처한 비 API 이벤트 CloudTrail을 참조하세요.
기본적으로 CloudTrail 트레일 및 CloudTrail 레이크 이벤트 데이터는 로그 관리 이벤트를 저장합니다. 관리 이벤트 로깅에 대한 자세한 내용은 을 참조하십시오관리 이벤트 로깅.
다음 예는 관리 이벤트의 단일 로그 레코드를 보여줍니다. 이 이벤트에서 이라는 IAM 사용자가 aws cloudtrail start-logging 명령을 Mary_Major 실행하여 CloudTrail StartLogging작업을 호출하여 라는 이름의 myTrail 트레일에서 로깅 프로세스를 시작했습니다.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
다음 예에서는 Paulo_Santos라는 IAM 사용자가 aws cloudtrail start-event-data-store-ingestion 명령을 실행하여 이벤트 데이터 스토어에 대한 수집을 시작하는 StartEventDataStoreIngestion 작업을 호출했습니다.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
데이터 이벤트
데이터 이벤트는 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 영역 작업이라고도 합니다. 데이터 이벤트가 대량 활동인 경우도 있습니다.
예제 데이터 이벤트에는 다음이 포함됩니다.
-
S3 버킷의 객체에 대한 Amazon S3 객체 수준
PutObjectAPI 활동 (예:GetObjectDeleteObject,, 및 API 작업) -
AWS Lambda 함수 실행 활동 (API).
Invoke -
CloudTrail
PutAuditEvents외부의 이벤트를 기록하는 데 사용되는 CloudTrail Lake 채널에서의 활동 AWS. -
주제에 따른 Amazon SNS
Publish및PublishBatchAPI 운영입니다.
다음 표는 추적 및 이벤트 데이터 스토어에 사용할 수 있는 데이터 이벤트 유형을 보여 줍니다. Data event type(데이터 이벤트 유형)(콘솔) 열에는 콘솔의 적절한 선택 항목이 표시됩니다. resources.type 값 열에는 또는 API를 사용하여 트레일 또는 이벤트 데이터 저장소에 해당 유형의 데이터 이벤트를 포함하도록 지정하는 resources.type 값이 표시됩니다. AWS CLI CloudTrail
트레일의 경우 기본 또는 고급 이벤트 선택기를 사용하여 범용 버킷, Lambda 함수 및 DynamoDB 테이블 (표의 처음 세 행 참조) 에서 Amazon S3 객체에 대한 데이터 이벤트를 로깅할 수 있습니다. 나머지 행에 표시된 데이터 이벤트 유형은 고급 이벤트 선택기만을 사용하여 로그할 수 있습니다.
이벤트 데이터 스토어는 데이터 이벤트를 포함하려면 고급 이벤트 선택기만을 사용해야 합니다.
| AWS 서비스 | 설명 | 데이터 이벤트 유형(콘솔) | resources.type 값 |
|---|---|---|---|
| Amazon DynamoDB | 테이블에서의 Amazon DynamoDB 항목 수준 API 활동 (예: 참고스트림이 활성화된 테이블의 경우 데이터 이벤트의 |
DynamoDB |
|
| AWS Lambda | AWS Lambda 함수 실행 활동 ( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 범용 버킷의 객체에 대한 Amazon S3 객체 수준 |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig 및 에 대한 호출과 같은 구성 작업을 위한 API 활동 |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS B2B 데이터 교환 |
|
B2B Data Interchange | AWS::B2BI::Transformer |
| Amazon Bedrock | 에이전트 별칭에 대한 Amazon Bedrock API 활동 | Bedrock 에이전트 별칭 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 지식 기반에 대한 Amazon Bedrock API 활동 | Bedrock 지식 기반 | AWS::Bedrock::KnowledgeBase |
| 아마존 CloudFront | CloudFront a에서의 API 활동 KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map 네임스페이스에서의 API 활동. | AWS Cloud Map 네임스페이스 | |
| AWS Cloud Map | AWS Cloud Map 서비스에서의 API 활동. | AWS Cloud Map service | |
| AWS CloudTrail | CloudTrail |
CloudTrail 채널 | AWS::CloudTrail::Channel |
| 아마존 CloudWatch | 지표에 대한 Amazon CloudWatch API 활동. |
CloudWatch 메트릭 | AWS::CloudWatch::Metric |
| 아마존 CodeWhisperer | 사용자 지정에 대한 Amazon CodeWhisperer API 활동. | CodeWhisperer 사용자 지정 | AWS::CodeWhisperer::Customization |
| 아마존 CodeWhisperer | 프로필에서의 아마존 CodeWhisperer API 활동. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito 자격 증명 풀에서의 Amazon Cognito API 활동. |
Cognito 자격 증명 풀 | AWS::Cognito::IdentityPool |
| Amazon DynamoDB | 스트림에서의 Amazon DynamoDB API 활동 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon Elastic Block Store(EBS) 다이렉트 API(예: Amazon EBS 스냅샷의 |
Amazon EBS 다이렉트 API | AWS::EC2::Snapshot |
| Amazon EMR | 미리 쓰기 로그 작업 영역에서의 Amazon EMR API 활동. | EMR 미리 쓰기 로그 작업 영역 | AWS::EMRWAL::Workspace |
| Amazon FinSpace | 환경에서의 Amazon FinSpace API 활동 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue Lake Formation에서 생성한 테이블에서의 API 활동. |
Lake Formation | AWS::Glue::Table |
| 아마존 GuardDuty | 탐지기를 위한 Amazon GuardDuty API 활동. |
GuardDuty 감지기 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging 데이터 스토어에서의 API 활동. |
MedicalImaging 데이터 스토어 | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT 인증서 | AWS::IoT::Certificate |
|
| AWS IoT | IoT 관련 | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | 구성 요소 버전의 그린그래스 코어 디바이스에서의 Greengrass API 활동. 참고Greengrass는 액세스 거부 이벤트를 기록하지 않습니다. |
IoT 그린그래스 컴포넌트 버전 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 배포 시 그린그래스 코어 디바이스에서의 그린그래스 API 활동. 참고Greengrass는 액세스 거부 이벤트를 기록하지 않습니다. |
IoT 그린그래스 배포 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise 자산 | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise 시계열 | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT TwinMaker | 엔티티에서의 IoT TwinMaker API 활동. |
IoT TwinMaker 엔티티 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | 작업 공간에서의 IoT TwinMaker API 활동. |
IoT TwinMaker 워크스페이스 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 재평가 실행 계획에 대한 Amazon Kendra Intelligent Ranking API 활동. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra용) | 테이블에서의 Amazon Keyspaces API 활동. | 카산드라 테이블 | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | 스트림에서의 Kinesis Data Streams API 활동. | Kinesis 스트림 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 스트림 소비자에 대한 Kinesis Data Streams API 활동. | Kinesis 스트림 컨슈머 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 비디오 스트림에서의 Kinesis Video Streams API 활동 (예: 및 에 대한 호출GetMedia) PutMedia |
Kinesis 비디오 스트림 | AWS::KinesisVideo::Stream |
| Amazon Machine Learning | ML 모델에서의 Machine Learning API 활동. | 매칭 러닝 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 네트워크에서의 Amazon Managed Blockchain API 활동 |
Managed Blockchain 네트워크 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Ethereum 노드에서의 Amazon Managed Blockchain JSON-RPC 호출(예: |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Neptune Graph | Neptune Graph에 대한 데이터 API 활동(예: 쿼리, 알고리즘 또는 벡터 검색) |
Neptune Graph | AWS::NeptuneGraph::Graph |
| AWS Private CA | AWS Private CA 액티브 디렉터리 API 활동을 위한 커넥터. |
AWS Private CA 액티브 디렉터리용 커넥터 | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA SCEP API 활동을 위한 커넥터. |
AWS Private CA SCEP용 커넥터 | AWS::PCAConnectorSCEP::Connector |
| 아마존 Q 앱 | Amazon Q 앱에서의 데이터 API 활동. |
아마존 Q 앱 | AWS::QApps:QApp |
| Amazon Q 비즈니스용 | 애플리케이션에 대한 Amazon Q Business API 활동 |
Amazon Q Business 애플리케이션 | AWS::QBusiness::Application |
| Amazon Q 비즈니스용 | 데이터 소스에 대한 Amazon Q Business API 활동 |
Amazon Q Business 데이터 소스 | AWS::QBusiness::DataSource |
| Amazon Q 비즈니스용 | 인덱스에 대한 Amazon Q Business API 활동 |
Amazon Q Business 인덱스 | AWS::QBusiness::Index |
| Amazon Q 비즈니스용 | 웹 경험에 대한 Amazon Q Business API 활동 |
Amazon Q Business 웹 경험 | AWS::QBusiness::WebExperience |
| Amazon RDS | DB 클러스터에서의 Amazon RDS API 활동. |
RDS 데이터 API - DB 클러스터 | AWS::RDS::DBCluster |
| Amazon S3 | 액세스 포인트에서의 Amazon S3 API 활동. |
S3 액세스 포인트 | AWS::S3::AccessPoint |
| Amazon S3 | Amazon S3 오브젝트 Lambda는 및 에 대한 호출과 같은 API 활동을 액세스합니다. |
S3 객체 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Outposts에서의 Amazon S3 | Amazon S3 on Outposts 객체 수준 API 활동 |
S3 Outposts | AWS::S3Outposts::Object |
| 아마존 SageMaker | 엔드포인트에서의 Amazon SageMaker InvokeEndpointWithResponseStream활동. |
SageMaker 엔드포인트 | AWS::SageMaker::Endpoint |
| 아마존 SageMaker | 피처 스토어에서의 Amazon SageMaker API 활동. |
SageMaker 기능 스토어 | AWS::SageMaker::FeatureGroup |
| 아마존 SageMaker | 실험 시험 구성 요소에 대한 Amazon SageMaker API 활동. |
SageMaker 메트릭, 실험, 시험 구성 요소 | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SNS | 플랫폼 엔드포인트에서 Amazon SNS |
SNS 플랫폼 엔드포인트 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 주제에 따른 Amazon SNS |
SNS 주제 | AWS::SNS::Topic |
| Amazon SQS | 메시지에 대한 Amazon SQS API 활동 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | 스테이트 머신에서의 Step Functions API 활동. |
Step Functions 상태 시스템 | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain 인스턴스에서의 API 활동. |
공급망 | AWS::SCN::Instance |
| Amazon SWF | SWF 도메인 | AWS::SWF::Domain |
|
| AWS Systems Manager | 제어 채널에서의 Systems Manager API 활동. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 관리형 노드에서의 Systems Manager API 활동. | Systems Manager 관리형 노드 | AWS::SSM::ManagedNode |
| Amazon Timestream | 데이터베이스에서의 Amazon Timestream Query API 활동 |
Timestream 데이터베이스 | AWS::Timestream::Database |
| Amazon Timestream | 테이블에서의 Amazon Timestream QueryAPI 활동. |
Timestream 테이블 | AWS::Timestream::Table |
| Amazon Verified Permissions | 정책 스토어에서의 Amazon Verified Permissions API 활동. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| 아마존 WorkSpaces 씬 클라이언트 | WorkSpaces 디바이스에서의 씬 클라이언트 API 활동. | 씬 클라이언트 디바이스 | AWS::ThinClient::Device |
| 아마존 WorkSpaces 씬 클라이언트 | WorkSpaces 환경에서의 씬 클라이언트 API 활동. | 씬 클라이언트 환경 | AWS::ThinClient::Environment |
| AWS X-Ray | 트레이스에 대한 X-Ray API 활동. |
X-Ray 트레이스 | AWS::XRay::Trace |
추적 또는 이벤트 데이터 스토어를 생성하면 데이터 이벤트는 기본적으로 로깅되지 않습니다. CloudTrail 데이터 이벤트를 기록하려면 활동을 수집하려는 지원되는 리소스 또는 리소스 유형을 명시적으로 추가해야 합니다. 자세한 내용은 CloudTrail 콘솔로 트레일 만들기 및 콘솔을 사용하여 이벤트용 CloudTrail 이벤트 데이터 저장소를 생성하십시오. 섹션을 참조하세요.
데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금에 대해서는 요금을 참조하십시오AWS CloudTrail .
다음 예는 Amazon SNS Publish 작업에 대한 데이터 이벤트의 단일 로그 레코드를 보여줍니다.
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
다음 예는 Amazon Cognito GetCredentialsForIdentity 작업에 대한 데이터 이벤트의 단일 로그 레코드를 보여줍니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
인사이트 이벤트
CloudTrail Insights 이벤트는 CloudTrail 관리 활동을 분석하여 AWS 계정의 비정상적인 API 호출률 또는 오류율 활동을 캡처합니다. Insights 이벤트는 관련 API, 오류 코드, 인시던트 시간, 통계 등 비정상적인 활동을 파악하고 이에 대한 조치를 취하는 데 도움이 되는 관련 정보를 제공합니다. CloudTrail 트레일 또는 이벤트 데이터 스토어에서 캡처된 다른 유형의 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정의 API 사용 또는 오류율 로깅 변경을 CloudTrail 감지한 경우에만 로깅됩니다.
Insights 이벤트를 생성할 수 있는 활동의 예는 다음과 같습니다.
-
계정이 일반적으로 분당 20건 이하의 Amazon S3
deleteBucketAPI 호출을 로그하는데, 계정에서 분당 평균 100건의deleteBucketAPI 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다. -
계정이 일반적으로 분당 20건의 Amazon EC2
AuthorizeSecurityGroupIngressAPI 호출을 로그하는데, 계정에서 0건의AuthorizeSecurityGroupIngress호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다. -
계정은 일반적으로 AWS Identity and Access Management API,
DeleteInstanceProfile에서 7일 동안 1개 미만의AccessDeniedException오류를 로그합니다. 계정에서DeleteInstanceProfileAPI 호출에서 분당 평균 12개의AccessDeniedException오류를 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.
이러한 예제는 설명용으로만 제공됩니다. 사용 사례에 따라 결과가 달라질 수 있습니다.
CloudTrail Insights 이벤트를 로깅하려면 신규 또는 기존 트레일 또는 이벤트 데이터 스토어에서 Insights 이벤트를 명시적으로 활성화해야 합니다. 추적 생성에 대한 자세한 내용은 CloudTrail 콘솔로 트레일 만들기을 참조하세요. 이벤트 데이터 스토어 생성에 대한 자세한 내용은 콘솔을 사용하여 Insights 이벤트용 이벤트 데이터 저장소를 생성하십시오. 섹션을 참조하세요.
Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금
CloudTrail Insights에는 비정상적인 활동을 보여주는 두 개의 이벤트, 즉 시작 이벤트와 종료 이벤트가 기록되어 있습니다. 다음 예는 Application Auto Scaling API CompleteLifecycleAction이 비정상적인 횟수로 호출될 때 발생한 Insights 이벤트의 단일 로그 레코드를 보여 줍니다. 인사이트 이벤트의 경우 eventCategory의 값은 Insight입니다. insightDetails 블록은 통계 및 속성을 포함하여 이벤트 상태, 소스, 이름, Insights 유형 및 컨텍스트를 식별합니다. insightDetails 블록에 대한 자세한 내용은 CloudTrail 인사이트 insightDetails 요소 단원을 참조하세요.
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
