AWS CloudTrail 호수와 함께 일하기

AWS CloudTrail Lake를 사용하면 이벤트에 대해 SQL 기반 쿼리를 실행할 수 있습니다. CloudTrail Lake는 행 기반 JSON 형식의 기존 이벤트를 Apache ORC 형식으로 변환합니다. ORC는 빠른 데이터 검색에 최적화된 열 기반 스토리지 형식입니다. 이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 이벤트 데이터 저장소에 적용한 선택기는 지속되고 쿼리할 수 있는 이벤트를 제어합니다. CloudTrail Lake는 규정 준수 스택을 보완하고 실시간에 가까운 문제 해결을 지원하는 감사 솔루션입니다.

CloudTrail 레이크 이벤트 데이터 스토어

이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 포함할 이벤트의 유형을 선택합니다. 이벤트 데이터 저장소를 생성하여 이벤트, CloudTrail Insights 이벤트, AWS Config 구성 항목, AWS Audit Manager 증거 또는 외부 이벤트를 포함할 CloudTrail 수 AWS있습니다. 이벤트 스키마는 이벤트 카테고리별로 고유하므로 각 이벤트 데이터 저장소에는 특정 이벤트 카테고리 (예: AWS Config 구성 항목) 만 포함될 수 있습니다. 여러 지역 및 계정의 이벤트를 비롯하여 기관의 이벤트를 조직 이벤트 데이터 저장소에 저장할 수 있습니다. AWS Organizations 지원되는 SQL JOIN 키워드를 사용하여 여러 이벤트 데이터 스토어에서 SQL 쿼리를 실행할 수도 있습니다. 여러 이벤트 데이터 스토어에서 쿼리 실행에 대한 자세한 내용은 고급 다중 테이블 쿼리 지원을 참조하세요.

트레일 이벤트를 신규 또는 기존 이벤트 데이터 스토어에 복사하여 트레일에 기록된 이벤트의 point-in-time 스냅샷을 생성할 수 있습니다. 자세한 정보는 추적 이벤트를 이벤트 데이터 스토어에 복사을 참조하세요.

이벤트 데이터 스토어를 페더레이션하여 AWS Glue 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다. 자세한 정보는 이벤트 데이터 스토어 페더레이션을 참조하세요.

기본적으로 이벤트 데이터 저장소의 모든 이벤트는 로 CloudTrail 암호화됩니다. 이벤트 데이터 저장소를 구성할 때 자체 AWS Key Management Service 키를 사용하도록 선택할 수 있습니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

태그 기반 권한 부여를 사용하여 이벤트 데이터 스토어에서의 작업에 대한 액세스를 제어할 수 있습니다. 자세한 내용과 예제는 이 설명서의 예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부 단원을 참조하세요.

CloudTrail Lake 대시보드를 사용하여 이벤트 데이터 스토어의 데이터를 시각화할 수 있습니다. 각 대시보드는 여러 위젯으로 구성되며 각 위젯은 SQL 쿼리를 나타냅니다. Lake 대시보드에 대한 자세한 내용은 Lake 대시보드 보기 섹션을 참조하세요.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 부과됩니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 가격 책정 및 Lake 비용 관리에 대한 자세한 내용은 AWS CloudTrail 요금 및 CloudTrail 호수 비용 관리 을 참조하십시오.

CloudTrail Lake는 수집된 데이터 및 스토리지 바이트에 대한 정보를 제공하는 Amazon CloudWatch 지표를 지원합니다. 지원되는 CloudWatch 지표에 대한 자세한 내용은 을 참조하십시오. 지원되는 CloudWatch 지표

참고

CloudTrail 일반적으로 API 호출 후 평균 약 5분 이내에 이벤트를 전달합니다. 이 시간은 보장되지 않습니다.

CloudTrail 레이크 통합

CloudTrail Lake 통합을 사용하여 사내 또는 클라우드에서 호스팅되는 사내 또는 SaaS 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스에서 외부, 모든 소스의 사용자 활동 데이터를 기록하고 저장할 수 있습니다. AWS CloudTrail Lake에 이벤트 데이터 스토어를 생성하고 활동 이벤트를 기록할 채널을 만든 후에는 PutAuditEvents API를 호출하여 애플리케이션 활동을 인제스트합니다. CloudTrail 그런 다음 CloudTrail Lake를 사용하여 애플리케이션에서 기록된 데이터를 검색, 쿼리 및 분석할 수 있습니다.

통합을 통해 12개 CloudTrail 이상의 파트너가 제공하는 이벤트를 이벤트 데이터 스토어에 기록할 수도 있습니다. 파트너 통합에서는 대상 이벤트 데이터 스토어, 채널 및 리소스 정책을 생성합니다. 통합을 생성한 후에는 파트너에게 채널 ARN을 제공합니다. 통합에는 직접과 솔루션, 두 가지 유형이 있습니다. 직접 통합을 사용하면 파트너가 PutAuditEvents API를 호출하여 계정의 이벤트 데이터 스토어에 이벤트를 전달합니다. AWS 솔루션 통합을 사용하면 애플리케이션이 사용자 AWS 계정에서 실행되고 애플리케이션이 PutAuditEvents API를 호출하여 계정의 AWS 이벤트 데이터 스토어에 이벤트를 전달합니다.

통합에 대한 자세한 내용은 외부 이벤트 소스와의 통합 생성을 참조하십시오. AWS

CloudTrail Lake 쿼리

CloudTrail Lake 쿼리는 이벤트 기록이나 실행 중에서의 단순한 키 및 값 조회보다 더 심층적이고 사용자 지정이 가능한 이벤트 보기를 제공합니다. LookupEvents 이벤트 기록 검색은 1회로 제한되며 단일 AWS 계정이벤트의 이벤트만 반환되며 여러 속성을 AWS 리전쿼리할 수 없습니다. 반면 CloudTrail Lake 사용자는 여러 이벤트 필드에서 복잡한 SQL 쿼리를 실행할 수 있습니다. CloudTrail Lake는 모든 유효한 SELECT Presto문 및 함수를 지원합니다. 지원되는 SQL 함수와 연산자에 대한 자세한 내용은 Presto 설명서 웹 사이트의 함수와 연산자 섹션을 참조하세요.

나중에 사용할 수 있도록 CloudTrail Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리를 실행할 때 쿼리 결과를 Amazon S3 버킷에 저장할 수 있습니다.

CloudTrail 콘솔은 직접 쿼리 작성을 시작하는 데 도움이 되는 다양한 샘플 쿼리를 제공합니다. 자세한 정보는 CloudTrail 콘솔에서 샘플 쿼리 보기을 참조하세요.

CloudTrail Lake 쿼리에는 요금이 부과됩니다. Lake에서 쿼리를 실행하면, 비용은 검사한 데이터의 양을 기준으로 지불합니다. CloudTrail 가격 책정 및 Lake 비용 관리에 대한 자세한 내용은 AWS CloudTrail 요금 및 CloudTrail 호수 비용 관리 을 참조하십시오.