콘솔로 CloudTrail Lake 대시보드 보기 CloudTrail

CloudTrail Lake 대시보드를 사용하여 이벤트 데이터 저장소의 이벤트를 시각화할 수 있습니다. 여러 다양한 대시보드 유형 중에서 선택할 수 있습니다. 이벤트 데이터 스토어에 사용할 수 있는 대시보드 유형은 이벤트 데이터 스토어의 고급 이벤트 선택기 구성에 따라 달라집니다. 예를 들어 대시보드 유형에 CloudTrail 관리 이벤트에 대한 정보가 표시되는 경우 현재 선택한 이벤트 데이터 저장소가 CloudTrail 관리 이벤트를 수집하는 경우에만 대시보드를 선택할 수 있습니다.

각 대시보드 유형은 여러 위젯으로 구성되어 있으며, 각 위젯은 SQL 쿼리를 나타냅니다. 위젯에 대한 쿼리를 보려면 쿼리 View and analyze in query editor(편집기에서 보기 및 분석)을 선택하여 쿼리 편집기를 엽니다. 위젯을 채우는 데 사용되는 시스템 생성 쿼리는 수정할 수 없지만, 쿼리를 편집하고, 쿼리 편집기에서 쿼리를 실행하여 추가 분석을 수행할 수는 있습니다.

대시보드를 채우고 업데이트하려면, Run queries(쿼리 실행)을 선택합니다. 쿼리 실행을 선택하면 시스템 생성 쿼리가 사용자 대신 CloudTrail 실행됩니다. 쿼리를 실행하면 비용이 발생하므로 쿼리 실행과 관련된 비용을 CloudTrail 확인하라는 메시지가 표시됩니다. 이는 일회성 확인입니다. CloudTrail 요금에 대한 자세한 내용은 CloudTrail 요금을 참조하십시오.

제한 사항

현재 릴리스에는 다음 제한 사항이 적용됩니다.

• 현재 릴리스에서는 사용자 지정 대시보드, 위젯 또는 쿼리를 지원하지 않습니다.

• 현재 릴리스에서는 이벤트 (데이터 이벤트, 관리 이벤트) 및 Insights CloudTrail 이벤트를 수집하는 이벤트 데이터 스토어에 대한 대시보드만 제공합니다.

• 현재 릴리스에서는 대시보드를 채우는 데 사용하는 시스템 생성 쿼리 편집을 지원하지 않습니다. Query Editor(쿼리 편집기) 탭에서 모든 위젯의 기본 쿼리를 보고 편집할 수 있지만, 모든 쿼리 변경 내용은 대시보드 외부에서의 보완 분석을 위한 것입니다.

사전 조건 

Lake 대시보드에는 다음과 같은 사전 요구 사항이 적용됩니다.

• Lake 대시보드를 보고 사용하려면 CloudTrail Lake 이벤트 데이터 저장소를 하나 이상 생성해야 합니다. 콘솔 또는 SDK를 사용하여 이벤트 데이터 저장소를 생성할 수 있습니다. AWS CLI콘솔을 사용하여 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 콘솔을 사용하여 이벤트용 CloudTrail 이벤트 데이터 저장소를 생성하십시오. 섹션을 참조하세요. 를 사용하여 이벤트 데이터 저장소를 생성하는 방법에 대한 자세한 내용은 을 AWS CLI참조하십시오를 사용하여 이벤트 데이터 저장소를 생성, 업데이트 및 관리합니다. AWS CLI.

• 대시보드를 채우려면 사용자 대신 쿼리를 CloudTrail 실행합니다. 대시보드 페이지를 처음 보면 쿼리 실행과 관련된 비용을 CloudTrail 확인하라는 메시지가 표시됩니다. I agree(동의)를 선택하여 쿼리 실행 비용을 확인합니다.

대시보드 선택

다음 절차를 따라 표시할 이벤트 데이터 스토어와 대시보드 유형을 선택합니다.

1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 CloudTrail 콘솔을 엽니다.

2. 왼쪽 탐색 창의 Lake에서 Dashboard(대시보드)를 선택합니다.

3. 데이터를 시각화하고자 하는 이벤트 데이터 저장소를 선택합니다.

4. 표시할 대시보드 유형을 선택합니다. 대시보드 목록은 선택한 이벤트 데이터 저장소의 고급 이벤트 선택기 구성을 기반으로 채워집니다.

   가능한 대시보드 유형은 다음과 같습니다.

   • 개요 대시보드 - 가장 활동적인 사용자를 이벤트 AWS 서비스 수별로 보여줍니다. AWS 리전read 및 write 관리 이벤트 활동, 제한이 가장 심한 이벤트, 주요 오류에 대한 정보도 볼 수 있습니다. 이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있습니다.

   • Management Events(관리 이벤트) 대시보드 - 콘솔 로그인 이벤트, 액세스 거부 이벤트, 파괴 조치, 사용자별 주요 오류를 보여줍니다. 또한 사용자별 TLS 버전 및 오래된 TLS 호출에 대한 정보를 볼 수 있습니다. 이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있습니다.

   • S3 Data Events(S3 데이터 이벤트) 대시보드 - S3 계정 활동, 가장 많이 액세스한 S3 객체, 상위 S3 사용자, 상위 S3 작업을 보여줍니다. 이 대시보드는 Amazon S3 데이터 이벤트를 수집하는 이벤트 데이터 스토어에 활용할 수 있습니다.

   • Insights Events(Insights 이벤트) 대시보드 - Insights 유형별 Insights 이벤트의 전체 비율, 상위 사용자 및 서비스에 대한 Insights 유형별 Insights 이벤트 비율, 일일 Insights 이벤트 수를 보여줍니다. 대시보드는 최대 30일간의 Insights 이벤트를 나열하는 위젯도 포함하고 있습니다. 이 대시보드는 Insights 이벤트를 수집하는 이벤트 데이터 스토어에만 사용할 수 있습니다.

     참고

     • 소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail 자세한 정보는 Insights 이벤트 전달에 대한 이해을 참조하세요.

     • Insights Events(Insights 이벤트) 대시보드에는 선택한 이벤트 데이터 스토어에서 수집한 Insights 이벤트에 대한 정보만 표시되며, 이 정보는 원본 이벤트 데이터 스토어의 구성에 따라 결정됩니다. 예를 들어 ApiCallRateInsight의 Insights 이벤트는 활성화되어 있지만, ApiErrorRateInsight에 대한 Insights 이벤트는 활성화되지 않도록 소스 이벤트 데이터 스토어를 구성하면, ApiErrorRateInsight의 Insights 이벤트 정보는 표시되지 않습니다.

5. Absolute range(절대 범위) 또는 Relative range(상대 범위)를 기준으로 대시보드 데이터를 필터링하도록 선택합니다. Absolute range(절대 범위)를 선택하여 특정 날짜 및 시간 범위를 선택합니다. 사전 정의된 시간 범위 또는 사용자 지정 범위를 선택하려면 Relative range(상대 범위)를 선택합니다. 기본적으로 대시보드에는 지난 24시간 동안의 이벤트 데이터가 표시됩니다.

   참고

   CloudTrail Lake 쿼리는 스캔한 데이터 양에 따라 비용이 발생합니다. 비용을 제어하기 위해 더 좁은 시간 범위를 기준으로 필터링할 수 있습니다. CloudTrail 요금에 대한 자세한 내용은 요금을 참조하십시오AWS CloudTrail .

6. Run queries(쿼리 실행)을 선택하여 대시보드 위젯에 대한 쿼리를 실행합니다.

날짜 또는 시간 범위에 따른 대시보드 필터링

기본적으로 대시보드에는 지난 24시간 동안의 데이터가 표시됩니다. Absolute range(절대 범위) 또는 Relative range(상대 범위)를 기준으로 대시보드를 필터링할 수 있습니다.

Absolute range(절대 범위)를 선택하여 특정 날짜 및 시간 범위를 선택합니다.

사전 정의된 시간 범위 또는 사용자 지정 범위를 선택하려면 Relative range(상대 범위)를 선택합니다.

시간 범위를 선택한 후 쿼리 실행을 선택하여 대시보드를 새로 고칩니다.

참고

CloudTrail Lake 쿼리는 스캔한 데이터 양에 따라 비용이 발생합니다. 비용을 제어하기 위해 더 좁은 시간 범위를 기준으로 필터링할 수 있습니다. CloudTrail 요금에 대한 자세한 내용은 요금을 참조하십시오AWS CloudTrail .

대시보드 위젯에 대한 쿼리 보기

각 위젯은 SQL 쿼리를 나타냅니다. 위젯에 대한 쿼리를 보려면 쿼리 View and analyze in query editor(편집기에서 보기 및 분석)을 선택하여 쿼리 편집기를 엽니다. 쿼리 편집기를 사용하면 대시보드 외부에서 쿼리를 추가로 세분화하고, 쿼리를 실행하여 업데이트된 쿼리의 결과를 확인할 수 있습니다. 쿼리 작업에 관한 자세한 내용은 콘솔을 사용하여 쿼리를 생성하거나 편집하십시오. CloudTrail 섹션을 참조하세요.

참고

대시보드 위젯의 시스템 생성 쿼리는 수정할 수 없습니다. Query Editor(쿼리 편집기) 탭에서 변경한 모든 쿼리 변경 내용은 대시보드 외부에서 추가 분석을 위한 용도로만 사용됩니다.