기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 이벤트 데이터 저장소를 생성, 업데이트 및 관리합니다. AWS CLI
를 사용하여 이벤트 데이터 저장소를 생성, 업데이트 및 관리할 수 있습니다. AWS CLI 를 사용할 때는 명령이 AWS CLI프로필에 AWS 리전 맞게 구성된 상태에서 실행된다는 점을 기억하십시오. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 --region 파라미터를 사용합니다.
이벤트 데이터 저장소에 사용할 수 있는 명령
CloudTrail Lake에서 이벤트 데이터 저장소를 생성하고 업데이트하기 위한 명령은 다음과 같습니다.
-
create-event-data-store이벤트 데이터 저장소를 만들려면 -
get-event-data-store이벤트 데이터 저장소에 구성된 고급 이벤트 선택기를 포함하여 이벤트 데이터 저장소에 대한 정보를 반환합니다. -
update-event-data-store기존 이벤트 데이터 저장소의 구성을 변경합니다. -
list-event-data-stores이벤트 데이터 저장소를 나열합니다. -
delete-event-data-store이벤트 데이터 저장소를 삭제합니다. -
restore-event-data-store삭제 보류 중인 이벤트 데이터 저장소를 복원합니다. -
start-import이벤트 데이터 저장소로 트레일 이벤트 가져오기를 시작하거나 실패한 가져오기를 재시도하려면 -
get-import특정 가져오기에 대한 정보를 반환하기 위해서입니다. -
stop-import트레일 이벤트를 이벤트 데이터 저장소로 가져오는 것을 중지합니다. -
list-imports또는 를 사용하여 모든 가져오기 또는 선택한 가져오기 세트에 대한 정보를 반환할ImportStatus수Destination있습니다. -
list-import-failures지정된 가져오기에 대한 가져오기 실패 목록을 표시합니다. -
stop-event-data-store-ingestion이벤트 데이터 저장소의 이벤트 인제스트를 중지합니다. -
start-event-data-store-ingestion이벤트 데이터 저장소에서 이벤트 인제스트를 다시 시작합니다. -
enable-federation이벤트 데이터 스토어의 페더레이션을 활성화하여 Amazon Athena의 이벤트 데이터 스토어를 쿼리할 수 있도록 합니다. -
disable-federation이벤트 데이터 스토어의 페더레이션을 비활성화합니다. 페더레이션을 비활성화하면 Amazon Athena에 있는 이벤트 데이터 스토어의 데이터에 대해 더 이상 쿼리할 수 없습니다. CloudTrail Lake에서 계속 쿼리할 수 있습니다. -
put-insight-selectors기존 이벤트 데이터 저장소의 Insights 이벤트 선택기를 추가 또는 수정하고 Insights 이벤트를 활성화하거나 비활성화할 수 있습니다. -
get-insight-selectors이벤트 데이터 저장소에 구성된 Insights 이벤트 선택기에 대한 정보를 반환합니다. -
add-tags기존 이벤트 데이터 저장소에 하나 이상의 태그 (키-값 쌍) 를 추가합니다. -
remove-tags이벤트 데이터 저장소에서 하나 이상의 태그를 제거합니다. -
list-tags이벤트 데이터 저장소와 관련된 태그 목록을 반환합니다.
CloudTrail Lake 쿼리에 사용할 수 있는 명령 목록은 을 참조하십시오 CloudTrail Lake 쿼리에 사용할 수 있는 명령어.
CloudTrail Lake 통합에 사용할 수 있는 명령 목록은 을 참조하십시오 CloudTrail Lake 통합에 사용할 수 있는 명령어.
를 사용하여 이벤트 데이터 저장소를 생성하십시오. AWS CLI
create-event-data-store
이벤트 데이터 스토어를 생성할 때 유일한 필수 파라미터는 이벤트 데이터 스토어를 식별하는 데 사용되는 --name입니다. 다음을 포함한 추가 옵션 파라미터를 구성할 수 있습니다.
-
--advanced-event-selectors- 이벤트 데이터 스토어에 포함할 이벤트의 유형을 지정합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 고급 이벤트 셀렉터에 대한 자세한 내용은 CloudTrail API Reference를 참조하십시오 AdvancedEventSelector. -
--kms-key-idalias/, 별칭에 대한 전체 지정 ARN, 키에 대한 전체 지정 ARN, 전역적으로 고유한 식별자 등의 접두사가 붙은 별칭 이름일 수 있습니다. -
--multi-region-enabled- 계정 내 모든 사용자의 이벤트를 기록하는 다중 지역 이벤트 데이터 스토어를 생성합니다 AWS 리전 . 파라미터가 추가되지 않은 경우에도 기본적으로--multi-region-enabled가 설정됩니다. -
--organization-enabled- 이벤트 데이터 스토어에서 조직의 모든 계정에 대한 이벤트를 수집할 수 있도록 합니다. 기본적으로 이벤트 데이터 스토어는 기본적으로 모든 계정에 대해 활성화되지 않습니다. -
--billing-mode- 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.사용 가능한 값은 다음과 같습니다.
-
EXTENDABLE_RETENTION_PRICING- 이 결제 모드는 일반적으로 한 달에 25TB 미만의 이벤트 데이터를 모으고 최대 3653일(약 10년)의 유연한 보존 기간을 원하는 경우에 권장됩니다. 이 결제 모드의 기본 보존 기간은 366일입니다. -
FIXED_RETENTION_PRICING- 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 2557일(약 7년)의 보존 기간이 필요한 경우 이 결제 모드가 권장됩니다. 이 결제 모드의 기본 보존 기간은 2557일입니다.
기본 값은
EXTENDABLE_RETENTION_PRICING입니다. -
-
--retention-period- 이벤트 데이터 스토어에 이벤트를 보관하는 일수입니다. 유효한 값은--billing-mode가EXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고,--billing-mode가FIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다.--retention-period지정하지 않으면 의 기본 보존 기간을 CloudTrail 사용합니다.--billing-mode -
--start-ingestion---start-ingestion파라미터는 이벤트 데이터 스토어가 생성될 때 이벤트 모으기를 시작합니다. 이 파라미터는 파라미터가 추가되지 않은 경우에도 설정됩니다.이벤트 데이터 스토어가 라이브 이벤트를 모으지 않도록 하려면
--no-start-ingestion을 지정합니다. 예를 들어, 이벤트를 이벤트 데이터 스토어에 복사하고 이벤트 데이터만 사용하여 과거 이벤트를 분석하려는 경우 이 파라미터를 설정할 수 있습니다.--no-start-ingestion파라미터는eventCategory가Management,Data또는ConfigurationItem인 경우에만 유효합니다.
다음 예제에서는 다양한 유형의 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.
주제
를 사용하여 S3 데이터 이벤트용 이벤트 데이터 스토어를 생성하십시오. AWS CLI
다음 예제 AWS Command Line Interface (AWS CLI) create-event-data-store 명령은 모든 Amazon S3 데이터 이벤트를 선택하는 이름의 my-event-data-store 이벤트 데이터 스토어를 생성하고 KMS 키를 사용하여 암호화합니다.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
를 사용하여 AWS Config 구성 항목에 대한 이벤트 데이터 스토어를 생성합니다. AWS CLI
다음 예제 AWS CLI create-event-data-store 명령은 AWS Config 구성 항목을 선택하는 이름의 config-items-eds 이벤트 데이터 저장소를 만듭니다. 구성 항목을 수집하려면 고급 이벤트 선택기에서 eventCategory 필드 Equals ConfigurationItem을 지정합니다.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
를 사용하여 관리 이벤트를 위한 조직 이벤트 데이터 저장소를 생성합니다. AWS CLI
다음 예제 AWS CLI create-event-data-store 명령은 모든 관리 이벤트를 수집하고 --billing-mode 매개변수를 로 설정하는 조직 이벤트 데이터 저장소를 만듭니다FIXED_RETENTION_PRICING.
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
를 사용하여 Insights 이벤트에 대한 이벤트 데이터 저장소를 생성합니다. AWS CLI
CloudTrail Lake에서 Insights 이벤트를 기록하려면 Insights 이벤트를 수집하는 대상 이벤트 데이터 저장소와 Insights 및 로그 관리 이벤트를 활성화하는 원본 이벤트 데이터 저장소가 필요합니다.
이 절차는 대상 및 소스 이벤트 데이터 스토어를 생성하고, Insights 이벤트를 활성화하는 방법을 보여 줍니다.
-
aws cloudtrail create-event-data-store
명령을 실행하여 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 생성합니다. eventCategory의 값은Insight이어야 합니다. 이벤트 데이터 스토어에 이벤트를 보관하려는 기간 (일)retention-period-days으로 바꾸십시오. 유효한 값은--billing-mode가EXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고,--billing-mode가FIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다.--retention-period지정하지 않으면 의 기본 보존 기간을 CloudTrail 사용합니다--billing-mode.AWS Organizations 조직의 관리 계정으로 로그인한 경우 위임된 관리자에게 이벤트 데이터 저장소에 대한 액세스 권한을 부여하려면
--organization-enabled매개변수를 포함하세요.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'다음은 응답의 예입니다.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }응답의
ARN(또는 ARN의 ID 접미사)을 3단계의--insights-destination파라미터 값으로 사용합니다. -
aws cloudtrail create-event-data-store
명령을 실행하여 관리 이벤트를 로그하는 소스 이벤트 데이터 저장소를 생성합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 모든 관리 이벤트를 로그하려면, 고급 이벤트 선택기를 지정할 필요가 없습니다. 이벤트 데이터 저장소에 이벤트를 보관하려는 기간 (일) retention-period-days으로 바꾸십시오. 유효한 값은--billing-mode가EXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고,--billing-mode가FIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다.--retention-period지정하지 않으면 의 기본 보존 기간을 CloudTrail 사용합니다--billing-mode. 조직 이벤트 데이터 스토어를 생성하려면,--organization-enabled파라미터를 포함합니다.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }응답의
ARN(또는 ARN의 ID 접미사)을 3단계의--event-data-store파라미터 값으로 사용합니다. -
put-insight-selectors
명령을 실행하여 Insights 이벤트를 활성화합니다. Insights 선택기 값은 ApiCallRateInsight,ApiErrorRateInsight또는 두 개 모두가 될 수 있습니다.--event-data-store파라미터에는 관리 이벤트를 로그하고 Insights를 활성화하는 소스 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다.--insights-destination파라미터에는 Insights 이벤트를 로그할 대상 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'다음 결과는 이벤트 데이터 스토어에 대해 구성된 Insights 이벤트 선택기를 보여 줍니다.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }이벤트 데이터 저장소에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트를 전달하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다.
CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.
조직 이벤트 데이터 저장소의 경우 CloudTrail 조직의 모든 관리 이벤트 집계를 분석하는 대신 각 구성원 계정의 관리 이벤트를 분석합니다.
Lake에서 CloudTrail Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을
를 사용하여 이벤트 데이터 스토어로 트레일 이벤트를 가져옵니다. AWS CLI
에서는 트레일 이벤트를 이벤트 데이터 저장소로 가져올 수 있습니다. AWS CLI이 섹션의 절차에서는 create-event-data-store 명령을 실행하여 이벤트 데이터 스토어를 생성 및 구성한 다음 start-import 명령을 사용하여 해당 이벤트 데이터 스토어로 이벤트를 가져오는 방법을 보여줍니다. 고려 사항 및 필요한 권한에 대한 정보를 포함하여 추적 이벤트 가져오기에 대한 자세한 내용은 추적 이벤트를 이벤트 데이터 스토어에 복사 섹션을 참조하세요.
추적 이벤트 가져오기 준비
추적 이벤트를 가져오기 전에 다음 사항을 준비하세요.
-
추적 이벤트를 이벤트 데이터 스토어에 가져오는 데 필요한 권한을 가진 역할을 가지고 있어야 합니다.
-
이벤트 데이터 스토어에 지정할 --billing-mode 값을 결정합니다.
--billing-mode는 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.트레일 이벤트를 CloudTrail Lake로 가져오면 gzip (압축) 형식으로 저장된 로그의 압축이 CloudTrail 해제됩니다. 그런 다음 로그에 포함된 이벤트를 이벤트 데이터 스토어에 CloudTrail 복사합니다. 압축되지 않은 데이터의 크기는 실제 Amazon S3 스토리지 크기보다 클 수 있습니다. 압축되지 않은 데이터 크기에 대한 일반적인 추정치를 구하려면, S3 버킷의 로그 크기에 10을 곱합니다. 이 추정치를 사용하여 사용 사례에 맞는
--billing-mode값을 선택할 수 있습니다. -
--retention-period에 지정할 값을 결정합니다. CloudTrail 지정된 보존 기간보다 오래된eventTime이벤트는 복사하지 않습니다.적절한 보존 기간을 결정하려면 이 수식에 표시된 대로 복사하려는 가장 오래된 이벤트와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다.
보존 기간 =
oldest-event-in-days+number-days-to-retain예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
-
이벤트 데이터 스토어를 사용하여 향후 이벤트를 분석할지 여부를 결정합니다. 향후 이벤트를 모으지 않으려면 이벤트 데이터 스토어를 생성할 때
--no-start-ingestion파라미터를 포함합니다. 기본적으로 이벤트 데이터 스토어는 생성될 때 이벤트 모으기를 시작합니다.
이벤트 데이터 스토어 생성 및 해당 이벤트 데이터 스토어로 추적 이벤트 가져오기
-
create-event-data-store 명령을 실행하여 새 이벤트 데이터 스토어를 생성합니다. 이 예제에서는 복사 중인 가장 오래된 이벤트가 90일이 되었고 이벤트를 30일 동안 유지하려고 하기 때문에
--retention-period가120으로 설정됩니다. 향후 이벤트를 모으고 싶지 않기 때문에--no-start-ingestion파라미터가 설정되었습니다. 이 예제에서는 25TB 미만의 이벤트 데이터를 모을 것으로 예상되어 기본값EXTENDABLE_RETENTION_PRICING을 사용하고 있기 때문에--billing-mode가 설정되지 않았습니다.참고
추적을 대체할 이벤트 데이터 스토어를 생성하는 경우 동일한 이벤트 범위를 보장하기 위해 추적의 이벤트 선택기와 일치하도록
--advanced-event-selectors를 구성하는 것이 좋습니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }초기
Status는CREATED이므로 get-event-data-store 명령을 실행하여 모으기가 중지되었는지 확인합니다.aws cloudtrail get-event-data-store --event-data-storeeds-id응답에는 현재
Status가STOPPED_INGESTION으로 표시됩니다. 이는 이벤트 데이터 스토어가 라이브 이벤트를 모으고 있지 않음을 나타냅니다.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
start-import 명령을 실행하여 추적 이벤트를 1단계에서 생성된 이벤트 데이터 스토어로 가져옵니다.
--destinations파라미터의 값으로 이벤트 데이터 스토어의 ARN 또는 ARN의 ID 접미사를 지정합니다.--start-event-time에는 복사하려는 가장 오래된 이벤트의eventTime을 지정하고--end-event-time에는 복사하려는 최신 이벤트의eventTime을 지정합니다. 트레일 로그를 포함하는 S3 버킷의 S3 URI, S3 버킷의 AWS 리전 경우, 트레일 이벤트를 가져오는 데 사용되는 역할의 ARN을--import-source지정하십시오.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}다음은 응답의 예입니다.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
get-import 명령을 실행하여 가져오기에 대한 정보를 가져옵니다.
aws cloudtrail get-import --import-idimport-id다음은 응답의 예입니다.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }가져오기는 실패가 없는 경우
ImportStatus가COMPLETED로, 실패가 있는 경우FAILED로 완료됩니다.가져오기에
FailedEntries가 있는 경우 list-import-failures 명령을 실행하여 실패 목록을 반환할 수 있습니다.aws cloudtrail list-import-failures --import-idimport-id실패가 있는 가져오기를 재시도하려면
--import-id파라미터만 사용하여 start-import 명령을 실행합니다. 가져오기를 재시도하면 오류가 발생한 위치에서 가져오기를 CloudTrail 재개합니다.aws cloudtrail start-import --import-idimport-id
를 사용하여 이벤트 데이터 저장소를 가져오십시오. AWS CLI
다음 예제 AWS CLI get-event-data-store 명령은 ARN 또는 ARN의 ID 접미사를 허용하는 필수 --event-data-store 매개 변수로 지정된 이벤트 데이터 저장소에 대한 정보를 반환합니다.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
다음은 응답의 예입니다. 생성 및 마지막 업데이트 시간은 timestamp 서식을 갖습니다.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
다음과 같은 계정 내 모든 이벤트 데이터 저장소를 나열합니다. AWS CLI
다음 예제 AWS CLI list-event-data-stores 명령은 현재 지역의 계정에 있는 모든 이벤트 데이터 저장소에 대한 정보를 반환합니다. 선택적 파라미터에는 --max-results이 포함되며, 단일 페이지에서 반환할 명령의 최대 결과 수를 지정합니다. 지정한 --max-results 값보다 많은 결과가 있는 경우, 명령을 다시 실행해 반환된 NextToken 값을 추가함으로써 결과의 다음 페이지를 가져옵니다.
aws cloudtrail list-event-data-stores
다음은 응답의 예입니다.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
를 사용하여 이벤트 데이터 저장소를 업데이트하십시오. AWS CLI
다음 예제에서는 이벤트 데이터 스토어를 업데이트하는 방법을 보여줍니다.
주제
다음을 사용하여 청구 모드를 업데이트하십시오. AWS CLI
이벤트 데이터 스토어의 --billing-mode는 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다. 이벤트 데이터 스토어의 --billing-mode가 FIXED_RETENTION_PRICING으로 설정된 경우 값을 EXTENDABLE_RETENTION_PRICING으로 변경할 수 있습니다. EXTENDABLE_RETENTION_PRICING은 일반적으로 이벤트 데이터 스토어가 매월 25TB 미만의 이벤트 데이터를 모으고 최대 3653일의 유연한 보존 기간을 원하는 경우 권장됩니다. 요금에 대한 자세한 내용은 AWS CloudTrail 요금
참고
그러나 --billing-mode 값을 EXTENDABLE_RETENTION_PRICING에서 FIXED_RETENTION_PRICING으로 변경할 수 없습니다. 이벤트 데이터 스토어의 결제 모드가 EXTENDABLE_RETENTION_PRICING으로 설정되어 있고 대신 FIXED_RETENTION_PRICING을 사용하려는 경우 이벤트 데이터 스토어에서 모으기를 중지하고 FIXED_RETENTION_PRICING을 사용하는 새 이벤트 데이터 스토어를 생성할 수 있습니다.
다음 예제 AWS CLI update-event-data-store 명령은 이벤트 데이터 저장소의 를 에서 FIXED_RETENTION_PRICING 로 변경합니다EXTENDABLE_RETENTION_PRICING. --billing-mode 필수 --event-data-store 파라미터 값은 ARN(또는 ARN의 ID 접미사)이며 이는 필수이고 다른 파라미터는 선택 사항입니다.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
다음은 응답의 예입니다.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
보존 모드를 업데이트하고, 종료 보호를 활성화하고, 다음을 AWS KMS key 사용하여 a를 지정합니다. AWS CLI
다음 예제 AWS CLI update-event-data-store 명령은 이벤트 데이터 저장소를 업데이트하여 보존 기간을 100일로 변경하고 종료 보호를 활성화합니다. 필수 --event-data-store 파라미터 값은 ARN(또는 ARN의 ID 접미사)이며 이는 필수이고 다른 파라미터는 선택 사항입니다. 이 예제에서는 --retention-period 파라미터를 추가하여 보존 기간을 100일로 변경합니다. 필요에 따라 AWS Key Management Service 암호화를 활성화하고 명령에 추가하고 --kms-key-id KMS 키 ARN을 값으로 지정하여 지정할 수 있습니다. AWS KMS key --termination-protection-enabled종료 보호가 활성화되지 않은 이벤트 데이터 저장소에서 종료 보호를 활성화하기 위해 추가되었습니다.
외부에서 이벤트를 기록하는 이벤트 데이터 저장소는 AWS 이벤트를 기록하도록 업데이트할 AWS 수 없습니다. 마찬가지로 이벤트를 기록하는 이벤트 데이터 저장소는 외부 AWS 이벤트를 기록하도록 업데이트할 수 없습니다 AWS.
참고
이벤트 데이터 저장소의 보존 기간을 줄이면 새 보존 기간보다 eventTime 오래된 모든 이벤트가 제거됩니다. CloudTrail 예를 들어 이전 보존 기간이 365일이었는데 이를 100일로 CloudTrail 줄이면 100일이 지난 이벤트는 삭제됩니다. eventTime
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
다음을 사용하여 해지 보호를 비활성화합니다. AWS CLI
기본적으로 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지하기 위해 이벤트 데이터 스토어에 종료 방지 기능이 활성화되어 있습니다. 종료 방지 기능이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 이벤트 데이터 스토어를 삭제하려면 먼저 종료 방지 기능을 비활성화해야 합니다.
다음 예제 AWS CLI update-event-data-store 명령은 --no-termination-protection-enabled 파라미터를 전달하여 종료 보호를 비활성화합니다.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
를 사용하여 이벤트 데이터 저장소에 대한 수집을 중지하십시오. AWS CLI
다음 예시 AWS CLI stop-event-data-store-ingestion 명령어는 이벤트 데이터 저장소의 이벤트 인제스트를 중지합니다. 수집을 중지하려면, 이벤트 데이터 스토어 Status는 ENABLED 상태여야 하고, eventCategory는 Management, Data 또는 ConfigurationItem이어야 합니다. 이벤트 데이터 스토어는 --event-data-store에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. stop-event-data-store-ingestion을 실행하면, 이벤트 데이터 스토어의 상태가 STOPPED_INGESTION으로 변경됩니다.
이벤트 데이터 스토어는 STOPPED_INGESTION 상태일 때, 계정당 최대 10개의 이벤트 데이터 스토어에 포함됩니다.
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
작업이 성공하면 응답하지 않습니다.
를 사용하여 이벤트 데이터 저장소에서 수집을 시작합니다. AWS CLI
다음 예제 AWS CLI start-event-data-store-ingestion 명령어는 이벤트 데이터 저장소에서 이벤트 수집을 시작합니다. 수집을 시작하려면, 이벤트 데이터 스토어 Status가 STOPPED_INGESTION이고, eventCategory는 Management, Data 또는 ConfigurationItem이어야 합니다. 이벤트 데이터 스토어는 --event-data-store에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. start-event-data-store-ingestion을 실행하면, 이벤트 데이터 스토어의 상태가 ENABLED로 변경됩니다.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
작업이 성공하면 응답하지 않습니다.
이벤트 데이터 스토어에서 페더레이션 활성화
페더레이션을 활성화하려면 필수 --event-data-store 및 --role 파라미터를 제공하여 aws cloudtrail enable-federation 명령을 실행합니다. --event-data-store에 대해 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 입력합니다. --role에 대해 페더레이션 역할에 대한 ARN을 제공합니다. 역할은 계정에 존재하고 필요한 최소 권한을 제공해야 합니다.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
이 예제에서는 위임된 관리자가 관리 계정에 있는 이벤트 데이터 스토어의 ARN과 위임된 관리자 계정에 있는 페더레이션 역할의 ARN을 지정하여 조직 이벤트 데이터 스토어에서 페더레이션을 활성화하는 방법을 보여줍니다.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
이벤트 데이터 스토어에서 페더레이션 비활성화
이벤트 데이터 스토어에서 페더레이션을 비활성화하려면 aws
cloudtrail disable-federation 명령을 실행합니다. 이벤트 데이터 스토어는 --event-data-store에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
참고
조직 이벤트 데이터 스토어인 경우 관리 계정의 계정 ID를 사용합니다.
를 사용하여 이벤트 데이터 저장소를 삭제합니다. AWS CLI
다음 예제 AWS CLI delete-event-data-store 명령은 --event-data-store에 의해 지정된 이벤트 데이터 저장소를 비활성화하며, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. delete-event-data-store를 실행 후, 이벤트 데이터 스토어의 최종 상태는 PENDING_DELETION이며, 이벤트 데이터 스토어는 7일의 대기 기간이 지나면 자동으로 삭제됩니다.
이벤트 데이터 스토어에서 delete-event-data-store을(를) 실행 후, 비활성화된 데이터 스토어를 사용하여 쿼리에 대한 list-queries, describe-query 또는 get-query-results을(를) 실행할 수 었습니다. 이벤트 데이터 스토어는 삭제 보류 중일 때 계정당 최대 10개의 이벤트 데이터 스토어에 포함됩니다.
참고
--termination-protection-enabled가 설정되었거나 해당 FederationStatus가 ENABLED인 경우 이벤트 데이터 스토어를 삭제할 수 없습니다.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
작업이 성공하면 응답하지 않습니다.
를 사용하여 이벤트 데이터 저장소를 복원하십시오. AWS CLI
다음 예제 AWS CLI restore-event-data-store 명령은 삭제 보류 중인 이벤트 데이터 스토어를 복원합니다. 이벤트 데이터 스토어는 --event-data-store에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. 삭제 후 7일 대기 기간 내에서만 삭제된 이벤트 데이터 스토어를 복원할 수 있습니다.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
응답에는 ARN, 고급 이벤트 선택기, 복원 상태를 비롯한 이벤트 데이터 스토어에 대한 정보가 포함됩니다.
