Insights 이벤트 로깅

AWS CloudTrail 인사이트는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 호출 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail Insights는 API 호출량의 일반적인 패턴과 API 오류율 (기준이라고도 함) 을 분석하고, 통화량 또는 오류율이 정상 패턴을 벗어나면 Insights 이벤트를 생성합니다. API 호출 볼륨에 대한 Insights 이벤트는 write 관리 API에 대해 생성되고 API 오류율에 대한 Insights 이벤트는 read 및 write 관리 API 모두에 대해 생성됩니다.

참고

API 호출량에 대한 Insights 이벤트를 로깅하려면, 추적 또는 이벤트 데이터 스토어가 write 관리 이벤트를 로깅해야 합니다. API 오류율에 대한 Insights 이벤트를 로깅하려면, 추적 또는 이벤트 데이터 스토어에서 read 또는 write 관리 이벤트를 로깅해야 합니다.

CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

목차

• Insights 이벤트 전달에 대한 이해
• 를 통한 인사이트 이벤트 로깅 AWS Management Console
  • 기존 트레일에서 CloudTrail Insights 이벤트 활성화
  • 기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화합니다.
• 다음을 사용하여 인사이트 이벤트를 기록합니다. AWS Command Line Interface
  • 를 사용하는 트레일의 로깅 인사이트 이벤트 AWS CLI
  • 를 사용하여 이벤트 데이터 저장소의 Insights 이벤트를 로깅합니다. AWS CLI
• AWS SDK를 사용한 인사이트 이벤트 로깅

Insights 이벤트 전달에 대한 이해

CloudTrail 캡처하는 다른 유형의 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정 API 사용 변화를 CloudTrail 감지한 경우에만 로깅됩니다.

이벤트를 CloudTrail 전달하는 위치와 Insights 이벤트를 수신하는 데 걸리는 시간은 트레일과 이벤트 데이터 저장소에 따라 다릅니다.

추적에 대한 Insights 이벤트 전달

트레일에서 Insights 이벤트를 활성화했는데 비정상적인 활동이 CloudTrail 감지되면 Insights 이벤트를 트레일에 대해 선택한 대상 S3 버킷의 /CloudTrail-Insight 폴더로 전송합니다. CloudTrail 트레일에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전송되기까지 최대 36시간이 걸릴 수 있습니다. CloudTrail

트레일에서 Insights 이벤트 로깅을 해제한 다음 Insights 이벤트를 다시 활성화하거나 트레일에서 로깅을 중지했다가 다시 시작하는 경우, 비정상적인 활동이 감지되면 Insights 이벤트 전송을 다시 시작하는 CloudTrail 데 최대 36시간이 걸릴 수 있습니다.

이벤트 데이터 스토어에 대한 Insights 이벤트 전송

원본 이벤트 데이터 저장소에서 Insights 이벤트를 활성화한 경우 Insights 이벤트를 대상 이벤트 데이터 저장소에 CloudTrail 전달합니다. 소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 대상 이벤트 데이터 저장소에 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail

원본 이벤트 데이터 저장소에서 Insights 이벤트 로깅을 해제한 다음 Insights 이벤트를 다시 활성화하거나 원본 이벤트 데이터 저장소에서 이벤트 수집을 중지했다가 다시 시작하는 경우, 비정상적인 활동이 감지되면 Insights 이벤트 전송을 다시 시작하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다. Lake에서 Insights 이벤트를 수집하는 경우 추가 요금이 부과됩니다. CloudTrail 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

를 통한 인사이트 이벤트 로깅 AWS Management Console

콘솔을 사용하여 추적 또는 이벤트 데이터 스토어에서 Insights 이벤트를 활성화할 수 있습니다.

주제

• 기존 트레일에서 CloudTrail Insights 이벤트 활성화
• 기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화합니다.

기존 트레일에서 CloudTrail Insights 이벤트 활성화

다음 절차를 사용하여 기존 트레일에서 CloudTrail Insights 이벤트를 활성화하세요. 기본적으로 Insights 이벤트는 사용 설정되어 있지 않습니다.

1. CloudTrail 콘솔의 왼쪽 탐색 창에서 트레일 페이지를 열고 트레일 이름을 선택합니다.

2. [Insights 이벤트(Insights events)]에서 [편집(Edit)]을 선택합니다.

   참고

   인사이트 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 가격은 요금을 참조하십시오AWS CloudTrail .

3. 이벤트 유형(Event type)에서 Insights 이벤트(Insights events)]를 선택합니다.

4. Insights 이벤트(Insights events)의 Insights 유형 선택(Choose Insights types)에서 API 호출률(API call rate), API 오류율(API error rate) 또는 둘 다를 선택합니다. API 호출률(API call rate)에 대한 Insights 이벤트를 로그하려면, 추적이 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다. API 오류율에 대한 Insights 이벤트를 로그하려면, 추적이 읽기(Read) 또는 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다.

5. 변경 사항을 저장하려면 변경 사항 저장을 선택합니다.

비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전달되는 데 최대 36시간이 걸릴 수 있습니다. CloudTrail

기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화합니다.

다음 절차를 사용하여 기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화하십시오. 기본적으로 Insights 이벤트는 사용 설정되어 있지 않습니다.

CloudTrail Lake에서 Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

참고

CloudTrail 관리 이벤트가 포함된 이벤트 데이터 저장소에서만 CloudTrail Insights 이벤트를 활성화할 수 있습니다. 다른 이벤트 데이터 저장소 유형에서는 CloudTrail Insights 이벤트를 활성화할 수 없습니다.

1. CloudTrail 콘솔의 왼쪽 탐색 창에 있는 Lake에서 이벤트 데이터 저장소를 선택합니다.

2. 이벤트 데이터 스토어 이름을 선택합니다.

3. 관리 이벤트(Management events)에서 편집(Edit)을 선택합니다.

4. Insights 활성화(Enable Insights)를 선택합니다.

5. Insights 이벤트를 CloudTrail 제공할 대상 이벤트 데이터 저장소를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성 섹션을 참조하세요.

6. Insights 유형 선택(Choose Insights types)에서 API 호출룰(API call rate), API 오류율(API error rate) 또는 둘 다를 선택합니다. API 호출률(API call rate)에 대한 Insights 이벤트를 로깅하려면 이벤트 데이터 스토어에서 쓰기 관리 이벤트를 로깅해야 합니다. API 오류율(API error rate)에 대한 Insights 이벤트를 기록하려면 이벤트 데이터 스토어에서 읽기(Read) 또는 쓰기(Write) 관리 이벤트를 로깅하고 있어야 합니다.

7. 변경 사항을 저장하려면 변경 사항 저장을 선택합니다.

비정상적인 활동이 감지되면 첫 번째 Insights 이벤트를 전달하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다.

다음을 사용하여 인사이트 이벤트를 기록합니다. AWS Command Line Interface

AWS CLI를 사용하여 Insights 이벤트를 로그하도록 추적과 이벤트 데이터 스토어를 구성할 수 있습니다.

참고

API 호출량에 대한 Insights 이벤트를 로깅하려면, 추적 또는 이벤트 데이터 스토어가 write 관리 이벤트를 로깅해야 합니다. API 오류율에 대한 Insights 이벤트를 로깅하려면, 추적 또는 이벤트 데이터 스토어에서 read 또는 write 관리 이벤트를 로깅해야 합니다.

주제

• 를 사용하는 트레일의 로깅 인사이트 이벤트 AWS CLI
• 를 사용하여 이벤트 데이터 저장소의 Insights 이벤트를 로깅합니다. AWS CLI

를 사용하는 트레일의 로깅 인사이트 이벤트 AWS CLI

추적이 Insights 이벤트를 로그하는지 여부를 확인하려면 get-insight-selectors 명령을 실행합니다.

aws cloudtrail get-insight-selectors --trail-name TrailName

다음 결과는 트레일의 기본 설정을 보여 줍니다. 기본적으로 추적은 인사이트 이벤트를 로그하지 않습니다. 인사이트 이벤트 모음이 활성화되지 않았기 때문에 InsightType 속성 값이 비어 있고 인사이트 이벤트 선택기가 지정되지 않습니다.

Insights 선택기를 추가하지 않으면 get-insight-selectors 명령은 다음과 같은 오류 메시지를 반환합니다. “ GetInsightSelectors 작업을 호출하는 동안 오류가 발생했습니다 (InsightNotEnabledException). 트레일 이름에 Insights가 활성화되어 있지 않습니다. 추적 설정을 편집하여 Insights를 활성화한 다음 작업을 다시 시도하십시오.”라는 오류 메시지를 반환합니다.

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Insights 이벤트를 로그하도록 추적을 구성하려면 put-insight-selectors 명령을 실행합니다. 다음 예는 Insights 이벤트를 포함하도록 추적을 구성하는 방법을 보여 줍니다. Insights 선택기 값은 ApiCallRateInsight, ApiErrorRateInsight 또는 모두가 될 수 있습니다.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

다음 결과는 트레일에 대해 구성된 인사이트 이벤트 선택기를 보여 줍니다.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

를 사용하여 이벤트 데이터 저장소의 Insights 이벤트를 로깅합니다. AWS CLI

이벤트 데이터 스토어에서 Insights를 활성화하려면, 관리 이벤트를 로깅하는 소스 이벤트 데이터 스토어와 Insights 이벤트를 로깅하는 대상 이벤트 데이터 스토어가 있어야 합니다.

이벤트 데이터 스토어에서 Insights 이벤트가 활성화되었는지 확인하려면, get-insight-selectors 명령을 실행합니다.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

이벤트 데이터 스토어가 Insights 이벤트 또는 관리 이벤트를 수신하도록 구성되었는지 확인하려면 get-event-data-store 명령을 실행합니다.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

다음 절차는 대상 및 소스 이벤트 데이터 스토어를 생성하고, Insights 이벤트를 사용하는 방법을 보여 줍니다.

1. aws cloudtrail create-event-data-store 명령을 실행하여 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 생성합니다. eventCategory의 값은 Insight이어야 합니다. 이벤트 데이터 스토어에 이벤트를 보관하려는 기간 (일) retention-period-days으로 바꾸십시오.

   AWS Organizations 조직의 관리 계정으로 로그인한 경우 위임된 관리자에게 이벤트 데이터 저장소에 대한 액세스 권한을 부여하려면 --organization-enabled 매개변수를 포함하세요.

   aws cloudtrail create-event-data-store \
   --name insights-event-data-store \
   --no-multi-region-enabled \
   --retention-period retention-period-days \
   --advanced-event-selectors '[
       {
         "Name": "Select Insights events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["Insight"] }
           ]
       }
     ]'
               

   다음은 응답의 예입니다.

   {
       "Name": "insights-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "AdvancedEventSelectors": [
           {
              "Name": "Select Insights events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "Insight"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": "90",
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
   }

   응답의 ARN(또는 ARN의 ID 접미사)을 3단계의 --insights-destination 파라미터 값으로 사용합니다.

2. aws cloudtrail create-event-data-store 명령을 실행하여 관리 이벤트를 로그하는 소스 이벤트 데이터 저장소를 생성합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 모든 관리 이벤트를 로그하려면, 고급 이벤트 선택기를 지정할 필요가 없습니다. 이벤트 데이터 저장소에 이벤트를 보관하려는 기간 (일) retention-period-days으로 바꾸십시오. 조직 이벤트 데이터 스토어를 생성하려면, --organization-enabled 파라미터를 포함합니다.

   aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

   다음은 응답의 예입니다.

   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
       "Name": "source-event-data-store",
       "Status": "CREATED",
       "AdvancedEventSelectors": [
           {
               "Name": "Default management events",
               "FieldSelectors": [
                   {
                       "Field": "eventCategory",
                       "Equals": [
                           "Management"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
   }

   응답의 ARN(또는 ARN의 ID 접미사)을 3단계의 --event-data-store 파라미터 값으로 사용합니다.

3. put-insight-selectors 명령을 실행하여 Insights 이벤트를 활성화합니다. Insights 선택기 값은 ApiCallRateInsight, ApiErrorRateInsight 또는 두 개 모두가 될 수 있습니다. --event-data-store 파라미터에는 관리 이벤트를 로그하고 Insights를 활성화하는 소스 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다. --insights-destination 파라미터에는 Insights 이벤트를 로그할 대상 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다.

   aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

   다음 결과는 이벤트 데이터 스토어에 대해 구성된 Insights 이벤트 선택기를 보여 줍니다.

   {
     "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
     "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
     "InsightSelectors":
         [
            {
               "InsightType": "ApiErrorRateInsight"
            },
            {
               "InsightType": "ApiCallRateInsight"
            }
         ]
   }

   이벤트 데이터 저장소에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트를 전달하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다.

   CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.

   조직 이벤트 데이터 저장소의 경우 CloudTrail 조직의 모든 관리 이벤트 집계를 분석하는 대신 각 구성원 계정의 관리 이벤트를 분석합니다.

Lake에서 CloudTrail Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

AWS SDK를 사용한 인사이트 이벤트 로깅

GetInsightSelectors작업을 실행하여 트레일 또는 이벤트 데이터 저장소가 Insights 이벤트를 지원하는지 확인하세요. PutInsightSelectors작업과 함께 Insights 이벤트를 활성화하도록 트레일 또는 이벤트 데이터 저장소를 구성할 수 있습니다. 자세한 내용은 AWS CloudTrail API 참조를 참조하세요.