콘솔을 사용하여 이벤트에 대한 CloudTrail 이벤트 데이터 스토어 생성

이벤트에 대한 CloudTrail 이벤트 데이터 스토어에는 CloudTrail 관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트가 포함될 수 있습니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다.

참고

네트워크 활동 이벤트는에 대한 미리 보기 릴리스 중 CloudTrail 이며 변경될 수 있습니다.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 부과됩니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. Lake 비용 CloudTrail 요금 및 관리에 대한 자세한 내용은 AWS CloudTrail 요금 및 섹션을 참조하세요CloudTrail Lake 비용 관리.

이벤트에 대한 CloudTrail 이벤트 데이터 스토어를 생성하려면

이 절차를 사용하여 CloudTrail 관리 이벤트, 데이터 이벤트 또는 네트워크 활동 이벤트를 로깅하는 이벤트 데이터 스토어를 생성합니다.

1. 에 로그인 AWS Management Console 하고에서 CloudTrail 콘솔을 엽니다https://console.aws.amazon.com/cloudtrail/.

2. 탐색 창의 Lake에서 Event data stores(이벤트 데이터 스토어)를 선택합니다.

3. 이벤트 데이터 스토어 생성을 선택합니다.

4. 이벤트 데이터 스토어 구성(Configure event data store) 페이지의 일반 세부 정보(General details)에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

5. 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 AWS CloudTrail 요금 및 CloudTrail Lake 비용 관리 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.

   • 1년 연장 가능 보존 요금 - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일이 지나면 요금에 따라 pay-as-you-go 보존 기간을 연장할 수 있습니다. 이는 기본 옵션입니다.

     • 기본 보존 기간: 366일

     • 최대 보존 기간: 3,653일

   • 7년 보존 요금 - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.

     • 기본 보존 기간: 2,557일

     • 최대 보존 기간: 2,557일

6. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 1년 연장 가능 보존 요금 옵션의 경우 7일~3,653일(약 10년), 7년 보존 요금 옵션의 경우 7일~2,557일(약 7년)일 수 있습니다.

   CloudTrail Lake는 이벤트eventTime의이 지정된 보존 기간 내에 있는지 확인하여 이벤트를 보존할지 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정하면는 이벤트eventTime가 90일보다 오래된 경우 이벤트를 CloudTrail 제거합니다.

   참고

   추적 이벤트를이 이벤트 데이터 스토어에 복사하는 경우 eventTime는 지정된 보존 기간보다 오래된 이벤트를 복사 CloudTrail 하지 않습니다. 적절한 보존 기간을 결정하려면 복사할 가장 오래된 이벤트를 일 단위로 합하고 이벤트 데이터 스토어에 이벤트를 보존할 일 수(보존 기간 = oldest-event-in-days + number-days-to-retain)를 구합니다. 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.

7. (선택 사항)를 사용하여 암호화를 활성화하려면 내 자체 사용을 AWS KMS key AWS Key Management Service선택합니다. 새로 만들기를 선택하여를 자동으로 AWS KMS key 생성하거나 기존을 선택하여 기존 KMS 키를 사용합니다. KMS 별칭 입력에서 형식으로 별칭을 지정합니다alias/MyAliasName. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 섹션을 참조하세요CloudTrail에 대한 AWS KMS 키 정책 구성.는 AWS KMS 다중 리전 키 CloudTrail 도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 다중 리전 키 사용 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. 이벤트 데이터 스토어를 KMS 키와 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

   참고

   조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

8. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 Lake 쿼리 페더레이션에서 활성화를 선택합니다. 연동을 사용하면 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 AWS Glue 보고 Athena의 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다. 자세한 내용은 이벤트 데이터 스토어 페더레이션 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 활성화를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. AWS Lake Formation는이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면는 필요한 권한이 있는 역할을 CloudTrail 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 필요한 최소 권한을 제공하는지 확인합니다.

   2. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   3. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

9. (선택 사항) 리소스 정책 활성화를 선택하여 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 보안 주체를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 허용하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 이벤트 데이터 스토어에 대한 리소스 기반 정책 예제 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 문은 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부되는 보안 주체와 보안 주체가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   다음 작업은 이벤트 데이터 스토어에 대한 리소스 기반 정책에서 지원됩니다.

   • cloudtrail:StartQuery

   • cloudtrail:CancelQuery

   • cloudtrail:ListQueries

   • cloudtrail:DescribeQuery

   • cloudtrail:GetQueryResults

   • cloudtrail:GenerateQuery

   • cloudtrail:GenerateQueryResultsSummary

   • cloudtrail:GetEventDataStore

   조직 이벤트 데이터 스토어의 경우는 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 기본 리소스 기반 정책을 CloudTrail 생성합니다. 이 정책의 권한은의 위임된 관리자 권한에서 파생됩니다 AWS Organizations. 이 정책은 조직 이벤트 데이터 스토어 또는 조직을 변경한 후 자동으로 업데이트됩니다(예: CloudTrail 위임된 관리자 계정이 등록되거나 제거됨).

10. (선택 사항) Tags(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스를 승인하는 방법에 대한 자세한 내용은 섹션을 참조하세요예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부. 에서 태그를 사용하는 방법에 대한 자세한 내용은 AWS 리소스 태그 지정 사용 설명서의 AWS 리소스 태그 지정을 AWS참조하세요.

11. Next(다음)를 선택하여 이벤트 데이터 스토어를 구성합니다.

12. 이벤트 선택 페이지에서 AWS 이벤트를 선택한 다음 CloudTrail 이벤트를 선택합니다.

13. CloudTrail 이벤트에서 하나 이상의 이벤트 유형을 선택합니다. 기본적으로 관리 이벤트(Management events)가 선택됩니다. 이벤트 데이터 저장소에 관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트를 추가할 수 있습니다.

14. (선택 사항) 기존 트레일에서 이벤트를 복사해 이전 이벤트에 대한 쿼리를 실행하려면 Copy trail events(트레일 이벤트 복사)를 선택합니다. 추적 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정은 추적 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다. 트레일 이벤트 복사 시 고려 사항에 대한 자세한 내용은 추적 이벤트 복사 시의 고려 사항 단원을 참조하세요.

15. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)를 선택합니다. 조직의 이벤트를 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.

    참고

    추적 이벤트를 복사하거나 Insights 이벤트를 사용 설정하려면, 조직의 관리 계정에 로그인해야 합니다.

16. 추가 설정을 확장하여 이벤트 데이터 스토어가 모든 이벤트에 대한 이벤트를 수집할지 AWS 리전아니면 현재 이벤트에 대해서만 수집할지 AWS 리전선택하고 이벤트 데이터 스토어가 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.

    1. Include only the current region in my event data store(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.

    2. 이벤트 데이터 스토어에서 Ingest events(이벤트 수집)을 시작하지 않도록 하려면 이벤트 수집을 선택 해제합니다. 예를 들어, 추적 이벤트를 복사하고, 이벤트 데이터 스토어에 향후 이벤트가 포함되지 않도록 하려면 Ingest events(이벤트 수집)을 선택 해제해야 할 수 있습니다. 이벤트 데이터 스토어는 생성되어 기본적으로 이벤트 수집을 시작합니다.

17. 이벤트 데이터 스토어에 관리 이벤트가 포함된 경우 다음 옵션 중에서 선택할 수 있습니다. 관리 이벤트에 대한 자세한 내용은 관리 이벤트 로깅 섹션을 참조하세요.

    1. 단순 이벤트 컬렉션 또는 고급 이벤트 컬렉션 중에서 선택합니다.

       • 모든 이벤트를 로그하거나, 읽기 전용 이벤트를 로그하거나, 쓰기 전용 이벤트를 로그하려면 단순 이벤트 수집을 선택합니다. AWS Key Management Service 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.

       • eventName, , , 및 필드를 포함한 고급 이벤트 선택기 필드의 값을 기반으로 관리 이벤트를 포함하거나 제외하려면 고급 이벤트 컬렉션을 선택합니다eventTypeeventSourcesessionCredentialFromConsoleuserIdentity.arn.

    2. 단순 이벤트 수집을 선택한 경우 모든 이벤트를 로깅할지, 읽기 전용 이벤트를 로깅할지 또는 쓰기 전용 이벤트를 로깅할지 선택합니다. AWS KMS 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.

    3. 고급 이벤트 컬렉션을 선택한 경우 다음을 선택합니다.

       1. 로그 선택기 템플릿에서 템플릿 또는 사용자 지정을 선택하여 고급 이벤트 선택기 필드 값을 기반으로 사용자 지정 구성을 빌드합니다.

       2. (선택 사항) 선택자 이름(Selector name)에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 " AWS Management Console 세션의 로그 관리 이벤트"와 같은 고급 이벤트 선택기의 설명적인 이름입니다. 선택기 이름은 고급 이벤트 선택기Name에 로 나열되며 JSON 보기를 확장하면 볼 수 있습니다.

       3. 사용자 지정을 선택한 경우 고급 이벤트 선택기에서 고급 이벤트 선택기 필드 값을 기반으로 표현식을 빌드합니다.

          참고

          선택기는 *와 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 , StartsWithNotStartsWith, 또는 EndsWithNotEndsWith를 사용하여 이벤트 필드의 시작 또는 끝과 명시적으로 일치시킬 수 있습니다.

          1. 다음 필드 중에서 선택합니다.

             • readOnly - true 또는 값과 같도록 설정할 readOnly 수 있습니다false. 로 설정하면 이벤트 데이터 스토어false가 쓰기 전용 관리 이벤트를 로깅합니다. 읽기 전용 관리 이벤트는 Get* 또는 이벤트와 같이 리소스의 상태를 변경하지 않는 Describe* 이벤트입니다. 쓰기 이벤트는 Put*, Delete* 또는 Write* 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. 읽기 및 쓰기 이벤트를 모두 로깅하려면 readOnly 선택기를 추가하지 마십시오.

             • eventName -는 모든 연산자를 사용할 eventName 수 있습니다. 이를 사용하여 CreateAccessPoint 또는와 같은 관리 이벤트를 포함하거나 제외할 수 있습니다GetAccessPoint.

             • userIdentity.arn - 특정 자격 IAM 증명에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.

             • sessionCredentialFromConsole - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 값과 같거나 같지 않음으로 설정할 수 있습니다true.

             • eventSource - 이를 사용하여 특정 이벤트 소스를 포함하거나 제외할 수 있습니다. eventSource는 일반적으로 공백과가 포함되지 않은 짧은 형태의 서비스 이름입니다.amazonaws.com. 예를 들어 Amazon EC2 관리 이벤트만 로깅ec2.amazonaws.com하도록를 eventSource 로 설정할 수 있습니다.

             • eventType - 포함하거나 제외eventType할 입니다. 예를 들어이 필드를 같지 않음으로 설정하여 AWS 서비스 이벤트를 제외AwsServiceEvent할 수 있습니다.

          2. 각 필드에 대해 [+ 조건(+ Condition)]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

             가 여러 조건을 CloudTrail 평가하는 방법에 대한 자세한 내용은 섹션을 참조하세요CloudTrail이 필드의 여러 조건을 평가하는 방법.

             참고

             이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 eventName과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

          3. 필요에 따라 필드를 추가하려면 [+ 필드(+ Field)]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

       4. 선택적으로 JSON 보기를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

    4. Insights 이벤트 캡처 활성화를 선택하여 Insights를 활성화합니다. Insights를 활성화하려면, 이 이벤트 데이터 스토어에서의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 설정해야 합니다.

       Insights를 사용하기로 선택했다면, 다음을 따라합니다.

       1. Insights 이벤트를 로깅할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성 섹션을 참조하세요.

       2. Insights 유형을 선택합니다. API 통화 속도, API 오류 속도 또는 둘 다를 선택할 수 있습니다. 쓰기 관리 이벤트를 로깅하여 API 통화율에 대한 Insights 이벤트를 로깅해야 합니다. API 오류 발생률에 대한 Insights 이벤트를 로깅하려면 읽기 또는 쓰기 관리 이벤트를 로깅해야 합니다.

18. 이벤트 데이터 스토어에 데이터 이벤트를 포함하려면 다음을 수행합니다.

    1. 리소스 유형을 선택합니다. 데이터 이벤트가 로깅되는 AWS 서비스 및 리소스입니다.

    2. 로그 선택기 템플릿(Log selector template)에서 템플릿을 선택합니다. 모든 데이터 이벤트, readOnly 이벤트, writeOnly 이벤트를 기록하도록 선택하거나 사용자 지정(Custom)을 사용하여 사용자 지정 로그 선택기를 빌드할 수 있습니다.

    3. (선택 사항) 선택자 이름(Selector name)에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기Name에 로 나열되며 JSON 보기를 확장하면 볼 수 있습니다.

    4. 사용자 지정을 선택한 경우 고급 이벤트 선택기에서 고급 이벤트 선택기 필드의 값을 기반으로 표현식을 빌드합니다.

       참고

       선택기는 *와 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 , StartsWithNotStartsWith, 또는 EndsWithNotEndsWith를 사용하여 이벤트 필드의 시작 또는 끝과 명시적으로 일치시킬 수 있습니다.

       1. 다음 필드 중에서 선택합니다.

          • readOnly - readOnly는 true 또는 false 값과 같음으로 설정할 수 있습니다. 읽기 전용 데이터 이벤트는 Get* 또는 Describe* 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 Put*, Delete* 또는 Write* 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. read 이벤트와 write 이벤트를 모두 로그하려면 readOnly 선택기를 추가하지 마세요.

          • eventName - eventName은 연산자를 사용할 수 있습니다. 이를 사용하여 CloudTrail, 또는와 같이에 기록된 데이터 이벤트를 포함PutBucketGetItem하거나 제외할 수 있습니다GetSnapshotBlock.

          • eventSource - 포함하거나 제외할 이벤트 소스입니다. 이 필드는 모든 연산자를 사용할 수 있습니다.

          • eventType - 포함하거나 제외할 이벤트 유형입니다. 예를 들어이 필드를 같지 않음으로 설정하여를 제외AwsServiceEvent할 수 있습니다AWS 서비스 이벤트. 이벤트 유형 목록은의 섹션을 참조eventType하세요CloudTrail 레코드 콘텐츠.

          • sessionCredentialFrom콘솔 - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 값과 같거나 같지 않음으로 설정할 수 있습니다true.

          • userIdentity.arn - 특정 자격 IAM 증명에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.

          • resources.ARN -에서 모든 연산자를 사용할 수 있지만 resources.ARN같거나 같지 않은 경우 값은 템플릿에서의 값으로 지정한 유형의 ARN 유효한 리소스의와 정확히 일치해야 합니다resources.type. 자세한 내용은 resources.ARN별 데이터 이벤트 필터링 단원을 참조하십시오.

            참고

            resources.ARN 필드를 사용하여가 없는 리소스 유형을 필터링할 수 없습니다ARNs.

          데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 작업, 리소스 및 조건 키를 참조하세요.

       2. 각 필드에 대해 [+ 조건(+ Condition)]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어, 이벤트 데이터 스토어에 기록된 데이터 이벤트에서 두 S3 버킷의 데이터 이벤트를 제외하려면 필드를 리소스로 설정할 수 있습니다.ARN에 대한 연산자를 로 설정한 다음 이벤트를 로깅하지 않으려는 S3 버킷ARN에 붙여넣습니다.

          두 번째 S3 버킷을 추가하려면 + 조건을 선택한 다음 이전 명령을 반복하여 ARN에 붙여넣거나 다른 버킷을 찾습니다.

          가 여러 조건을 CloudTrail 평가하는 방법에 대한 자세한 내용은 섹션을 참조하세요CloudTrail이 필드의 여러 조건을 평가하는 방법.

          참고

          이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 eventName과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

       3. 필요에 따라 필드를 추가하려면 [+ 필드(+ Field)]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어 한 선택기ARN에서 값과 같도록를 지정하지 말고 다른 선택기에서가 동일한 값이 ARN 아님을 지정합니다.

    5. 선택적으로 JSON 보기를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

    6. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 데이터 이벤트 유형 추가를 선택합니다. 이 단계를 반복하여 리소스 유형에 대한 고급 이벤트 선택기를 구성합니다.

19. 이벤트 데이터 스토어에 네트워크 활동 이벤트를 포함하려면 다음을 수행합니다.

    1. 네트워크 활동 이벤트 소스에서 네트워크 활동 이벤트의 소스를 선택합니다.

    2. 로그 선택기 템플릿(Log selector template)에서 템플릿을 선택합니다. 모든 네트워크 활동 이벤트를 로깅하거나 모든 네트워크 활동 액세스 거부 이벤트를 로깅하거나 사용자 지정을 선택하여 eventName 및 vpcEndpointId와 같은 여러 필드를 기준으로 필터링할 사용자 지정 로그 선택기를 빌드할 수 있습니다.

    3. (선택 사항) 선택기를 식별할 이름을 입력합니다. 선택기 이름은 고급 이벤트 선택기에 이름으로 나열되며 JSON 보기를 확장하면 볼 수 있습니다.

    4. 고급 이벤트 선택기에서 필드, 연산자 및 값을 선택하여 표현식을 빌드합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.

       1. 네트워크 활동 이벤트를 제외하거나 포함하는 경우 콘솔의 다음 필드 중에서 선택할 수 있습니다.

          • eventName – eventName에서 모든 연산자를 사용할 수 있습니다. 이를 사용하여 이벤트(예: CreateKey)를 포함하거나 제외할 수 있습니다.

          • errorCode - 이를 사용하여 오류 코드를 기준으로 필터링할 수 있습니다. 현재 지원되는 유일한 errorCode는 VpceAccessDenied입니다.

          • vpcEndpointId - 작업이 통과한 VPC 엔드포인트를 식별합니다. vpcEndpointId에서 모든 연산자를 사용할 수 있습니다.

       2. 각 필드에 대해 [+ 조건(+ Condition)]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

       3. 필요에 따라 필드를 추가하려면 [+ 필드(+ Field)]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

    5. 네트워크 활동 이벤트를 로깅할 다른 이벤트 소스를 추가하려면 네트워크 활동 이벤트 선택기 추가를 선택합니다.

    6. 선택적으로 JSON 보기를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

20. 이벤트 데이터 스토어에 기존 추적 이벤트를 복사하려면 다음을 수행합니다.

    1. 복사하려는 트레일을 선택합니다. 기본적으로 CloudTrail 만 S3 버킷의 CloudTrail 접두사와 접두사에 포함된 CloudTrail 이벤트를 복사하고 접CloudTrail두사에서 다른 AWS 서비스에 대한 접두사를 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 S3 입력을 URI선택한 다음 S3 찾아보기를 선택하여 접두사로 이동합니다. 추적의 소스 S3 버킷이 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서가 데이터를 복호화 CloudTrail 하도록 허용하는지 확인합니다. 소스 S3 버킷이 여러 KMS 키를 사용하는 경우가 버킷의 데이터를 CloudTrail 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 섹션을 참조하세요KMS 소스 S3 버킷의 데이터 복호화를 위한 키 정책.

    2. 이벤트를 복사할 시간 범위를 선택합니다.는 추적 이벤트를 복사하기 전에 접두사 및 로그 파일 이름을 CloudTrail 확인하여 이름에 선택한 시작 날짜와 종료 날짜 사이의 날짜가 포함되어 있는지 확인합니다. 상대 범위 또는 절대 범위를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.

       참고

       CloudTrail 는 이벤트 데이터 스토어의 보존 기간 eventTime 내에가 있는 추적 이벤트만 복사합니다. 예를 들어 이벤트 데이터 스토어의 보존 기간이 90일인 경우 CloudTrail 는가 90일보다 eventTime 오래된 추적 이벤트를 복사하지 않습니다.

       • 상대 범위를 선택하는 경우 지난 6개월, 1년, 2년, 7년 동안 로깅된 이벤트를 복사하거나 사용자 지정 범위를 복사할 수 있습니다.는 선택한 기간 내에 로깅된 이벤트를 CloudTrail 복사합니다.

       • 절대 범위를 선택하면 특정 시작 및 종료 날짜를 선택할 수 있습니다.는 선택한 시작 및 종료 날짜 사이에 발생한 이벤트를 CloudTrail 복사합니다.

    3. 권한에서 다음 IAM 역할 옵션 중에서 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 섹션을 참조하세요IAM 추적 이벤트 복사 권한.

       • 새 역할 생성(권장)을 선택하여 새 IAM 역할을 생성합니다. IAM 역할 이름 입력에 역할 이름을 입력합니다.는이 새 역할에 필요한 권한을 CloudTrail 자동으로 생성합니다.

       • 사용자 지정 IAM 역할 사용을 ARN 선택하여 목록에 없는 사용자 지정 IAM 역할을 사용합니다. IAM 역할 입력 ARN에 IAM를 입력합니다ARN.

       • 드롭다운 목록에서 기존 IAM 역할을 선택합니다.

21. Next(다음)를 선택하여 선택 사항을 검토합니다.

22. 검토 및 생성(Review and create) 페이지에서 선택 사항을 검토합니다. 편집(Edit)을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 이벤트 데이터 스토어 생성(Create event data store)을 선택합니다.

23. 새 이벤트 데이터 스토어는 Event data stores(이벤트 데이터 스토어) 페이지의 이벤트 데이터 스토어(Event data stores) 테이블에서 볼 수 있습니다.

    이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다(Ingest events(이벤트 수집) 옵션을 선택한 경우). 기존 트레일 이벤트를 복사하기로 선택하지 않은 한 이벤트 데이터 스토어를 만들기 전에 발생한 이벤트는 이벤트 데이터 스토어에 존재하지 않습니다.

이제 새 이벤트 데이터 스토어에 대한 쿼리를 실행할 수 있습니다. Sample queries(샘플 쿼리) 탭에서는 시작하기 위한 예제 쿼리를 제공합니다. 쿼리 생성 및 편집에 대한 자세한 내용은 CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집을 참조하세요.

관리형 대시보드를 보거나 사용자 지정 대시보드를 생성하여 이벤트 추세를 시각화할 수도 있습니다. Lake 대시보드에 대한 자세한 내용은 CloudTrail Lake 대시보드 섹션을 참조하세요.